Bienvenido a la actualidad WordPress y ciberserguridad (2 mayo 2018)
Actualidad WordPress y ciberserguridad (2 mayo 2018)
Mañana, jueves 3 de mayo, habrá actualización de WordPress a la versión 4.9.6. Las principales novedades que nos trae esta versión, tienen que ver con el Reglamento General de Protección de Datos (RGPD) que se aplicará definitivamente a partir del 25 de este mes. ¿Ya tienes tus webs adaptadas a esta normativa? si no es así te recomiendo hacerlo, ya que se ha endurecido la anterior normativa y las multas pueden llegar hasta el 20% de tu facturación anual. No es algo para despreocuparse.
A pocas semanas de la WordCamp Bilbao (19 y 20 de mayo) donde podremos disfrutar de ponencias de altísimo nivel (ver programa), ya estoy finalizando mi presentación de diapositivas sobre “¡Proyectos heredados! Pros y contras de una web que no has desarrollado”, espero que os guste. ¿Que aún no tienes tu entrada? no esperes más y cómprarlas aquí antes de que se agoten. Tengo ganas de asistir y ver a grandes amigos, además de disfrutar de una ciudad como Bilbao a la que he tenido la suerte de ir muchas veces gracias a la cercanía con Santander.
Se ha ampliado el plazo para enviar ponencias a la WordCamp Barcelona en octubre. Si eres de los que lo dejaste para el final y se te pasó la fecha, ¡anímate! tienes hasta el próximo domingo para enviarlas. Yo he mandado varias ponencias más, ya que una de las que envié fue escogida en La WordCamp Irún. El tema de fondo, como siempre, es la Seguridad de nuestros datos y de nuestras webs, aunque he decidido enviar ponencias de temas menos técnicos ya que es lo que demanda actualmente la comunidad WordPress de España. He de reconocer que por unas causas o por otras, siempre me ha sido imposible asistir a esta WordCamp y este año me he propuesto ir sea como sea.
Y sin salir del tema de las WordCamps, os diré que he adquirido mi entrada “fila 0” para la WordCamp Irún. Este tipo de entrada no es una entrada para acceder al evento, sino que sirve para ayudar económicamente a la organización a crear un evento de mayor calidad para todos. Si no puedes ir a Irún en las fechas indicadas y quieres colaborar como yo, te animo a que adquieras una entrada de “fila 0” por tan solo 20€, y ayudaras a crear un evento de mayor calidad. Y si vas a asistir y aún así quieres ayudar pues también puedes hacerlo.
Y ahora un poquito de seguridad, quiero meteros un poco de miedito: ¿te has preguntado cómo es posible hackear la seguridad de una empresa multinacional a través de una impresora? echa un vistazo a este video y empieza a preocuparte. En él puedes ver como utilizando técnicas que pueden estar al alcance de cualquiera, llegan a conseguir objetivos muy oscuros.
Por último, si estás buscando el mejor plugin de seguridad para tu WordPress, quizá te ayude mi tabla comparativa de los 4 plugins más descargados del repositorio. Una charla que ahora mismo hace un año, pues fue la que utilicé en la WordCamp Bilbao 2017. Es este artículo tienes la tabla actualizada y un video completo dobre los parámetros de seguridad para aplicar a tu WordPress.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Bienvenido a la actualidad WordPress y ciberserguridad (25-abril 2018)
Actualidad WordPress y ciberserguridad (25-abril 2018)
Hoy empezaré dando las gracias a una nueva comunidad WordPress. ¡Muchas gracias! a la organización de WordPress de Bilbao por aceptar mi ponencia “¡Proyectos heredados! Pros y contras de una web que no has desarrollado” para la “WordCamp Bilbao“que se celebrará los días 19 y 20 de mayo en el museo marítimo “Ría de Bilbao”. Estoy encantadísimo pues seré ponente en Bilbao y 2 semanas más tarde también en Irún.
Después de la resaca de la WordCamp Madrid del pasado fin de semana, todo el mundo habla muy muy bien de ella: bien la organización, el venue, las ponencias… No esperaba menos de esta gente WordPressera de Madrid que siempre saben lo que hacen y, estoy seguro que con muchísimo esfuerzo para que todo saliera perfecto como parece que así fue. Meter a 450 personas en un vento de este tipo no es fácil. Mi enhorabuena más sincera a todo el equipo de la organización y de voluntarios. Digo “parece” porque me fue imposible asistir aunque hubiera querido. ¿Las razones? pues la principal fue que no quedaban sitios baratitos donde quedarse. La final de la copa del rey de fútbol, la maratón del domingo, hicieron que descartase ir para ahorrar y poder asistir a alguna otra WordCamp (este año hay un montón), mira el calendario de WordCamps en España para 2018. En fin, que al final tocó ver las ponencias desde casa gracias al streaming de Agora News. Puedes ver todas las ponencias del track A pinchando aquí.
