¿En serio me pueden hackear WordPress con… ¡Google!? Mi ponencia en la WordCamp Irún
Aquí puede ver el video de la ponencia y más abajo puede descargarte la presentación de diapositivas.
¿Qué te parece? ¿Te ha gustado? si quieres, aquí te dejo aquí la presentación de diapositivas que utilicé en la charla. Siéntete libre de compartirlo y de utilizarlo como te parezca. Y si ya citas la fuente de donde la conseguiste… mejor que mejor 😉
Haz clic en la imagen para descargar la presentación
Te propongo una reflexión en forma de comparación: seguridad Vs Transparencia en la RGPD.
Está claro que la RGPD viene para quedarse. Te diré que yo soy una persona que está totalmente de acuerdo con el nuevo reglamento. Si se hubiera puesto en práctica desde los comienzos de la era digital, otro gallo cantaría en estos momentos. Pero claro, si esto hubiera sido así, los gobiernos, las grandes multinacionales y otras instituciones carecerían de todos esos datos tan valiosos sobre nosotros. ¿O no? o los usuarios somos así y aceptaríamos las condiciones de privacidad sin leerlas (como ahora). Supongo que todo es una cuestión cultural y que tiene su principal error precisamente en su base.
Bueno, me dejaré de lineas conspiratorias, los que me conocéis bien ya sabeis cómo pienso, “nadie da nada por nada”, “nada es gratis”. Vamos al grano.
Seguridad Vs Transparencia en la RGPD
Desde hace unos días, semanas (algunos desde hace meses), todos estamos metidos de lleno en cumplir con la normativa de la RGPD. La verdad que es un quebradero de cabeza constante. En el reglamento se hace hincapié en que son los usuarios los dueños de sus datos personales. Tendrán además, derecho a modificar, trasladar e incluso eliminar sus datos de cualquier base de datos que deseen. Permitidme que dude que ésto último se vaya a cumplir. Empresas como Google, Amazon, Facebook, Twitter, etc. no han estado durante años y años creando perfiles de usuario casi perfectos (nos conocen más que nosotros mismos) como para que ahora de golpe y porrazo se puedan borrar. La idea de la RGPD está bien, es buena y creo en ella, pero, siguiendo mi linea conspiratoria, no voy a creerme que toda esa información que existe hasta ahora sobre nuestros gustos, nuestros hábitos, nuestras costumbres, vayan a olvidarse así porque sí. Cada uno es libre de pensar lo que quiera, faltaría más.
Para empezar, nuestros datos personales han sido compartidos sin nuestro consentimiento expreso con otras empresas o simplemente, han sido víctimas de un delito de venta de bases de datos, algo muy típico en nuestros días. Me gustaría saber qué freno hay para eso. Yo no lo veo aún.
Transparencia
Otra cuestión clave del Reglamento es la “transparencia”. Lo que yo entiendo por transparencia es decir la verdad sin tapujos. En el caso de nuestros datos personales, se trata de que cada servicio que los manipule, tiene que indicar detalladamente quién, dónde, cómo, porqué y para qué se guardan esos datos.
Como webmasters, bloggers, o simplemente como personas que poseemos una página web y manejamos datos de usuarios, la RGPD nos obliga a ser transparentes, a indicar en todo momento desde tecnologías que usamos, hasta las maneras que hay de contactar con nosotros para tratar el tema de los datos personales. ¡Ojo! vaya por delante otra vez que estoy a favor del nuevo reglamento. Sigue leyendo y entenderás el porqué de este artículo.
Seguridad
La seguridad digital o ciberseguridad se encarga de que esos datos estén lo más protegidos posible. Como ya sabes, hay muchos ámbitos: El propio usuario, los servicios de hosting, los servicios de internet o aplicaciones (Facebook, Amazon…), todos son eslabones de la cadena de la ciberseguridad. Todos tienen unas normas y siguen unas reglas de seguridad.
Ahora bien, y aquí viene mi reflexión, si hemos de ser transparentes para cumplir con el reglamento ¿no significa que estamos aportando más información de la necesaria a un posible ciberdelincuente? Lo diré de otro modo para que me entiendas:
Yo, como más del 30% de las páginas webs de todo el mundo, uso WordPress. Llevo años usándolo y defendiendo que hay que ocultar todos los datos que indiquen que uso WordPress como su versión, el acceso al panel de control, el directorio de plugins, la carpeta “uploads”, etc. No es que reniegue de WordPress, es que pienso que cuanta menos información tenga un ciberdelincuente sobre mi página web, más difícil será que vulnere mi seguridad y consiga acceder a alguno de mis datos. Es por eso que es importante la seguridad en WordPress.
