Mi presentación en la WordCamp Zaragoza 2018
El mantenimiento es importante: convence a tu cliente.
Descarga la presentación haciendo clic en la imagen
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Descarga la presentación haciendo clic en la imagen
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Hablando de Seguridad en WordPress, el 12 de diciembre tuve la gran suerte de ser invitado por Moncho a un webinar de esos que realizan en Siteground (mi actual proveedor de hosting) y que tantas y tantas veces he visto. Como no podía ser de otra manera, me tocó hablar… ¿de qué? pues de seguridad en WordpPress.
La idea ya surgió en la WordCamp Bilbao 2017 donde realicé una exposición parecida comparando varios plugins de seguridad en ese caso la ponencia se llamaba “Plugins de seguridad: tiburones, gatitos y elefantes” y vista la gran aceptación que tuvo, decidí preparar algo parecido aunque más actualizado. Todos sabemos lo que cambia todo lo relacionado con WordPress en poco tiempo así que tuve que reestructurar la charla y añadirle algunas cosas muy interesantes.
Para terminar, realicé una comparativa de plugins de seguridad para WordPress donde revisé los aspectos y las opciones de los plugins de seguridad más descargados del repositorio:
Wordfence
All in one WP Security and Firewall
IThemes Security
Sucury
Sin más os dejo el video del webinar, espero que os guste.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
La configuración de All in One WordPress Security and Firewall es algo laboriosa, sin embargo, una vez esté realizada podemos utilizarla (casi en su totalidad) para otras instalaciones.
Son muchos los trucos que podemos aplicar a una instalación de WordPress: trucos sobre velocidad de carga, tratamiento de imágenes, seguridad, etc. Yo os traigo un truco sobre seguridad (cómo no).
Como sabemos, hay muchos y muy buenos plugins de seguridad en el repositorio de WordPress. Si tuviera que elegir, seleccionaría configuraciones de cada uno de ellos para hacer el “megaplugin” de seguridad. Sin embargo, esto no es posible por el momento, así que mi truco de seguridad está relacionado con el plugin “All in One WP Security and Firewall”.
¿Por qué he escogido este plugin? pues por dos razones, la primera porque posee un montón de características para configurar y creo que prácticamente cubre las más esenciales. La segunda es que todas estas características se pueden exportar a otras instalaciones de WordPress una vez configuradas.
Eso es precisamente de lo que trata este truco, os voy a proporcionar una configuración básica pero bastante potente de este plugin para que en tan solo cuestión de segundos tengáis vuestros WordPress mucho más seguros. ¿Quiere decir esto que debo aplicar esta configuración a todos mis WordPress? pues la verdad es que no, no quiero que penséis que aplicando esta configuración ya estáis seguros y no hay que preocuparse, en temas de seguridad no existe eso de “estoy 100% seguro” y hay que “currárselo” cada día, de echo no puedo hacerme responsable de posibles hackeos o de malas configuraciones de vuestras instalaciones.
Cada instalación necesita de una configuración diferente, aunque lo que aquí os proporciono es algo básico para asegurar vuestros WordPress deberíais comprobar que se ajusta a cada una de vuestras instalaciones y no presenta incompatibilidades con otros plugins.
Una vez aplicada en tu WordPress dispondrás de:
– Limite de intentos de logueo, limitado a 5.
– Ocultación de la url de acceso al panel de control: a partir del momento de aplicar estas normas, en lugar de añadir “wp-admin” deberás escribir “accesowp” (podrás modificar esta ruta posteriormente desde el mismo plugin en la sección “fuerza bruta”).
– Reglas básicas de firewall.
– Recibe notificaciones por email deberás modificar el email que hay ahora “aqui@tuemail.com” por tu dirección de correo en las secciones:
– Finaliza la sesión del usuario tras 60 minutos del logueo.
– Bloqueo de acceso a archivos de instalación (readme.html, license.txt y wp-config-sample.php)
Para aplicar estar reglas deberás instalar el plugin “All in One Security and Firewall” de cualquiera de las maneras que supongo ya conoces.