Un artículo super interesante de Javier Casares, que va a traer cola. Habla sobre el estado de las WordCamps en España y hace una reflexión sobre la posibilidad de realizar eventos paralelos para personas y profesionales de WordPress con un perfil más técnico. Además del artículo, os recomiendo leer los comentarios de otras personas en esa misma página y podréis observar de lo que hablo.
Todos los años se celebra por estas fechas el Mundo Hacker Day en Madrid. Se trata del evento gratuito para profesionales de la ciberseguridad, más multitudinario del año. En él se dan cita los mejores hackers nacionales e internacionales. Cada año suelo ir con compañeros de trabajo de Netkia que también son coorganizadores del Congreso de Seguridad Sh3llcon que celebramos todos los meses de enero en Santander. Sin embargo, este año no hemos podido asistir, nuestras obligaciones laborales y la reciente implantación del Departamento de seguridad de Netkia, requiere de muchas horas y mucho esfuerzo para sacar adelante un servicio de calidad. Así que este año toca escuchar el streaming mientras trabajamos. Os dejo este enlace por si queréis verlo también.
Y hablando de Congresos de Ciberseguridad, este fin de semana se celebra la CONPilar en Zaragoza. Si teneis la oportunidad de ir os lo aconsejo. Conocereis a lo mejorcito del panorama Hacker nacional.
En mis artículos de actualidad, te dejo una revisión del Plugin BackupBuddy que sirve para hacer copias de seguridad de tu página WordPress.
Por último, te animo a que veas mis últimos videotutoriales sobre Ciberseguridad. Aprovecho para crear un poco de Hype y anunciaros que se avecinan novedades importantes sobre un par de proyectos que estoy poniendo en marcha con un buen amigo. Y… hasta aquí puedo leer.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Hoy os traigo una revisión del Plugin BackupBuddy realizada con ayuda de los compañeros de wpvivo.com.
Para mantener la seguridad de tu página web WordPress del nivel más alto, no es necesario sólo utilizar plugins de seguridad (u ocultar tu página de acceso al panel), también tienes que realizar copias de seguridad de toda tu instalación de cualquiera de estas maneras:
Desde tu hosting: hay algunos muy buenos como Siteground que realizan una copia de seguridad diarios por ti, IMPRESIONANTE
Realiza una copia manual de tus archivos y base de datos.
Utiliza algún plugin para hacer copias de seguridad de tus páginas web. Porque si algo va mal, por ejemplo si actualizas tus plugins, plantilla del tema o versión de WordPress y algo se rompe, si tienes un backup, siempre puedas restablecer tu página web desde la última copia creada. Y para esto, muchos usuarios utilizan el plugin premium llamado BackupBuddy de iThemes.com.
Revisión del Plugin BackupBuddy
Con este plugin puedes hacer copias de seguridad de tu base de datos WordPress, de tus archivos, plugins, temas o página web completa con un solo clic. Es muy fácil de usar.
Mis características favoritas de BackupBuddy son:
Las copias se pueden hacer automáticamente (funciona utilizando Cron jobs). Con establecerlo a varias veces por semana nos mantendrá más seguros.
Puedes enviar estas copias directamente a tu cuenta de Dropbox.
BackupBuddy se puede utilizar también para transferir tu página web a nuevo alojamiento web. O si eres un diseñador web, puedes utilizarlo a transferir la página web del desarrollo desde tu servidor de desarrollo hacia el alojamiento web de tu cliente en el entorno de producción.
Como es un plugin premium, su precio es un poco alto (unos 80$), pero iThemes casi siempre tiene descuentos. También se puede comprar el plan Gold que te ofrecerá copias para ilimitadas páginas web. Y además de esto, con una licencia de BackupBuddy también obtendrás acceso a iThemes Sync para 10 páginas web. IThemes Sync es una aplicación para mantener más páginas web WordPress desde un solo lugar. Y también tendrás acceso a Stash Live, lo que es un espacio virtual de iThemes para almacenar tus copias de seguridad.
Es un plugin genial, hace muy buen trabajo y el equipo de iThemes está trabajando duro para mejorarlo con cada actualización.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
XSS, del inglés Cross-site scripting es un tipo de vulnerabilidad o agujero de seguridad típico de las aplicaciones Web, que permite a un usuario malintencionado inyectar código JavaScript en páginas web visitadas.
