“Seguridad y uso responsable de la red”, este fue el título de mi charla en la sede de la Asociación de Ingenieros Industriales de Cantabria. El pasado 21 de marzo, tuve la suerte de ser invitado a participar con una charla sobre ciberseguridad, dentro del programa de eventos organizados por la celebración del centenario de la asociación. Dejo el video de la charla al final de este post.
Me tocó meter miedo, sí, un poquito. Los que me conocéis ya sabéis que me gusta mucho meter miedo, creo que es la única manera de concienciar a la gente de la importancia de la seguridad. Cuando a alguien le tocan algo que quiere, se pone alerta y es ahí donde están más atentos y reciben con los brazos abiertos toda la información que les envías.
Centenario de la Asociación de Ingenieros Industriales de Cantabria
Esta vez me tocó en la sede de la Asociación de Ingenieros Industriales de Cantabria. Unas 20 personas asistían en el salón de actos a una charla sobre ciberseguridad. La verdad que fue muy amena. Modificamos un poco la disposición de la charla (unos 50 minutos de charla y 40 para preguntas) y la realizamos de manera que todos pudieran intervenir en cualquier momento, realizando preguntas, temores o simplemente aportaciones de lo que ellos hacen en su día a día. He de decir que fue muy constructiva para todos, incluido yo, y que se nos hizo tan ameno que tuvimos que terminar de manera contundente pues eran las 21:35 y aún estábamos de debate.
Una fantastica tarde de #ciberseguridad con gente maravillosa. Muchas gracias @coiicant por la atención recibida y por vuestra amabilidad. Para cuando otra charla? El vinito lo tomaré a vuestra salud 😉 pic.twitter.com/2QMGHYo8LG
Intenté dar respuestas a preguntas como ¿navego Seguro? ¿hago un uso responsable de la red? ¿qué pasa con mis datos cuando publico en las redes sociales? Estas y muchas otras preguntas tuvieron cabida en esta charla donde creo sinceramente que la gente salió mu contenta.
Tengo que decir que, muchas veces, me gusta bajar el nivel al que estoy acostumbrado en mi día a día, e impartir charlas como esta, para personas que son simplemente usuarios de internet y que no se han parado a pensar en estas cosas cuando navegan. Me siento muy a gusto y me reconforta ver como la mayoría de las personas que me escuchan empiezan a plantearse y a pensar en la seguridad mientras navegan.
Gracias a Ignacio Sola por pensar en mi e invitarme a impartir esta charla y a Luis Vellido y Ángela Royano por tratarme tan bien.
Video – “Seguridad y uso responsable de la red”: Mi charla en la sede de la Asociación de Ingenieros Industriales de Cantabria.
¿Conoces la fortaleza de tu contraseña? ¿Sabes si estás usando una contraseña segura?
La fortaleza de tu contraseña es un factor importantísimo en tu seguridad y en la seguridad de tus cuentas. La mayoría de las brechas de seguridad vienen a nivel del USUARIO ¿y tu, usas contraseñas seguras? seguramente tu respuesta será “claro que si”. En este punto deberías saber qué se considera una contraseña segura. Una contraseña segura es aquella que:
No se puede encontrar en un diccionario.
Utiliza letras mayúsculas y minúsculas.
Utiliza números.
Utiliza símbolos como / & % $ = < ] {
Como añadido debes de tener en cuenta que, cuanto más larga sea una contraseña más segura será. Ten en cuenta que hoy en día existen ordenadores lo suficientemente potentes como para conseguir tu contraseña por fuerza bruta, es decir, probando combinaciones de caracteres hasta que se encuentre.
¿Cómo creo una contraseña segura y que pueda recordar?
La respuesta es sencilla, ¡SI! Para crear una contraseña segura y fácil de recordar, tan solo has de utilizar unas normas muy fáciles en tu cabeza. En este videotutorial te voy a guiar por estas directrices y verás por ti mismo, que es muy fácil de realizar. Además con ello, estamos navegando más seguros por la red. ¿Qué más podemos pedir? Veamos.
