Post on 16-Apr-2017
transcript
#WPAsturias
@samuriosaWP Asturias - “Seguridad en WordPress”
Samuel Álvarez Sariego
• Administrador de Sistemas informáticos en Red
• Desarrollador Web con WordPress
• Organizador de WordPress Asturias
• Colaborador en los equipos de Soporte, Comunidad y Traducciones de WordPress España
samugrandiella@gmail.com
@samuriosa
samuriosa.com2
#WPAsturias
@samuriosaWP Asturias - “Seguridad en WordPress”
Los malos están ahí fuera
Hay un montón de grupos de hackers que se coordinan para preparar y lanzar este tipo de ataques, y no paran de pensar en cómo explotar las vulnerabilidades de WordPress.Lo mejor es ponérselo difícil. Cuanto más, mejor.
White Hat —> Los buenosBlack Hat —> Los malosGrey Hat —> Los menos malos
4
#WPAsturias
@samuriosaWP Asturias - “Seguridad en WordPress”
#1 - Un buen hosting• No todos los hosting son
igual de válidos
• Los más baratos, normalmente, no son especialmente seguros
• Además, a más barato, más posibilidades de que alberguen “secretos” en su interior
“Bueno, bonito y barato ¡No
existe!”6
#WPAsturias
@samuriosaWP Asturias - “Seguridad en WordPress”
#2 - WordPress Actualizado1. El “core” o versión de WordPress de tu blog.
2. Tu theme o plantilla. Cuidado con los temas que instalas en tu web. No instales lo primero que encuentres
3. Los plugins. No instales plugins desconocidos con pocas descargas.
“Repositorios de plugins oficiales, premium con soporte oficial”
7
#WPAsturias
@samuriosaWP Asturias - “Seguridad en WordPress”
#2 - Actualiza, actualiza y finalmente, actualiza
Los ataques suelen basarse en vulnerabilidades que los hackers encuentran en tu sistema, y rápidamente los desarrolladores corrigen con actualizaciones.
Por eso tienes que prestar especial atención y en cuanto veas que hay una actualización disponible, ponerte manos a la obra.
¡ACTUALIZA!
Nada de utilizar plantillas o plugins pirateados, sé que la tentación es fuerte. Cuidado con eso, porque pueden contener código malicioso o vulnerabilidades extra.
8
#WPAsturias
@samuriosaWP Asturias - “Seguridad en WordPress”
#3 - Login SeguroTener un login débil en WordPress es cómo cerrar tu casa y dejar las llaves puestas en la cerradura
Utiliza una contraseña segura
Cambia el slug de acceso al admin
No uses nombres de usuarios comunes y mucho menos por defecto (admin, administrador…)
No dejes pistas a tu paso
Norma: Principio de mínimo privilegio
“Cambia tu contraseña regularmente”
9
#WPAsturias
@samuriosaWP Asturias - “Seguridad en WordPress”
#4 - Backup, backup y más backup
Haz backups periódicas de tu sitio web, son la forma más rápida y sencilla de volver a la normalidad
Haz varias copias y guárdalas en un lugar seguro. Nunca en el mismo sitio que el propio sitio web.
Dropbox, Google Drive, Amazon Drive… servicios en la nube en general pueden ser una buena solución“Haz backups y guárdalas en
lugar seguro”
10
#WPAsturias
@samuriosaWP Asturias - “Seguridad en WordPress”
#5 - Pon un segurata en tu webAyúdate de plugins para incrementar la seguridad de tu web.
Es preferible sacrificar un poco de rendimiento en pro de mejorar la seguridad de nuestra web.
Hay multitud de plugins en el repositorio de WordPress que pueden ayudarte a mejorar los niveles de seguridad de tu instalación.
“Pero procura que sea uno bueno o el mejor si puede ser”
11
#WPAsturias
@samuriosaWP Asturias - “Seguridad en WordPress”
#1 - Ingeniería social
La Ingeniería Social es la manipulación inteligente de la tendencia natural de la gente a confiar en los demás
“Poco puedo enseñaros respecto a esto, salvo concienciar de la importancia de cada pequeña acción realizada”
13
#WPAsturias
@samuriosaWP Asturias - “Seguridad en WordPress”
#2 - Phishing o SuplantaciónPhishing o suplantación de identidad es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito otra información bancaria).
El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.
14
#WPAsturias
@samuriosaWP Asturias - “Seguridad en WordPress”
#3 - Fuerza BrutaEn criptografía, se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.
Los ataques por fuerza bruta, dado que utilizan el método de prueba y error, son muy costosos en tiempo computacional.
La fuerza bruta suele combinarse con un ataque de diccionario, en el que se encuentran diferentes palabras para ir probando con ellas.
“Posiblemente el ataque más común en WordPress y frente al que más tenemos que protegernos”
15
#WPAsturias
@samuriosaWP Asturias - “Seguridad en WordPress”
¿Y ahora qué?Vamos a intentar que nuestro WordPress sea más seguro
16