Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Mantén tu WordPress seguro

Carl Alexander
September 02, 2017
Technology
0
300

Mantén tu WordPress seguro

Estas son las diapositivas de una charla dada en WordCamp San José 2017.

Seamos sinceros: ninguna persona quiere despertarse una mañana con su sitio WordPress hackeado, o peor, el sitio de tu cliente hackeado.

¿Que pasa cuando Google marca tu sitio como malware? ¿Que si la empresa de alojamiento web cierra tu cuenta? ¿O si tu cuenta de correo electronico termina en una lista negra? Cosas como estas pueden poner tu reputacion y tu empresa en peligro. Y encima de eso, ¡solo es si tu te das cuenta! Un hacker puede tomar el control de tu sitio sin que tú lo sepas.

La seguridad de web es un tema importante para todos los utilizadores de WordPress. Esta charla va a cubrir las mejores practicas alrededor de la configuracion y la maintenancia de tu sitio WordPress. Despues de esta charla, seras capaz de dormir sabiendo que tu sitio está seguro.

Carl Alexander

September 02, 2017
Tweet

More Decks by Carl Alexander

See All by Carl Alexander
A look at serverless WordPress
carlalexander
0
52
Getting Started with Serverless PHP
carlalexander
0
50
How to beat technical writer's block
carlalexander
0
720
How to approach object-oriented programming with WordPress
carlalexander
0
4.9k
Cómo solucionar problemas de rendimiento de WordPress
carlalexander
0
1.1k
Getting started with continuous integration and WordPress
carlalexander
0
34k
What is software complexity and how can you manage it?
carlalexander
1
31k
How to troubleshoot WordPress performance
carlalexander
0
6k
Introduction to automated WordPress deployments
carlalexander
2
26k

Other Decks in Technology

See All in Technology
個人データの利用に対する許容度に関する社会調査
hiroshinakagawa
0
140
Profiling a Java Application @DevDays 2023
victorrentea
1
570
ハンズオンで学ぶ! Instana基礎
daihiraoka
1
120
バリエーションで差をつける。myshoesの新たな挑戦 #cicd_test_night
whywaita
PRO
0
360
全世界のユーザー体験の改善にNew Relic Mobileをどのように活用したか/How New Relic Mobile was used to improve the global user experience
isaoshimizu
2
370
SWEBOK V3からV4への改訂に見るソフトウェアエンジニアリングの発展とソフトウェア保守・進化
washizaki
0
350
「エンジニアリングで運用を改善する」ためのAmazon CloudWatch活用
mitsuaki96
1
660
20230525_経営者・マーケティング担当必見!ChatGPTがもたらすマーケティング革命(45min版)_v1.02_共有用・後半パート.pdf
doradora09
0
160
Security-JAWS#29 AWS Summit Tokyo 2023 オンデマンド配信を楽しむためのセキュリティ関連トピックご紹介
kthrtty
1
220
組織一丸となってカスタマーサクセスを実現するための取り組みと悩み
zakiyama
0
110
Semantic KernelでGPTと外部ツールを連携する
takashi1029
1
810
監視からオブザーバビリティへ〜オブザーバビリティの成熟度/From Monitoring to Observability - Maturity of Observability
newrelic2023
0
440

Featured

See All Featured
Practical Orchestrator
shlominoach
179
9.1k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
25
5.3k
Building Better People: How to give real-time feedback that sticks.
wjessup
346
18k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
16
5.8k
YesSQL, Process and Tooling at Scale
rocio
158
13k
Six Lessons from altMBA
skipperchong
16
2.5k
Making the Leap to Tech Lead
cromwellryan
118
7.8k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
500
130k
Raft: Consensus for Rubyists
vanstee
130
5.8k
What's new in Ruby 2.0
geeforr
336
30k
RailsConf 2023
tenderlove
0
93
Automating Front-end Workflow
addyosmani
1352
200k