Una vez instalado y activado, dirígete a su sección “Opciones”
pulsa en la pestaña “Importar/exportar”
Copia el siguiente texto:
{"aiowps_enable_debug":"","aiowps_remove_wp_generator_meta_info":"1","aiowps_prevent_hotlinking":"","aiowps_enable_login_lockdown":"1","aiowps_allow_unlock_requests":"","aiowps_max_login_attempts":5,"aiowps_retry_time_period":5,"aiowps_lockout_time_length":1440,"aiowps_set_generic_login_msg":"","aiowps_enable_email_notify":"1","aiowps_email_address":"aqui@tuemail.com","aiowps_enable_forced_logout":"1","aiowps_logout_time_period":60,"aiowps_enable_invalid_username_lockdown":"","aiowps_instantly_lockout_specific_usernames":[],"aiowps_unlock_request_secret_key":"md39ld1owa2k0j22n7on","aiowps_enable_whitelisting":"","aiowps_allowed_ip_addresses":"","aiowps_enable_login_captcha":"","aiowps_enable_custom_login_captcha":"","aiowps_captcha_secret_key":"n6kxhapi6vdoul5d9t70","aiowps_enable_manual_registration_approval":"","aiowps_enable_registration_page_captcha":"","aiowps_enable_random_prefix":"","aiowps_enable_automated_backups":"","aiowps_db_backup_frequency":4,"aiowps_db_backup_interval":"2","aiowps_backup_files_stored":2,"aiowps_send_backup_email_address":"","aiowps_backup_email_address":"aqui@tuemail.com","aiowps_disable_file_editing":"1","aiowps_prevent_default_wp_file_access":"1","aiowps_system_log_file":"error_log","aiowps_enable_blacklisting":"","aiowps_banned_ip_addresses":"","aiowps_enable_basic_firewall":"1","aiowps_enable_pingback_firewall":"","aiowps_disable_xmlrpc_pingback_methods":"","aiowps_block_debug_log_file_access":"1","aiowps_disable_index_views":"","aiowps_disable_trace_and_track":"","aiowps_forbid_proxy_comments":"","aiowps_deny_bad_query_strings":"","aiowps_advanced_char_string_filter":"","aiowps_enable_5g_firewall":"","aiowps_enable_6g_firewall":"","aiowps_enable_custom_rules":"","aiowps_custom_rules":"","aiowps_enable_404_logging":"","aiowps_enable_404_IP_lockout":"","aiowps_404_lockout_time_length":"60","aiowps_404_lock_redirect_url":"http:\/\/127.0.0.1","aiowps_enable_rename_login_page":"1","aiowps_enable_login_honeypot":"","aiowps_enable_brute_force_attack_prevention":"","aiowps_brute_force_secret_word":"","aiowps_cookie_brute_test":"","aiowps_cookie_based_brute_force_redirect_url":"http:\/\/127.0.0.1","aiowps_brute_force_attack_prevention_pw_protected_exception":"","aiowps_brute_force_attack_prevention_ajax_exception":"","aiowps_site_lockout":"","aiowps_site_lockout_msg":"","aiowps_enable_spambot_blocking":"","aiowps_enable_comment_captcha":"","aiowps_enable_autoblock_spam_ip":"","aiowps_spam_ip_min_comments_block":"","aiowps_enable_automated_fcd_scan":"1","aiowps_fcd_scan_frequency":1,"aiowps_fcd_scan_interval":"2","aiowps_fcd_exclude_filetypes":".jpg\r\n.png\r\n.txt","aiowps_fcd_exclude_files":"","aiowps_send_fcd_scan_email":"1","aiowps_fcd_scan_email_address":"aqui@tuemail.com","aiowps_fcds_change_detected":true,"aiowps_copy_protection":"","aiowps_prevent_site_display_inside_frame":"","aiowps_prevent_users_enumeration":"1","aiowps_login_page_slug":"accesowp","aiowps_last_fcd_scan_time":"2017-09-26 19:28:35","aiowps_block_fake_googlebots":"","aiowps_lockdown_enable_whitelisting":"","aiowps_lockdown_allowed_ip_addresses":"","aiowps_enable_registration_honeypot":"","aiowps_enable_lost_password_captcha":"1"}
Pégalo en el campo “Copiar/Pegar importar data:”
Pulsa el botón “Importar ajustes de AIOWPS” y ya tendrás las opciones del plugin aplicadas.