Cross-Site Scripting (XSS)
Un atacante puede realizar una petición post inyectando un string, por ejemplo un alert como el siguiente:
Aprovechando una vulnerabilidad en el código de alguna aplicación, plugin, plantilla de tema, etc., un usuario malintencionado puede introducir una cadena de código javascript para que se ejecute en el navegador.
A continuación te dejo un video explicativo para entender mejor cómo se explota esta vulnerabilidad.
Hoy ya puedo afirmar que seré ponente en WordCamp Irún el día 2 de junio a las 17:50 en la Universidad de Mondragón (Mondragon Unibertsitatea). Hablaré como de costumbre, de Seguridad en WordPress. En este caso utilizaré la potencia del motor de búsqueda de Google para hackear WordPress. Una charla que hace ya tiempo que llevaba pensando y que me gusta especialmente.
Ya tenéis las entradas a la venta por tan solo 20€ en 2018.irun.wordcamp.org/entradas/ Te aconsejo que te des prisa en obtener la tuya porque va a ser una fantástica WordCamp.
Ser ponente en WordCamp Irún
No se cómo expresarlo pero cada vez que hay una nueva WordCamps me hace especial ilusión dar una charla. Ser ponente en WordCamp Irún tiene un sabor especial para mi. Significa formar parte y poder colaborar con la ilusión de todo el equipo de la organización de Irún y en especial de mi amigo Pablo Moratinos, un tío que, no me digáis porque razón, pero tengo un cariño muy especial. No hará ni un año que lo conozco (desde Chiclana 2017). Tan solo ver cómo trabaja para la comunidad y cómo dedica tanto esfuerzo y empeño en todo ello, me hace ilusionarme de nuevo.
Reconozco que he tenido momentos de incertidumbre estos últimos días, con el tema de WordPress, comunidad y todo lo que lo rodea. He necesitado apartarme un poco y centrarme en mis cosas para ver todo desde un ángulo externo, coger impulso de nuevo y empezar con las ganas del que comienza cualquier proyecto ilusionante.
No puedo evitar poner todo mi empeño cada vez que doy una charla, por pequeño que sea el auditorio. Los que me conocéis ya sabéis que me esfuerzo un montón para que la gente aprenda, mucho, poco… ¡algo!. Quizá es cosa de vocación. No supe nada de ésta hasta que me planté delante de un grupo de gente por primera vez y di mi primera charla nervioso como un flan.
Hoy tengo otra ponencia que me ilusiona, en Irún, en Euskadi, y hablando de Seguridad en WordPress.
Simplemente ¡gracias!
Valórame, es gratis, solo te cuesta un click [kkstarratings]
¿Qué hace Facebook con mis datos? ¿Dónde se guardan? ¿Quién puede verlos o quién tiene acceso a ellos? Si no te has preguntado esto alguna vez significa que simplemente “te da igual”. Si, es lo más común entre los usuarios a los que trato de ayudar en estos temas. Quiero que te hagas otra pregunta más, ¿realmente necesito dar toda esa información sobre mi al mundo? Estoy aseguro que no vas por la calle dando voces y gritando dónde trabajas, qué es lo que te gusta y lo que no, cuales son tos deseos e ilusiones, y un sinfín de cosas que sí que haces en Facebook.
Configuración de privacidad
Lo primero que debes de hacer es aprender a configurar la privacidad de tu cuenta, esto es lo que permites que se vea y a quién permites que lo vea. Cada uno es libre de exponer publicamente los datos que quiera ¡faltaría más! por eso no te indicaré cómo deberías configurar tu privacidad, simplemente accede al menú “Configuración” de tu cuenta y modifica las opciones tu mismo.
Descarga los datos que posee Facebook de ti
¡Ah! pero ¿puedo hacer eso? Pues claro que si, de hecho te animo a que lo hagas y verás TODO lo que has interactuado con Facebook: publicaciones, “Me gustas”, imágenes, videos, conversaciones de chat… ¡TODO!
¿Cómo puedes hacerlo? pues fíjate en la imagen anterior, en la zona central, bueno vaaaale, ya te pongo otra imagen para que veas dónde está el enlace
Como supongo que llevarás varios años compartiendo contenido en Facebook, ten un poco de paciencia, pues el archivo será grande y tardará en cargar. No te preocupes, Facebook es tan bueno que te avisará por email cuando el archivo esté listo para su descarga y, además, recibirás una nueva notificación en tu perfil.