Transcript

  1. MANTÉN TU
    WORDPRESS SEGURO

    View Slide

  2. Carl Alexander

    View Slide

  3. @twigpress

    View Slide

  4. es.carlalexander.ca

    View Slide

  5. View Slide

  6. Conceptos

    View Slide

  7. Tipos de ataques

    View Slide

  8. Generalizado

    View Slide

  9. Ataques generalizados son
    oportunistas

    View Slide

  10. Ataques generalizados son
    automatizadas

    View Slide

  11. Ataques generalizados son
    asociadas con hacerte
    hackeado

    View Slide

  12. Dirigido

    View Slide

  13. Dirigido a
    un sitio específico

    View Slide

  14. Sitios grande
    con mucho tráfico

    View Slide

  15. Potencial de
    recompensar los agresores

    View Slide

  16. No es común por
    la mayoría de nosotros

    View Slide

  17. Excepción:
    ex empleados o contratistas

    View Slide

  18. Nunca bajo-estimar una
    persona descontenta

    View Slide

  19. Vectores

    View Slide

  20. Maneras de infectar tu sitio

    View Slide

  21. Menos que tú tengas,
    el más seguro tú estás

    View Slide

  22. Recomendaciones van a
    centrar sobre estos

    View Slide

  23. Software
    vulnerable

    View Slide

  24. Vulnerable ≠ Anticuados

    View Slide

  25. Son las vulnerabilidades
    que fueron reparadas

    View Slide

  26. Devienen
    conocimientos públicos

    View Slide

  27. Fácil a explotar

    View Slide

  28. Más un problema con los
    plugins que con WordPress

    View Slide

  29. Contraseñas

    View Slide

  30. Hecho:
    No nos gustan las
    contraseñas

    View Slide

  31. Asume que tu contraseña
    está ahí fuera

    View Slide

  32. Es tu contraseña
    WordPress

    View Slide

  33. Es tu contraseña
    FTP

    View Slide

  34. Es tu contraseña
    base de datos

    View Slide

  35. Es tu contraseña
    cPanel

    View Slide

  36. Es tu contraseña
    [inserta servicio aquí]

    View Slide

  37. Utiliza haveibeenpwned
    para avertirte

    View Slide

  38. Servidores
    contaminados

    View Slide

  39. No es solamente WordPress

    View Slide

  40. Servidores también
    pueden infectarse

    View Slide

  41. Dice hola a la
    contaminación cruzada

    View Slide

  42. Dice adiós a tus
    precauciones de seguridad

    View Slide

  43. Es una #@!*$ a limpiar

    View Slide

  44. Infecciones

    View Slide

  45. Puertas traseras

    View Slide

  46. Da acceso a tu sitio

    View Slide

  47. No hace daño

    View Slide

  48. Utilizado para hacer daño

    View Slide

  49. Inyecciones

    View Slide

  50. Objetivo es añadir
    contenido no deseado

    View Slide

  51. Los comunes son
    enlaces

    View Slide

  52. Los comunes son
    iFrames

    View Slide

  53. Los comunes son
    redirecciones

    View Slide

  54. Los comunes son
    guiones maliciosos

    View Slide

  55. Es para el dinero

    View Slide

  56. Recomendaciones

    View Slide

  57. Configuración

    View Slide

  58. No utilices valores
    predeterminados

    View Slide

  59. View Slide

  60. No utilices “admin”
    como el nombre de usuario

    View Slide

  61. No utilices “wp_”
    como el prefijo

    View Slide

  62. Utiliza contraseñas
    fuertes y únicas

    View Slide

  63. ¡La recomendación que
    nadie le guste escuchar!

    View Slide

  64. Buenas contraseñas tienen
    más de 14 caracteres

    View Slide

  65. Buenas contraseñas tienen
    letras minúculas y
    mayúsculas

    View Slide

  66. Buenas contraseñas tienen
    caracteres especiales

    View Slide

  67. Buenas contraseñas tienen
    numeros

    View Slide

  68. Otra solución es utilizar
    una frase de contraseña

    View Slide

  69. Mejor solución:
    administrador de
    contraseñas

    View Slide

  70. Siempre haz dos
    cuentas

    View Slide

  71. Principio de
    mínimo privilegio

    View Slide

  72. Estás publicando contenido

    View Slide

  73. No estás instalando plugins

    View Slide

  74. ¡Bájate de tu cuenta de
    administrador!

    View Slide

  75. Desactivar el
    editado de archivos

    View Slide

  76. Capacidad muy poderosa

    View Slide

  77. Permite a un agresor de
    ejecutar código malicioso

    View Slide

  78. No deberías editar archivos

    View Slide

  79. Desactiva esta función

    View Slide

  80. Mantenimiento

    View Slide

  81. Utiliza fuentes
    confiables

    View Slide

  82. Fácil de manipular y
    redistribuir código

    View Slide

  83. Utiliza fuentes conocidas

    View Slide

  84. Eso significa
    WordPress.org

    View Slide

  85. Eso significa
    ThemeForest

    View Slide

  86. Eso significa
    CodeCanyon

    View Slide

  87. Mantén todo
    actualizado

    View Slide

  88. Otra recomendación obvia

    View Slide

  89. Agresores les gusta explotar
    sitios no actualizados

    View Slide

  90. Son objetivos fáciles

    View Slide

  91. Mantente fuera de
    sus radares

    View Slide

  92. Mantén copias de
    seguridad regulares

    View Slide

  93. No van a hacer
    tu sitio más seguro

    View Slide

  94. Minimizan el daño

    View Slide

  95. Te permite reparar tu sitio
    en ningún tiempo

    View Slide

  96. Retira plugins o
    temas no utilizados

    View Slide

  97. Es fácil de instalar y olvidar

    View Slide

  98. Retíralos inmediato

    View Slide

  99. Guarda sólo lo que usa

    View Slide

  100. Alojamiento web

    View Slide

  101. Evita servidores
    compartidos

    View Slide

  102. Causa comuna de
    contaminación cruzada

    View Slide

  103. Invalida la mayoría de tus
    precauciones de seguridad

    View Slide

  104. Casi imposible limpiar

    View Slide

  105. Utiliza un
    servidor dedicado o VPS

    View Slide

  106. Una instalación
    por servidor

    View Slide

  107. Tomando un paso más allá

    View Slide

  108. Limita las instalaciones a
    una por servidor

    View Slide

  109. Si lo quieres absolutamente,
    utiliza WordPress como red

    View Slide

  110. Utiliza cifrado
    SSL

    View Slide

  111. Previene la interceptación
    de tu tráfico

    View Slide

  112. Casi obligatorio

    View Slide

  113. ¿No sabes como?
    Utiliza CloudFlare
    (¡Es gratis!)

    View Slide

  114. El objetivo es
    manejar riesgo

    View Slide

  115. Imposible tener una
    protección completa

    View Slide

  116. Utiliza los que te
    sientas cómodo

    View Slide

  117. ¿Preguntas?

    View Slide

  118. ¡Gracias!

    View Slide