Por supuesto eres libre de modificar estas opciones y ampliarlas según tus necesidades. Te invito a bucear por las distintas secciones del plugin y a modificarlas a tu gusto.
A continuación te dejo un link a un nuevo post donde te enseño paso por paso, a través de un videotutorial, a configurar cada una de las opciones de seguridad de este fantástico plugin. Para que seas tu quien decide las opciones a incluir y las que no.
(Configuración paso por paso de All in One WP Security & Firewall)
Valórame, es gratis, solo te cuesta un click [kkstarratings]
En mi ponencia en la WordCamp Santander 2017 hablé sobre un caso real de una web hackeada hecha con WordPress. Si eres una empresa o un particular y tienes una web, es imprescindible que realices un mantenimiento periódico de la misma. Si no sabes cómo hacerlo o sí que sabes pero tienes mucho trabajo y no puedes permitirte perder el tiempo en hacerlo tu mismo… ¡contrata a un profesional! Tus datos y los de tu empresa estarán seguros. No tendrás porqué preocuparte y tan solo tendrás que dedicarte a tu profesión, a lo que realmente sabes hacer.
Estas son las conclusiones a las que llegamos en mi ponencia en la WordCamp Santander 2017 “Hacker al rey”.
Aquí os dejo el video donde pudimos ver lo que nos puede llegar a pasar si nos hackean nuestra web. Un caso real de una web hackeada hasta límites increibles, con acceso total por parte del ciberdelincuente a toda nuestra información. La inclusión de archivos maliciosos que formaban una webshell desde la cual un usuario malintencionado tenía control total no sólo de nuestro WordPress sino también de los archivos del servidor en los que estaba alojada. Da miedo ¿verdad?
Al final de la ponencia os doy consejos para limpiar un WordPress hackeado.
Además os dejo la presentación que utilicé. Haz clic en la imagen para descargarla
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Los días 30 de noviembre y 1, 2 y 3 de diciembre, estuve en Cybercamp 2017 junto con mi compañero Berto, impartiendo unos talleres de ciberseguridad para personas con conocimientos medios-básicos en internet.
No se si sabéis que Cybercamp es el mayor evento de Ciberseguridad del pais y que está organizado por el Instituto Nacional de Ciberseguridad de España (INCIBE). Tuvimos la gran suerte de que los organizadores escogieran Santander como ciudad para realizar el evento.
Los que me conocéis un poquito sabéis que yo empecé a formarme en la seguridad al preocuparme por la desprotección que sufren los más “peques” en la red y que a lo largo de mi carrera profesional he impartido más de 4000 horas (!uf! muchas ya) de cursos de formación para todo tipo de personas, más técnicas y menos técnicas. Así que en este “hábitat” me siento como pez en el agua.
En los talleres vimos consejos de ciberseguridad y explicamos de una manera muy fácil las formas de protegerse al navegar por la red desde nuestros dispositivos.
Los talleres que impartimos fueron:
- Seguridad en un PC: características principales de seguridad en un PC con sistema operativo Windows. Nociones básicas sobre los distintos roles de usuario, actualizaciones automáticas y el manejo y configuración básica de un antivirus. Utilización de contraseñas robustas y a crear hábitos seguros en la utilización de las mismas. Realizar copias de seguridad y a gestionarlas adecuadamente. Configuración de un router en red local.