Lo que Facebook sabe sobre mi
Facebook como red social “gratuita” utiliza la información que le proporcionas para conocerte un poco más y ofrecerte productos y servicios que puedan adaptarse a tu personalidad. He dicho que es una red social “gratuita”, y la pongo entrecomillada porque esto no es del todo cierto. En este mundo soy de los que piensan que nadie da nada por nada, es por esta razón por la que he entendido bien lo que ofrecen estas redes sociales (lo mismo Facebbok que Twitter, Instagram, etc.) y lo que tu les das a cambio de su servicio. Ahora quiero que tu que estás leyendo esto, lo entiendas.
Facebook almacena información obtenida de tu actividad para ofrecerte publicidad acorde a lo que la red social considera que son tus intereses. Si deseas saber la información que Facebook utiliza sobre ti, accede a tu cuenta y pincha en este enlace para ver tus preferencias, y algo como esto es lo que podrás ver
Te animo a que “enredes” por aquí y veas lo que Facebook sabe de ti y cómo utiliza esa información para enviarte anuncios dirigidos solo para ti. Te sorprenderá ver, por ejemplo, la pestaña “Tu información”, no tiene desperdicio.
Puedes ver lo que Facebook recopila sobre ti, incluso descargar un archivo con toda la información que has compartido en esta red social en este enlace.
¿Quieres eliminar tu cuenta de Facebook permanentemente?
Si te has cansado de Facebook, o has leido este artículo y te ha hecho pensar, o simplemente no quieres que Facebook siga siendo dueño de una parte de tu vida, tienes dos opciones:
– Desactivar tu cuenta, lo cual hace que no la puedan ver el resto de usuarios pero que sigue conservando tus datos.
– La eliminación o borrado permanente de la cuenta y todos sus datos. Obviamente, este proceso de eliminación no es tan fácil de realizar como el de desactivación. Para borrar tu cuenta de Facebook tienes que acceder a este enlace donde deberás, en principio, añadir tu usuario y password. Pero no termina aquí, Facebook se encarga, mediante un tedioso proceso, de que te canses antes de dar de baja definitivamente tu cuenta.
Entonces ¿qué hace Facebook con mis datos?
Piensa que nadie da nada por nada y Facebook tampoco. La red social te ofrece un servicio donde puedes interactuar con tus amigos, familiares, o con quien quieras, también puedes usarla solo para cotillear, que ya sabemos que tu no cotilleas en Facebook pero tenia que decirlo 🙂 Pues bien, la moneda de cambio que tu le das a Facebook no es más que una cantidad ingente de datos personales para que éste los utilice para ofrecerte productos en base a tus “necesidades” e intereses. Digamos que “Facebook te conoce mejor que tu madre”.
La mayoría de estas afirmaciones se pueden aplicar a otras redes como Twitter, instagram, linkedin, etc. A día de hoy no he encontrado ninguna red social que te ofrezca sus servicios por el mero placer de verte contento.
¿Te gustaría navegar sin miedos? ¿Quieres que te avise de peligros de seguridad en internet? Phising, tarjetas de crédito, estafas… déjame tu email y yo te avisaré cada semana de los nuevos peligros de la red.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Aparece nuevo Email Phising del Banco Santander ¡no piques!
Nuevo Email Phising Banco Santander, que posiblemente ya hayas recibido en tu bandeja de entrada.
Como ya sabrás, el “fishing” es una técnica de ingeniería social utilizada por los ciberdelincuentes para obtener información confidencial como nombres de usuario, contraseñas y detalles de tarjetas de crédito haciéndose pasar por una comunicación confiable y legítima. En este caso la fuente es, supuestamente, del Banco Santander.
El email simula ser del Banco Santander pero sus creadores ni siquiera se han preocupado en modificar el email remitente De: Santander (palo@xtra.co.nz) que, como puedes ver, no utiliza el dominio del banco Santander que sería bancosantander.es.
Lo que el atacante busca es que hagas clic en el enlace “Continuar con la actualización” y así llevarte a una página maliciosa que posiblemente secuestre tu navegador o capture cookies de sesión o incluso aparezcas en una página donde te piden los datos de tu tarjeta.
Consejos antifishing:
Comprueba que el remitente es la fuente real. A veces no es tan obvio como en este caso. Suelen cambiar alguna letra o número de los dominios reales: bancosanlander.es en lugar de bancosantander.es
Jamás introduzcas datos bancarios en un formulario que te llegue por email,
¡Recuerda! tu Banco jamás te pedirá que introduzcas ningún dato por email.