Bien, desde hace unos días el pirata informático que quiera recabar información sobre mi o sobre mi página web, tan solo tiene que ir a mi página de “Aviso legal” o a la de mi “Política de privacidad” o de “Uso de cookies” para sacar cantidad de información relevante sobre ella. Cookies que utilizo mías y de terceros, plugins que recogen y tratan datos personales, incluso mi dirección y otros datos que no quiero dar, pero que ahora me obligan a darlos, curiosamente para ¿protegerlos?
Estoy confuso, no entiendo nada, ¿cómo puede ser que para proteger mis datos tenga que aportar datos que nunca aporté hasta ahora? Ya me conoces (y sino me conoces aún ya te lo digo) y sabes que soy de las personas que no me gusta dar más información de la necesaria y que en cada una de mis ponencias, cursos o charlas, me gusta meter miedo a los oyentes con el tema de la seguridad.
Pienso que transparencia… ¡si!, seguridad… ¡por supuesto! pero que en muchas ocasiones ambas están reñidas y podemos hacernos un daño irreparable aportando datos que no tiene porqué saber nadie.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Phishing, el lado oscuro de la RGPD. Aprovechando que la RGPD está de moda, los ciberdelincuentes agudizan su ingenio y crean nuevas campañas de phishing.
Hace muy poco tiempo que la RGPD es de obligado cumplimiento y los “malos” se han puesto manos a la obra. En los últimos días todos hemos recibido una gran cantidad de emails de empresas, aplicaciones, newsletters, etc. a las que estamos suscritos, informándonos de un cambio en sus condiciones y políticas de privacidad. Para continuar con sus servicios y/o envío de emails, necesitan de nuestra aceptación, nuestro consentimiento expreso. De eso trata la RGPD, de protegernos, de la transparencia a la hora de tratar los datos de los usuarios del mundo internet.
Phishing, el lado oscuro de la RGPD
Muchos de estos correos que recibimos son reales, sin embargo, otros no tanto. Os voy a poner un ejemplo. Se trata de un correo “simulando” (por decir algo) ser del Banco Santander y nos indica que tenemos una actualización nueva. Además (¡cómo no!) incluye un link para que revisemos nuestra cuenta. Podéis ver el cuerpo del mensaje aquí.
Analicémoslo. Fíjate que el email del supuesto remitente tiene el dominio KE.LEO.COM el cual no se parece en nada al del banco Santander.
El texto es erroneo:
Gracias a no responder a este mensaje, usted no tendrá que responder.
Por favor, use nuestra secció “Conacto” en nuestra página web
y hay continuas faltas de ortografía
“secció“, “Conacto“
Si ponemos el puntero del ratón en el link “Revisa tu cuenta” podemos ver, en la barra de estado” de nuestro navegador o de nuestro cliente de email, un link del tipo:
https://t.co/YhQ1ue……
Si hacemos clic en el link (NO LO HAGAS) nos redirige a una página que para nada es del Banco de Santander. He utilizado una herramienta online unshorten.it para “decodificar” el link corto y este fue el resultado
Como puedes ver, el link dirige a una página árabe, la cual no sabemos si tiene algún script malicioso o simplemente se trata de un simple SPAM. No nos la jugamos ¿verdad?
Ten cuidado, sobre todo estos días que los ciberdelincuentes aprovecharán la RGPD y la aceptación de los términos y condiciones de los servicios de internet para intEntar engañarnos.
Consejos:
Mucho cuidado con hacer clic en correos en los que dudemos de su procedencia.
Observa bien todo el contenido del email en busca de faltas de ortografía, emails “raros” o lenguaje poco apropiado para nuestro idioma.
Como ves, si te fijas un poco y estudias el correo, te salvas.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
¿Quieres recibir avisos como éste en tu email en tiempo real?
Hoy os traigo un post con videotutorial de uso sobre Pilvia, un entorno de pruebas para WordPress sin límites.