- Seguridad en Smartphones y Wearables: Cómo aplicar las configuraciones básicas de seguridad en teléfonos con sistemas operativos “Android” e “IOS” y se dieron a conocer lo que son los dispositivos wearables y qué problemas de seguridad pueden acarrear su uso y conectividad.
- Seguridad y privacidad en servicios de Internet: Conocer las características principales de seguridad en los servicios de internet. Configurar la privacidad del correo electrónico y las cuentas de redes sociales, así como cuáles son los riesgos de compartir información personal en internet.
- Identificación de riesgos en Internet: Amenazas y riesgos que supone el uso diario de internet, con especial atención a tiendas online y correos electrónicos que no están exentos de estos riesgos.
He de decir que tuvimos una gran aceptación y que en las más de 9 horas diarias que le dedicamos a estos talleres, la gente respondió en masa, lo cual me satisface al ver que os preocupáis por vuestra seguridad. Tuvimos gente de todos los tipos y edades. Algunos de los talleres ya estaban reservados y llenos antes de comenzar. Institutos de varias provincias acudieron a los talleres y creo que los asistentes no se fueron con los brazos cruzados. Precisamente es este tipo de público el que más me gusta tener y metí miedo, mucho miedo, sobre todo en los talleres de riesgos y privacidad en los servicios de internet (redes sociales, correo electrónico, etc.). Creo que hay que educar a los más jóvenes en el uso que hacen de su privacidad en la red, concienciarles de que exponer datos sensibles de su privacidad como fotografías, videos y publicaciones no solo es peligroso, sino que puede tener consecuencias irreparables en sus vidas.
En fin, un fin de semana duro pero muy muy gratificante que no me importaría repetir una y otra vez.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
En otra entrada de este blog tienes disponible mi presentación de la WordCamp Santander 2017 “Hacker al rey”, de todas formas os dejo un link al video y otro para la descarga de la presentación.
Haz clic aquí para ver el video de la ponencia.
Haz clic en la imagen para descargar la presentación.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Hace algunos meses me llegaron noticias de la celebración de una WordCamp en Chiclana de la Frontera (Cádiz). Echando un vistazo rápido a la organización, mis sospechas fueron ciertas y vi que dos de los organizadores eran Mercedes y Roberto de blogalizate.com, dos personas a las que admiro desde mis primeros pasos con WordPress y mucho más en la actualidad. Con ellos aprendí y sigo aprendiendo mucho. Tuve la suerte de verlos en el primer WordPress Day que se celebró en Torrelavega en 2014 y de conocerlos en la Primera WordCamp Santander (antes WordCamp Cantabria) en 2015. Tengo que decir que son unas personas encantadoras. Al momento dije “yo tengo que estar en esta primera WordCamp Chiclana y echar un cable en lo que pueda”. Me puse en contacto con Roberto y le pregunté si quería que enviara una propuesta de ponencia o de taller, quedamos en que un taller se amoldaba mejor dentro de los contenidos del programa, así que lo preparé inmediatamente y lo envié.
Como en cada WordCamp a la que voy, tengo la suerte de compartir viaje con 3 compañeros de la organización de la WordCamp Santander, ahora son más que amigos. Gracias Nadia, Darío y Monti por las risas y los buenos ratos de cada viaje a pesar de que muchas veces se hacen largos y muy pesados. Hablamos por Whatsapp y creamos un grupo para la WordCamp Chiclana. Rápidamente preparamos el viaje hacia la otra punta de la península.
Barajábamos varias opciones para desplazarnos y al final tuvimos la suerte de contar con un coche que nos proporcionó Netkia, la empresa en la que trabajamos Nadia y yo. Netkia siempre nos ayuda en este tipo de eventos y nos anima a participar en los congresos para mejorar profesionalmente.
