Date post: | 20-Jan-2017 |
Category: |
Internet |
Upload: | wpbarcelona |
View: | 3,609 times |
Download: | 4 times |
@josecontichttp://www.joseconti.com
Seguridad en WordPress de la A a la Z
Meetup WordPress Barcelona
@josecontichttp://www.joseconti.com
Usad el hashtag para Twitter
#wpbarcelona
Meetup WordPress Barcelona
@josecontichttp://www.joseconti.com
Meetup WordPress Barcelona
@josecontichttp://www.joseconti.com
La inmensa mayoría de veces no sabremos que nos han hackeado
Estaremos dentro de una botnet
Meetup WordPress Barcelona
@josecontichttp://www.joseconti.com
Meetup WordPress Barcelona
@josecontichttp://www.joseconti.com
Seguridad en WordPress de la A a la Z
Dónde actuar
Selección de hosting Durante la instalación
En la estructura Con plugins
Mantenimiento Estar al dia
Meetup WordPress Barcelona
@josecontichttp://www.joseconti.com
Seguridad en WordPress de la A a la Z
Selección de Hosting
Meetup WordPress Barcelona
La selección de un hosting es el primer arma que tenemos
para protegernos
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Seguridad en WordPress de la A a la Z
Selección de Hosting
Meetup WordPress Barcelona
Un hosting que no esté bien preparado y configurado
significa que nos hackearan
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Seguridad en WordPress de la A a la Z
Selección de Hosting
Meetup WordPress Barcelona
suPHP o mod_ruid2 Jailed Shell
Si tenéis que dar permisos a directorios y/o archivos Cambiad de Hosting
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Seguridad en WordPress de la A a la Z
Selección de Hosting
Meetup WordPress Barcelona
Los permisos siempre deben ser
750 o 755 > directorios 644 o 640 > archivos
wp-config puede tener 600
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Seguridad en WordPress de la A a la Z
Selección de Hosting
Meetup WordPress Barcelona
Si tenéis que dar permisos a directorios y/o archivos Cambiad de Hosting
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Seguridad en WordPress de la A a la Z
Meetup WordPress Barcelona
Nombre de base de datos complejo Usuario base de datos complejo
Contraseña base de datos compleja Nunca dejar prefijo wp_
Usuario WordPress de dos o más palabras Contraseña compleja (WordPress ahora nos ofrece una)
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Seguridad en WordPress de la A a la Z
Meetup WordPress Barcelona
El usuario administrador que hemos creado será temporal. Crearemos uno nuevo en el momento
en que accedamos a WordPress por primera vez.
Eliminaremos los permisos de administrador al usuario creado durante la instalación.
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Cómo proteger WordPress y como limpiar una instalación hackeada.
En la estructura
WordCamp Barcelona 2015
Mover wp-config.php al directorio superior Permisos correctos de archivos y directorios
Siempre tener rellenado los Security Keys Posibilidad de mover wp-content
Posibilidad de mover directorio plugins Posibilidad de mover directorio themes Posibilidad de mover directorio uploads
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Cómo proteger WordPress y como limpiar una instalación hackeada.
WordCamp Barcelona 2015
Mover directorio wp-content
define( 'WP_CONTENT_DIR', dirname(__FILE__) . '/directorio/wp-content' ); define( 'WP_CONTENT_URL', ‘http://ejemplo.com/directorio/wp-content' );
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Cómo proteger WordPress y como limpiar una instalación hackeada.
WordCamp Barcelona 2015
Mover directorio plugins
define( 'WP_PLUGIN_DIR', dirname(__FILE__) . '/wp-content/plugins' ); define( 'WP_PLUGIN_URL', ‘http://ejemplo.com/wp-content/plugins' ); define( 'PLUGINDIR', dirname(__FILE__) . '/wp-content/plugins' );
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Cómo proteger WordPress y como limpiar una instalación hackeada.
WordCamp Barcelona 2015
Mover directorio themes
No se puede mover, ya que está en el core
$theme_root = WP_CONTENT_DIR . '/themes';
Pero se puede añadir nuevos directorios para themes:
<?php register_theme_directory( $directory ) ?>
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Cómo proteger WordPress y como limpiar una instalación hackeada.
WordCamp Barcelona 2015
Mover directorio uploads
define( 'UPLOADS', 'wp-content/uploads' );
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Cómo proteger WordPress y como limpiar una instalación hackeada.
WordCamp Barcelona 2015
.htaccess
Solo permitir algunos archivos en wp-content Poner un .htaccess dentro de wp-content
# Bloquear acceso a todos los archivos excepto a los siguientes Order deny,allow Deny from all <Files ~ ".(xml|css|js|jpe?g|png|gif|pdf|docx|rtf|odf|zip|rar)$"> Allow from all </Files>
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Cómo proteger WordPress y como limpiar una instalación hackeada.
WordCamp Barcelona 2015
.htaccess
Bloquear acceso a wp-includes # Bloquear archivos y directorios <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] </IfModule>
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Cómo proteger WordPress y como limpiar una instalación hackeada.