¿Qué es una contraseña segura?
Una contraseña segura es aquella que contiene gran cantidad de caracteres, números, letras mayúsculas y minúsculas y símbolos como (, % & $ ” ¿ etc. Sabiendo esto y llevándolo a cabo, ni que decir tiene que la contraseña será más segura cuanto más larga sea, ya que se necesitarán ordenadores muy potentes y con muchos recursos para hackearla.
Sin más, os dejo con el video.
¿Quieres saber lo fuerte que es tu contraseña? te lo explico en este enlace.
Auditoría de Seguridad de tu WordPress con WPDoctor
Aprende a comprobar los parámetros de seguridad de tu página web hecha con WordPress, con la herramienta online gratuíta WPDoctor. Una herramienta muy sencilla donde, además de comprobar la seguridad de nuestros WordPress, podemos ver el estado de otras configuraciones como la configuración del servidor, estado de las DNS, el SEO, la velocidad de carga.
Sin más, aquí os dejo este sencillo videotutorial para aprender a utilizar la herramienta. No es tan intensa como WPDanger pero tiene opciones que ésta no trae. En fin, una buena herramienta para tener, de un vistazo rápido, una visión periférica de nuestra web hecha con WordPress.
Si te ha gustado déjame tus comentarios. También puedes sugerirme ideas para futuros tutoriales relacionados con la seguridad en WordPress o con trucos de seguridad en general.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
La Seguridad en WordPress presente en la UCTechPro de la Universidad de Cantabria
“Alta Seguridad en WordPress” – El viernes 23 estaré en las jornadas de tecnología y programación UCTechPro de la Universidad de Cantabria, impartiendo un taller sobre seguridad en WordPress.
Dispondremos de una hora y media para hablar de lo que más me gusta: WordPress y Seguridad, y estaré a vuestra disposición para cualquier duda o consulta que querais realizarme.
Evita el Spam. Comenzamos a ver pequeños trucos de seguridad para cualquier usuario habitual de internet. En este video os enseño como manteneros alejados del spam evitando usar nuestros correos personales, en suscripciones que realizamos en determinadas web por diversos motivos, como pueden ser conseguir descargar contenido protegido, ebooks, etc.
Evita el spam creando un email temporal con getnada
Este truco sirve para un montón de sitios web en los que nos registramos y dejamos nuestro email olvidado con la consecuencia de llenarnos nuestro buzón de entrada de spam.
En cuestión de minutos habremos conseguido nuestro objetivo de descargar ese contenido digital o realizar suscripciones de prueba, sin preocuparnos por lo que nos puedan enviar a nuestra bandeja de entrada.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
¿Cómo comprobar la seguridad de tu WordPress con WPDanger?
Estoy seguro que quieres comprobar la seguridad de tu WordPress con WPDanger. Siguiendo con mis tutoriales sobre seguridad, hoy te traigo un tutorial de una fantástica herramienta gratuita creada por mi amigo Javier Casares. WPDanger sirve para auditar la seguridad de tu WordPress y comprobar en qué puntos está más débil y puede mejorar.
Fácil de usar
WPDanger es muy fácil de usar, tan sólo has de elegir el tipo de escaneo a realizar y en pocos minutos tendrás los resultados en tu correo electrónico.
¿Y es gratis?
La herramienta es totalmente gratis, es más, la idea es que sea gratis para siempre aunque se vaya actualizando en incrementando mejoras continuamente. Genial ¿verdad?
A medida que vayan saliendo nuevas funcionalidades, iré creando nuevos tutoriales para que saques el máximo provecho a esta herramienta. No dudes en utilizar WPDanger para comprobar la seguridad de tus páginas realizadas con WordPress.
Si te ha gustado déjame tus comentarios. También puedes sugerirme ideas para futuros tutoriales relacionados con la seguridad en WordPress o con trucos de seguridad en general.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Se encuentra keylogger en miles de sitios basados en WordPress, que roban cada pulsación de las teclas que pulsas.