Fue un largo viaje desde las 5:30 que quedé en recoger a Monti. Casi acabamos en Portugal pero lo solucionamos rápidamente (gracias señor Balbontín). El paso por Sevilla, sus atascos en el puente del centenario y sus 40 grados tampoco pudieron con nosotros y a las 17:45 llegamos a Chiclana. Nadia y Darío se quedaron en el hotel. Monti y yo fuimos a probar el frescor del agua del Atlántico. Todo un lujo disfrutar de la playa de La Barrosa en pleno octubre, aunque he de decir que todo estuvo premeditado unos 1000km atrás.
Tras una ducha reparadora nos dirigimos a la cena de ponentes que es donde comienza toda WordCamp. Se celebraba en el restaurante Popeye a 1km de distancia más o menos de nuestro apartamento. Una estupenda cena, reencuentro con viejos amigos y la gran oportunidad de conocer otros nuevos. Al final de la cena, las primeras sorpresas. Los organizadores repartieron las acreditaciones y las bolsas de “cotillón” donde se escondían unas camisetas ¿negras? ¿azul oscuro? el debate de twitter lo ganaron las segundas, eran azul oscuro. Pero había algo más, serigrafiaron nuestras cuentas de twitter en la parte trasera de las mismas, así no teníamos más remedio que ponérnoslas al día siguiente ¿verdad Jose Pardo? 😉
Así lo hicimos y sucumbimos al poder de la fuerza. El sábado aparecimos con nuestra molona camiseta en la primera WordCamp Chiclana. El ambiente era impresionante. Cientos de personas esperando a que comenzara el evento que, dicho de paso, fue un éxito de organización y de asistencia. No esperaba menos.
Ponencias de altísimo nivel. Fernando Tellado abrió la mañana con una ponencia del nivel al que ya nos tiene acostumbrados. Tras éste, Mª Carmen de Alba con “Ponte en mi lugar y hazlo fácil”. Aquí tengo que hacer una mención especial a una de las ponencias que más me han gustado en mis años de “WordPressero”. Mª Carmen nos dio una lección de accesibilidad a todos los asistentes consiguiendo ser tendencia en Twitter a nivel nacional, uno de los momentos más emotivos de su ponencia.
Tras un café y networking del bueno volvimos con el “destroyer” y gran amigo Darío Balbontín, que nos dió cañita de la buena luchando contra los editores visuales y los temas multipropósito. Todo esto nos propinó un gran momento de debate con Pablo Poveda, el cual no pude ver pues ya estaba inmerso en mi taller de seguridad pero… “me lo han contao”.
Quiero dar las gracias a Paco del equipo de voluntarios por su ayuda incondicional antes, durante y después de mi taller. Una gran persona que espero volver a ver en Santander, en donde podré ayudarle yo a él.
Unas buenas empanadas amenizaron la hora de la comida. ¡Cómo no! networking y charlas con amigos en un ambiente fantástico.
La tarde no iba a ser menos y pudimos disfrutar de 3 ponencias de altura: Mauricio Gelves, el tío que es capaz de estar años preparando una presentación de 20 minutos para que todo salga perfecto y no morir en el intento. Nos habló de la que nos viene encima con el editor Guttenberg y, como siempre, de una manera muy didáctica, documentada y divertida (no me perdería ninguna charla de este crack en la vida).
Más tarde llegó Rocío Valdivia. Sí, Rocío es otra de esas personas que yo admiraba en mis comienzos con WordPress. Tengo que decir que tras conocerla en la WordCamp Cantabria 2015, aún la admiro mucho más, por su sencillez, por su alegría, porque tiene don de gentes y por todo lo que sabe que no es poco. Tras ella, Joan Artés (otro crack, ya os dije que la tarde venía cargadita) enseñándonos a hacer correctamente un presupuesto, ¡qué razón tienes en todo Joan! Por último hizo su aparición como si fuera un gran mago, el siempre sensacional Fernando Puente. Fernando es ese tipo de persona al que te quieres parecer pero sabes que nunca podrás hacerlo. He de decir que este tío se ha ganado mi más sincera admiración. Es un crack en todos los sentidos y siempre nos saca unas carcajadas con algo que se inventa (ojo al video del final). Le agradezco muchísimo sus consejos y trucos relacionados con la seguridad que es la parte que más me interesa (cada maestrillo…).
