Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Mantén tu WordPress seguro

Carl Alexander
September 02, 2017

Mantén tu WordPress seguro

Estas son las diapositivas de una charla dada en WordCamp San José 2017.

Seamos sinceros: ninguna persona quiere despertarse una mañana con su sitio WordPress hackeado, o peor, el sitio de tu cliente hackeado.

¿Que pasa cuando Google marca tu sitio como malware? ¿Que si la empresa de alojamiento web cierra tu cuenta? ¿O si tu cuenta de correo electronico termina en una lista negra? Cosas como estas pueden poner tu reputacion y tu empresa en peligro. Y encima de eso, ¡solo es si tu te das cuenta! Un hacker puede tomar el control de tu sitio sin que tú lo sepas.

La seguridad de web es un tema importante para todos los utilizadores de WordPress. Esta charla va a cubrir las mejores practicas alrededor de la configuracion y la maintenancia de tu sitio WordPress. Despues de esta charla, seras capaz de dormir sabiendo que tu sitio está seguro.

Carl Alexander

September 02, 2017
Tweet

More Decks by Carl Alexander

Other Decks in Technology

Transcript

  1. MANTÉN TU
    WORDPRESS SEGURO

    View full-size slide

  2. Carl Alexander

    View full-size slide

  3. es.carlalexander.ca

    View full-size slide

  4. Tipos de ataques

    View full-size slide

  5. Generalizado

    View full-size slide

  6. Ataques generalizados son
    oportunistas

    View full-size slide

  7. Ataques generalizados son
    automatizadas

    View full-size slide

  8. Ataques generalizados son
    asociadas con hacerte
    hackeado

    View full-size slide

  9. Dirigido a
    un sitio específico

    View full-size slide

  10. Sitios grande
    con mucho tráfico

    View full-size slide

  11. Potencial de
    recompensar los agresores

    View full-size slide

  12. No es común por
    la mayoría de nosotros

    View full-size slide

  13. Excepción:
    ex empleados o contratistas

    View full-size slide

  14. Nunca bajo-estimar una
    persona descontenta

    View full-size slide

  15. Maneras de infectar tu sitio

    View full-size slide

  16. Menos que tú tengas,
    el más seguro tú estás

    View full-size slide

  17. Recomendaciones van a
    centrar sobre estos

    View full-size slide

  18. Software
    vulnerable

    View full-size slide

  19. Vulnerable ≠ Anticuados

    View full-size slide

  20. Son las vulnerabilidades
    que fueron reparadas

    View full-size slide

  21. Devienen
    conocimientos públicos

    View full-size slide

  22. Fácil a explotar

    View full-size slide

  23. Más un problema con los
    plugins que con WordPress

    View full-size slide

  24. Contraseñas

    View full-size slide

  25. Hecho:
    No nos gustan las
    contraseñas

    View full-size slide

  26. Asume que tu contraseña
    está ahí fuera

    View full-size slide

  27. Es tu contraseña
    WordPress

    View full-size slide

  28. Es tu contraseña
    FTP

    View full-size slide

  29. Es tu contraseña
    base de datos

    View full-size slide

  30. Es tu contraseña
    cPanel

    View full-size slide

  31. Es tu contraseña
    [inserta servicio aquí]

    View full-size slide

  32. Utiliza haveibeenpwned
    para avertirte

    View full-size slide

  33. Servidores
    contaminados

    View full-size slide

  34. No es solamente WordPress

    View full-size slide

  35. Servidores también
    pueden infectarse

    View full-size slide

  36. Dice hola a la
    contaminación cruzada

    View full-size slide

  37. Dice adiós a tus
    precauciones de seguridad

    View full-size slide

  38. Es una #@!*$ a limpiar

    View full-size slide

  39. Puertas traseras

    View full-size slide

  40. Da acceso a tu sitio

    View full-size slide

  41. No hace daño

    View full-size slide

  42. Utilizado para hacer daño

    View full-size slide

  43. Objetivo es añadir
    contenido no deseado

    View full-size slide

  44. Los comunes son
    enlaces

    View full-size slide

  45. Los comunes son
    iFrames

    View full-size slide

  46. Los comunes son
    redirecciones

    View full-size slide

  47. Los comunes son
    guiones maliciosos

    View full-size slide

  48. Es para el dinero

    View full-size slide

  49. Recomendaciones

    View full-size slide

  50. Configuración

    View full-size slide

  51. No utilices valores
    predeterminados

    View full-size slide

  52. No utilices “admin”
    como el nombre de usuario

    View full-size slide

  53. No utilices “wp_”
    como el prefijo

    View full-size slide

  54. Utiliza contraseñas
    fuertes y únicas

    View full-size slide

  55. ¡La recomendación que
    nadie le guste escuchar!