Jamás hagas clic en ningún enlace del email.
En caso de duda ve a la oficina más próxima de tu banco y comunícales este asunto.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Informe sobre últimas vulnerabilidades encontradas en WordPress
Estas son las últimas vulnerabilidades encontradas en WordPress.
Si tienes alguno de estos plugins te recomiendo actualizar a su última versión inmediatamente. Espero que este servicio te sirva de ayuda para mantener tu WordPress seguro.
Vulnerabilidades en PLUGINS
Vulnerabilidad –> Unauthenticated Stored XSS
Plugins afectados:
Events Manager v5.8.1.1
Un usuario no autenticado o un usuario sin privilegios, que puede enviar un evento, puede insertar código JavaScript en la miniatura del mapa de Google Maps.
La brecha de seguridad se ha arreglado en la version 5.8.1.2 del plugin
¿Quieres ver una POC de cómo explotar esta vulnerabilidad? Pues mira este vídeo
Vulnerabilidad –> Cross-Site Scripting (XSS)
Plugins afectados:
Duplicator v1.2.32
XSS, del inglés Cross-site scripting es un tipo de vulnerabilidad o agujero de seguridad típico de las aplicaciones Web, que permite a un usuario malintencionado inyectar código JavaScript en páginas web visitadas.
Un atacante puede realizar una petición post inyectando un string.
Conoce los detalles y aprende cómo pueden explotar esta vulnerabilidad en el siguiente video
XSS, del inglés Cross-site scripting es un tipo de vulnerabilidad o agujero de seguridad típico de las aplicaciones Web, que permite a un usuario malintencionado inyectar código JavaScript en páginas web visitadas.
El fallo de seguridad se ha arreglado en la version 2.4.1 del plugin
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Explotando la vulnerabilidad del Plugin Site Editor 1.1.1 WordPress – Local File Inclusion
Existe una vulnerabilidad en el Plugin Site Editor en su versión 1.1.1, que permite a un atacante incluir un archivo en la respuesta de una petición realizada por url. La vulnerabilidad fue publicada el 2018-03-16 con identificación [CVE-2018-7422] Local File Inclusion (LFI) vulnerability in WordPress Site Editor Plugin.
El ataque a esta vulnerabilidad puede ser realizado a través de la red, y desde el propio navegador.
Puedes ver el video al final de esta publicación.
Con este post doy comienzo a una nueva sección tanto de la web como de mi canal de Youtube, sobre explotación de vulnerabilidades en WordPress. En ella veremos cómo explotar vulnerabilidades de Plugins, temas y del nucleo de WordPress.
Para ello contaremos con la colaboración de mi amigo y compañero Sergio Saiz (s0nH4cK). Sergio es ingeniero de Sistemas y responsable del departamento de seguridad de Netkia (empresa en la que trabajamos ambos). Además es el fundador y director del congreso de seguridad Sh3llcon, donde tengo la suerte de compartir organización con él y con otros compañeros.
Os animo a estar atentos y atentas a esta web y a mis redes sociales, pues se acercan novedades muy importantes respecto a nuevas secciones de videotutoriales sobre seguridad en WordPress.
Puedes saber más acerca de esta vulnerabilidad en exploit-db.com
Aquí te dejo el video, espero que te guste
Si te ha gustado déjame tus comentarios. También puedes sugerirme ideas para futuros tutoriales relacionados con la seguridad en WordPress o con trucos de seguridad en general.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
“Alta Seguridad en WordPress” es un taller preparado para las jornadas de “University Camps Tech Pro” de la Universidad de Cantabria donde traté de concienciar a los asistentes de los riesgos de no mantener y securizar nuestras páginas web hechas con WordPress.
Alta Seguridad en WordPress
WordPress es el CMS más usado a nivel mundial y por lo tanto, también el más atacado. Veremos las principales riesgos de seguridad a tener en cuenta en WordPress.
Repasamos los parámetros de seguridad más importantes y esenciales para mantener WordPress lo más seguro posible. Aprendimos a auditar WordPress con distintas herramientas y a fortificar nuestras instalaciones con WPHardening antes de ponerlas en producción.
Puedes descargar la presentación “Alta seguridad en WordPress” haciendo clic aquí o en la siguiente imagen
Si te ha gustado déjame tus comentarios. También puedes sugerirme ideas para futuros tutoriales relacionados con la seguridad en WordPress o con trucos de seguridad en general.
Valórame, es gratis, solo te cuesta un click [kkstarratings]