La tarde se acababa y antes de los talleres finales, la organización decidió celebrar la ceremonia de clausura del evento y así, al terminar los talleres, pudiéramos irnos a descansar un ratito antes de la afterparty. Otra muestra de que en Chiclana cuidan muchísimo a sus asistentes, patrocinadores y ponentes, velando por su bienestar. Así que al finalizar nos fuimos a descansar al paraíso.
Tras una siesta merecida y un bocata de tortilla en la terracita, llamamos a Rosi que vino a buscarnos gentilmente. Rosi es la taxista que nos llevó a la afterparty, una chica muy maja recomendada por Joaquín. Si, luego habrá tiempo para hablar de ti Joaquín 😉
Aparecimos pasadas las 23:00 con nuestras pulseras luminosas y el local estaba ocupado por WordPresseros y WordPresseras. El fondo estaba lleno de billares en plan “peli” americana. Pedimos un cacharro y empezamos a lanzarnos piropos con el gran Pablo Moratinos (ya era hora de conocerte). Un pedazo de crack que me sorprendió muchísimo (para bien ¡eh?). Tan sólo había tenido contacto con él en los foros de soporte, en Slack y en Twitter pero nada como conocerle y ver la grandísima persona que es.
Es aquí donde empieza a organizarse la “WordCamp Cái Cái”, con Joaquín y los chicos voluntarios de la WordCamp Chiclana. A fraguarse algún cercano viaje a Santander y otras cosillas provocadas por el estado de exaltación de la amistad en el que nos encontrábamos. Un poquito más tarde ya se notaba el cansancio y nos fuimos a descansar bien prontito y muy poco perjudicados pues el domingo nos esperaba para contribuir con WordPress.
Tengo que decir que el día para contribuir a WordPress de la WordCamp Chiclana es uno de los que más me ha gustado. 75 personas repartidas por las distintas mesas trabajando a tope y aprendiendo mucho. Os dejo un vídeo para que lo veáis mejor.
Las desconferencias me parecieron una auténtica pasada hubo mucho conocimiento, risas y sobre todo muy buenos consejos y buenas practicas por parte de los ponentes. En mi caso asistí a las de Fran Torres donde nos reímos muchísimo y aprendimos a utilizar los Custom Fields de una manera… digamos ¡curiosa! (lástima no tener video de esto pues sería un documento gráfico impagable).
A la desconferencia de Álvaro de gotocadiz.com reconozco que llegué un minutito tarde pues estaba ocupado en la mesa de los foros de soporte, pero nada más llegar me enganché con sus trucos de posicionamiento.
Y… ¿Nilo Vélez y su “Machete“? ¿qué decir del “Machete”? pues este tío ha “inventado” un plugin con ese nombre que tiene un montón de funcionalidades que yo ya estoy probando y por el momento me gustan mucho. Se trata de un plugin que engloba varias funciones de otros plugins y así podemos liberar la carga de éstos en nuestros WordPress. En un solo plugin tenemos muuuchos otros. Genial ¿verdad? Gracias por tu “tarjeta de presentación” es lo más original que he visto. Seguro que ya os pica la curiosidad ¿no? pues tranquilos que aquí os dejo su tarjeta
Tras comer unos suculentos bocadillos y asistir a alguna de las desconferencias que os he citado en el párrafo anterior, La WordCAmp Chiclana 2017 llegó a su fin. Así que ya está, este es mi post, ya puedo decir que para mi ha acabado esta WordCamp.
¿O no? espera un segundo, ¿qué veo por ahí? ¡Si!, es Fernando Puente. ¿Qué querrá este tio ahora? ¿hablarnos de la caché? ¿Ahora? ¿y cómo lo piensas hacer si ya hemos acabado?