WordCamp Barcelona 2015
.htaccess
Aceptar solo a ciertas IPs acceder a wp-admin Se requiere IP estática
# Limitar acceso a wp-admin a estas IPs <Limit GET POST PUT> order deny,allow deny from all allow from 000.000.000.000 allow from DIRECCION_IP_2 </Limit>
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Cómo proteger WordPress y como limpiar una instalación hackeada.
WordCamp Barcelona 2015
.htaccess Proteger wp-config.php y todos los .htaccess
# Denegar acceso a wp-config.php <files wp-config.php> order allow,deny deny from all </files>
# Denegar acceso a todos los archivos .htaccess <files ~ "^.*\.([Hh][Tt][Aa])"> order allow,deny deny from all satisfy all </files>
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Cómo proteger WordPress y como limpiar una instalación hackeada.
WordCamp Barcelona 2015
.htaccess
Escondiendo nuestra versión de WordPress
Proteger readme.html y license.txt ( ¿y xmlrpc.php? #Proteger readme.html y license.txt <FilesMatch "^(readme.html|license.txt)"> Order allow,deny Deny from all Satisfy All </FilesMatch>
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Cómo proteger WordPress y como limpiar una instalación hackeada.
WordCamp Barcelona 2015
functions.php (o plugin propio)
Escondiendo nuestra versión de WordPress
function tusitio_eliminar_version() { return ''; } add_filter('the_generator', 'tusitio_eliminar_version');
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Cómo proteger WordPress y como limpiar una instalación hackeada.
WordCamp Barcelona 2015
.htaccess Protegerse del hotlinking
# Previene el hotlinking mostrando otra imagen. RewriteEngine on RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?tusitio.com [NC] RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?otrositiotuyo.com [NC] RewriteRule \.(jpg|jpeg|png|gif)$ http://i.imgur.com/MlQAH71.jpg [NC,R,L]
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Cómo proteger WordPress y como limpiar una instalación hackeada.
WordCamp Barcelona 2015
wp-config.php
No mostrar errores en pantalla
error_reporting( 0 );@ini_set( 'display_errors', 0 );
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Cómo proteger WordPress y como limpiar una instalación hackeada.
WordCamp Barcelona 2015
wp-config.php
No permitir editar archivos
define( 'DISALLOW_FILE_EDIT', true );
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Cómo proteger WordPress y como limpiar una instalación hackeada.
WordCamp Barcelona 2015
Forzar SSL para el admin Si tenemos certificado
define('FORCE_SSL_LOGIN', true); define('FORCE_SSL_ADMIN', true);
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Cómo proteger WordPress y como limpiar una instalación hackeada.
WordCamp Barcelona 2015
SSL gratuito y fiable
Let’s Encrypt https://letsencrypt.org
Pero necesitas de un hosting que te lo ofrezca
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Cómo proteger WordPress y como limpiar una instalación hackeada.
WordCamp Barcelona 2015
Forzar el SSL, es importantes si nos conectamos con conexiones públicas y no usamos un VPN
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Cómo proteger WordPress y como limpiar una instalación hackeada.
Backup
WordCamp Barcelona 2015
Es el primer plugin que se debe instalar.
BackWPup BackupBuddy
o incluso Duplicator
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Cómo proteger WordPress y como limpiar una instalación hackeada.
Protección
WordCamp Barcelona 2015
Los plugins de protección, añadirán una capa en nuestro WordPress
Wordfence Security iThemes Security
Login Security Solution BulletProof Security
Anti-Malware Security and Brute-Force Firewall
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Cómo proteger WordPress y como limpiar una instalación hackeada.
Control
WordCamp Barcelona 2015
Los plugins de control nos ayudaran a controlar nuestro WordPress
Wordfence Security Antivirus
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Cómo proteger WordPress y como limpiar una instalación hackeada.
Themes
WordCamp Barcelona 2015
Nunca descargar themes (o plugins) que no estén en sitios de confianza
Nunca descargar themes (o plugins) de pago desdesitios que los ofrece de forma gratuita
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Cómo proteger WordPress y como limpiar una instalación hackeada.
Themes
WordCamp Barcelona 2015
Si instalas contenido dummy en tu theme, elimínalo después
Puedes acabar en la blacklist de Google
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Cómo proteger WordPress y como limpiar una instalación hackeada.
Mantenimiento
WordCamp Barcelona 2015
Imprescindible mantener todo actualizado.
Themes Plugins
WordPress (Todas las menores)
SO, PHP, MySQL, Apache, Nginx, etc.
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Cómo proteger WordPress y como limpiar una instalación hackeada.
Mantenimiento
WordCamp Barcelona 2015
No os olvidéis de los plugins y themes premium que no ofrecen actualizaciones gratuitas.
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Cómo proteger WordPress y como limpiar una instalación hackeada.
Estar al día
WordCamp Barcelona 2015
Hay que estar al día de todo.
Seguiremos cuentas de Twitter Blogs de seguridad
Blogs sobre WordPress Blogs oficiales
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z
@josecontichttp://www.joseconti.com
Cómo proteger WordPress y como limpiar una instalación hackeada.
WordCamp Barcelona 2015
Muchas gracias a todos
José Conti
www.joseconti.com
@josecontic
@josecontichttp://www.joseconti.comMeetup WordPress Barcelona
Seguridad en WordPress de la A a la Z