    View full-size slide

  56. Buenas contraseñas tienen
    más de 14 caracteres

    View full-size slide

  57. Buenas contraseñas tienen
    letras minúculas y
    mayúsculas

    View full-size slide

  58. Buenas contraseñas tienen
    caracteres especiales

    View full-size slide

  59. Buenas contraseñas tienen
    numeros

    View full-size slide

  60. Otra solución es utilizar
    una frase de contraseña

    View full-size slide

  61. Mejor solución:
    administrador de
    contraseñas

    View full-size slide

  62. Siempre haz dos
    cuentas

    View full-size slide

  63. Principio de
    mínimo privilegio

    View full-size slide

  64. Estás publicando contenido

    View full-size slide

  65. No estás instalando plugins

    View full-size slide

  66. ¡Bájate de tu cuenta de
    administrador!

    View full-size slide

  67. Desactivar el
    editado de archivos

    View full-size slide

  68. Capacidad muy poderosa

    View full-size slide

  69. Permite a un agresor de
    ejecutar código malicioso

    View full-size slide

  70. No deberías editar archivos

    View full-size slide

  71. Desactiva esta función

    View full-size slide

  72. Mantenimiento

    View full-size slide

  73. Utiliza fuentes
    confiables

    View full-size slide

  74. Fácil de manipular y
    redistribuir código

    View full-size slide

  75. Utiliza fuentes conocidas

    View full-size slide

  76. Eso significa
    WordPress.org

    View full-size slide

  77. Eso significa
    ThemeForest

    View full-size slide

  78. Eso significa
    CodeCanyon

    View full-size slide

  79. Mantén todo
    actualizado

    View full-size slide

  80. Otra recomendación obvia

    View full-size slide

  81. Agresores les gusta explotar
    sitios no actualizados

    View full-size slide

  82. Son objetivos fáciles

    View full-size slide

  83. Mantente fuera de
    sus radares

    View full-size slide

  84. Mantén copias de
    seguridad regulares

    View full-size slide

  85. No van a hacer
    tu sitio más seguro

    View full-size slide

  86. Minimizan el daño

    View full-size slide

  87. Te permite reparar tu sitio
    en ningún tiempo

    View full-size slide

  88. Retira plugins o
    temas no utilizados

    View full-size slide

  89. Es fácil de instalar y olvidar

    View full-size slide

  90. Retíralos inmediato

    View full-size slide

  91. Guarda sólo lo que usa

    View full-size slide

  92. Alojamiento web

    View full-size slide

  93. Evita servidores
    compartidos

    View full-size slide

  94. Causa comuna de
    contaminación cruzada

    View full-size slide

  95. Invalida la mayoría de tus
    precauciones de seguridad

    View full-size slide

  96. Casi imposible limpiar

    View full-size slide

  97. Utiliza un
    servidor dedicado o VPS

    View full-size slide

  98. Una instalación
    por servidor

    View full-size slide

  99. Tomando un paso más allá

    View full-size slide

  100. Limita las instalaciones a
    una por servidor

    View full-size slide

  101. Si lo quieres absolutamente,
    utiliza WordPress como red

    View full-size slide

  102. Utiliza cifrado
    SSL

    View full-size slide

  103. Previene la interceptación
    de tu tráfico

    View full-size slide

  104. Casi obligatorio

    View full-size slide

  105. ¿No sabes como?
    Utiliza CloudFlare
    (¡Es gratis!)

    View full-size slide

  106. El objetivo es
    manejar riesgo

    View full-size slide

  107. Imposible tener una
    protección completa

    View full-size slide

  108. Utiliza los que te
    sientas cómodo

    View full-size slide

  109. ¿Preguntas?

    View full-size slide