¿Qué es eso de que has engañado a Nadia, Fran y Joaquín?
Oye y ya que estamos a 1000km de casa y nos vamos mañana, ¿porqué no aprovechamos y nos vamos a “Cái” a conocerlo? Rápido llama a Rafa, Ana, Fran, Pablo y Joaquín a ver si quieren acompañarnos y hacernos de guías por Cái. ¡Perfecto! ¡Vámonos!
Joaquín, sí ese tío del que hablamos antes un poquito, nos hizo de guía. Lo hizo con la gracia y el arte que sólo un gaditano tiene. Una grandísima persona a la que tan sólo puedo decir que ha sido un enorme placer conocerte y que espero volver a verte pronto y pedirnos de postre otra tortillita de camarones 😉
Grandísima tarde de turisteo con gente maravillosa por el centro de Cádiz. Muchas fotos, y… “pescaito frito” ¿Qué más se puede pedir?
Pues sí, se acabo la WordCamp. Ha sido una pasada. No tengo palabras para agradecer a toda esa gente que ha estado ahí, organización, voluntarios, asistentes, ponentes y patrocinadores, todo lo que me han hecho sentir estos días. Aquí os dejo algunas imágenes que quería añadir y que también pertenecen a la WordCamp Chiclana.
¡Mil gracias a todos!
Nos vemos pronto
Ah! si tienes algo que añadir, corregir, criticar o simplemente quieres dar fe de tu paso por este post…
Déjame tu comentario 😉
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Haz clic en la imagen para descargar la presentación
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Hace unos días se retiró del repositorio de WordPress un plugin llamado “Display Widgets”. Se detectó en su código una puerta trasera (backdoor) que permitía a un atacante acceder a las instalaciones que tuvieran instalado este plugin y enviar spam desde ahí.
El plugin fue retirado hasta 4 veces del repositorio de WordPress por la misma razón y en el momento de su retirada existían más de 200.000 instalaciones del mismo en WordPress de todo el mundo.
Para entrar más en detalles sobre este plugin os voy a recomendar un podcast muy completito de mi amigo Juanma Aranda (wpnovatos.com) en el que habla de la historia de este plugin y aporta muchos detalles sobre el funcionamiento y el malware que contenía. A mi parecer, aborda el tema de una manera fantástica y apto para usuarios de diferentes niveles de conocimiento. Decir que he tenido la gran suerte de ser invitado por Juanma para participar en este podcast y dar mi opinión sobre las backdoors (Gracias Juanma).
Os lo recomiendo así que… dadle al “Play”.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Quiero dar desde aquí las gracias a la organización de la WordCamp Madrid 2017 por confiar en mi en su primera edición y permitirme hablaros de seguridad en WordPress, algo que me entusiasma. Estaría encantado si contaran conmigo en futuras ediciones.
Tuve la gran suerte de abrir el congreso en el Track B. El video está empezado y faltan 5 o 6 minutos desde el inicio debido a algún problema con la grabación.
Descripción de la ponencia: En esta charla intenté dar a conocer por dónde nos puede atacar un usuario malintencionado, y aprender a solucionar las vulnerabilidades por nosotros mismos. Algo que debería hacer todo desarrollador de Páginas web con WordPress y que muy pocos lo hacemos.
Realizamos una auditoría de nuestra instalación de WordPress en tiempo real utilizando distintas herramientas para buscar vulnerabilidades en nuestras instalaciones. Utilizamos herramientas online y scripts al alcance de cualquiera y que podemos conseguir de forma gratuita por la red.
Aprendimos cómo fortificar una instalación de WordPress con “WPHardening“ antes de subirla a producción. Y vimos la importancia de tener instalado un buen plugin de seguridad.
Aquí os dejo el video, gracias a los compañeros de WordCamp Madrid. Puedes descargar la presentación haciendo clic aquí.
Valórame, es gratis, solo te cuesta un click [kkstarratings]