Un nuevo informe de investigadores de Sucuri revela que los sitios web están nuevamente infectados por el código cryptomining, robando los recursos de las computadoras visitadas para extraer la criptomoneda Monero.
Muchos internautas casi con certeza no se dan cuenta de que la razón por la que el ventilador de su computadora portátil funciona a pleno rendimiento es porque el sitio web que están viendo está atado con la complicada cantidad de números necesaria para ganar la moneda digital. Pero, en un giro, este ataque en particular no solo está interesado en minar a Monero.
Mientras que el front-end del sitio web está buscando las criptomonedas, el back-end aloja secretamente un keylogger diseñado para robar las credenciales de inicio de sesión de los usuarios desprevenidos. Con el registrador de pulsaciones de teclado en su lugar, cualquier información ingresada en cualquiera de los formularios web de los sitios web afectados será enviada a los ciberdelincuentes. Y sí, eso incluye el formulario de inicio de sesión del sitio. Como si eso no fuera lo suficientemente malo, lo que se escribe en los formularios se envía a los ciberdelincuentes incluso antes de que el usuario haya hecho clic en el botón “iniciar sesión.
Recuerda actualizar siempre el core de WordPress, todos tus plugins y la plantilla del temas que utilices.
Informe sobre últimas vulnerabilidades encontradas en WordPress
Inauguro esta sección para mantenerte informado/a de las últimas vulnerabilidades encontradas en WordPress.
Espero que este servicio te sirva de ayuda para mantener tu WordPress seguro.
Vulnerabilidades en PLUGINS
Vulnerabilidad –> Stored XSS
Plugins afectados:
BuddyBoss Media v3.2.3
Dark Mode v1.6
¿Qué es Stored XSS (inyección de código almacenado)?
Se trata de uno de los ataques más peligrosos ya que el código que inyecta el atacante se almacena en tu base de datos.
Los ataques almacenados son aquellos en los que el script insertado se almacena permanentemente en los servidores de destino, como en una base de datos, foro de mensajes, registro de visitantes, campo de comentarios, etc. La víctima recupera el script malicioso del servidor cuando solicita la información almacenada. Stored XSS también se conoce como Persistent o Type-I XSS.
El CSRF (del inglés Cross-site request forgery o falsificación de petición en sitios cruzados) es un tipo de exploit malicioso de un sitio web en el que comandos no autorizados son transmitidos por un usuario en el cual el sitio web confía.
Vulnerabilidad –> Authenticated Stored XSS & CSRF
Plugins afectados:
Pinterest feed 1.1.1
Coming Soon 1.1.18
Booking calendar 2.1.7
El CSRF (del inglés Cross-site request forgery o falsificación de petición en sitios cruzados) es un tipo de exploit malicioso de un sitio web en el que comandos no autorizados son transmitidos por un usuario en el cual el sitio web confía.
Vulnerabilidad –> Authenticated Stored XSS & CSRF
Plugins afectados:
Google forms 0.91
Server Side Request Forgery (SSRF) se refiere a un ataque en el que un atacante puede enviar una solicitud elaborada desde una aplicación web vulnerable. La SSRF generalmente se utiliza para atacar sistemas internos detrás de firewalls que normalmente no son accesibles para un atacante desde la red externa. Además, también es posible que un atacante aproveche la SSRF para acceder a los servicios desde el mismo servidor que está escuchando en la interfaz loopback (127.0.0.1)
Valórame, es gratis, solo te cuesta un click [kkstarratings]
A rebosar el Calendario de WordCamps en España para 2018
En 2018 el Calendario de WordCamps en España será muy completo, estará lleno de WordCamps por todo el país, lo cual indica que la comunidad WordPress en España es tremendamente activa.
Para que no te pierdas ninguna, te dejamos las fechas provisionales de todas las WordCamps que se celebrarán este año en toda España.
Estate atento/a pues actualizaré esta lista a medida que se vayan cerrando las fechas definitivas.