Seguro que si eres desarrollador web has necesitado un entorno de pruebas alguna vez, bien para instalar un WordPress de pruebas, bien para crear un entorno para mostrar al cliente o para cualquier otra función. En otro videotutorial os hablo de poopy.life. Si ya conoces poopy.life, sabrás que ese entorno es temporal y que ahora, tras las últimas modificaciones, las webs creadas con la cuenta gratuita duran unas 5 horas antes de que expire y se elimine permanentemente del servidor.
No está mal como entorno de desarrollo. Sin embargo, dependiendo de para qué lo necesitemos, este tiempo que nos proporciona poopy.life suele ser insuficiente, ya que se eliminará nuestra instalación antes de cumplir nuestros propósitos. A veces, simplemente, necesitamos un entorno de desarrollo duradero, fácil de crear y sobre todo… rápido, donde desarrollar todo lo que queramos relativo a WordPress. Pues bien, esto es precisamente lo que hace Pilvia.
Pilvia nos sirve perfectamente como entorno de desarrollo que podemos utilizar para diversos fines y que, no expira nunca. Además, pilvia.com son proveedores de hosting. Ofreciendo este servicio gratuito que nos viene tan bien a los desarrolladores, intentan convencernos de la calidad de este hosting. No me pronunciaré en este sentido pues no lo he probado. De momento el entorno gratuito me viene genial, como se que te vendrá a ti que estás leyendo este post.
Beneficios / tiempo
Aquí te dejo algunos de los beneficios que yo he sacado de este entorno de desarrollo, y el tiempo que lleva cada uno. Como ves, el tiempo invertido en tener montado lo que necesitamos es precisamente lo mejor. Podemos usar Pilvia cuando tengamos que:
– Instalar WordPress para realizar pruebas o explicar su funcionamiento (1 minuto excaso)
– Mostrar alguna funcionalidad concreta para tu cliente en una reunión. Se crea una instalación, se instala la funcionalidad y se muestra al cliente. (2 minutos).
– Enseñar el manejo de WordPress en cursos presenciales. Instalación en menos de 1 minuto.
– Unido con el plugin All in One WP Migration, que utilizo mucho, es una grandísima opción para hacer backup de tu instalación y trasladarlo a otro alojamiento.
– Pilvia te da también la posibilidad de acceder al servidor FTP y a la base de datos, ya que te da acceso a sus datos.
Pilvia, un entorno de pruebas sin límites para WordPress
Digo, “sin límites” porque no expira al cabo del tiempo como poopy.life y además puedes crear tantos sites como quieras.
A continuación te dejo un video explicativo de cómo utilizar pilvia como entorno de desarrollo.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Si quieres saber qué datos guarda Google sobre mi, este es tu post
Ahora, con la puesta en marcha de la nueva RGPD, muchas aplicaciones y páginas web que recogen datos de los usuarios, han de darte la posibilidad de descargar la información que han recopilado sobre ti a lo largo del tiempo. Las redes sociales más importantes no están exentas de ello y lo saben, por este motivo han añadido una opción para que un usuario pueda descargar sus datos.
Qué datos guarda Google sobre mi
Vamos a ver todas las aplicaciones de Google. ¡Si! como ya sabes, Google no es simplemente una aplicación, es mucho más que eso. Se trata de una serie de aplicaciones de diferentes ámbitos con las que Google puede saberlo todo sobre ti: tus hábitos, prioridades, gustos, viajes, ocio, etc. Todo está al alcance de este gigante y, lo peor, es que somos los usuarios los que se le entregamos esa información.
¿Aún no te lo crees? mira el listado de aplicaciones que Google pone a nuestra disposición (¿o a la suya?):
Mi primer consejo es que te cuides muy mucho de compartir excesiva información por internet porque, nada, repito ¡nada! de lo que ahí haces queda en el olvido. Todo queda registrado en enormes bases de datos para diferentes usos. Cada click, cada búsqueda… ¿aún no estas asustado/a? Vivimos en la era de la información y manejar esa información es el verdadero poder de nuestro tiempo.
Descarga los datos que tiene Google sobre ti.
Para demostrarte esto, si quieres, vamos a aprender a descargar la información que Google tiene sobre nosotros. Para ello he creado un sencillo videotutorial. Espero que viendo toda esa información descargada en tu ordenador, te haga pensar si merece la pena regalarla como lo estamos haciendo.
