¿Cómo comprobar la seguridad de tu WordPress con WPDanger?
Estoy seguro que quieres comprobar la seguridad de tu WordPress con WPDanger. Siguiendo con mis tutoriales sobre seguridad, hoy te traigo un tutorial de una fantástica herramienta gratuita creada por mi amigo Javier Casares. WPDanger sirve para auditar la seguridad de tu WordPress y comprobar en qué puntos está más débil y puede mejorar.
Fácil de usar
WPDanger es muy fácil de usar, tan sólo has de elegir el tipo de escaneo a realizar y en pocos minutos tendrás los resultados en tu correo electrónico.
¿Y es gratis?
La herramienta es totalmente gratis, es más, la idea es que sea gratis para siempre aunque se vaya actualizando en incrementando mejoras continuamente. Genial ¿verdad?
A medida que vayan saliendo nuevas funcionalidades, iré creando nuevos tutoriales para que saques el máximo provecho a esta herramienta. No dudes en utilizar WPDanger para comprobar la seguridad de tus páginas realizadas con WordPress.
Si te ha gustado déjame tus comentarios. También puedes sugerirme ideas para futuros tutoriales relacionados con la seguridad en WordPress o con trucos de seguridad en general.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Se encuentra keylogger en miles de sitios basados en WordPress, que roban cada pulsación de las teclas que pulsas.
Un nuevo informe de investigadores de Sucuri revela que los sitios web están nuevamente infectados por el código cryptomining, robando los recursos de las computadoras visitadas para extraer la criptomoneda Monero.
Muchos internautas casi con certeza no se dan cuenta de que la razón por la que el ventilador de su computadora portátil funciona a pleno rendimiento es porque el sitio web que están viendo está atado con la complicada cantidad de números necesaria para ganar la moneda digital. Pero, en un giro, este ataque en particular no solo está interesado en minar a Monero.
Mientras que el front-end del sitio web está buscando las criptomonedas, el back-end aloja secretamente un keylogger diseñado para robar las credenciales de inicio de sesión de los usuarios desprevenidos. Con el registrador de pulsaciones de teclado en su lugar, cualquier información ingresada en cualquiera de los formularios web de los sitios web afectados será enviada a los ciberdelincuentes. Y sí, eso incluye el formulario de inicio de sesión del sitio. Como si eso no fuera lo suficientemente malo, lo que se escribe en los formularios se envía a los ciberdelincuentes incluso antes de que el usuario haya hecho clic en el botón “iniciar sesión.
Recuerda actualizar siempre el core de WordPress, todos tus plugins y la plantilla del temas que utilices.
Hablando de Seguridad en WordPress, el 12 de diciembre tuve la gran suerte de ser invitado por Moncho a un webinar de esos que realizan en Siteground (mi actual proveedor de hosting) y que tantas y tantas veces he visto. Como no podía ser de otra manera, me tocó hablar… ¿de qué? pues de seguridad en WordpPress.
La idea ya surgió en la WordCamp Bilbao 2017 donde realicé una exposición parecida comparando varios plugins de seguridad en ese caso la ponencia se llamaba “Plugins de seguridad: tiburones, gatitos y elefantes” y vista la gran aceptación que tuvo, decidí preparar algo parecido aunque más actualizado. Todos sabemos lo que cambia todo lo relacionado con WordPress en poco tiempo así que tuve que reestructurar la charla y añadirle algunas cosas muy interesantes.
Para terminar, realicé una comparativa de plugins de seguridad para WordPress donde revisé los aspectos y las opciones de los plugins de seguridad más descargados del repositorio:
Wordfence
All in one WP Security and Firewall
IThemes Security
Sucury
“¿Existe el plugin de seguridad perfecto?” – 12 diciembre 2017
Sin más os dejo el video del webinar, espero que os guste.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
La configuración de All in One WordPress Security and Firewall es algo laboriosa, sin embargo, una vez esté realizada podemos utilizarla (casi en su totalidad) para otras instalaciones.
Son muchos los trucos que podemos aplicar a una instalación de WordPress: trucos sobre velocidad de carga, tratamiento de imágenes, seguridad, etc. Yo os traigo un truco sobre seguridad (cómo no).
Como sabemos, hay muchos y muy buenos plugins de seguridad en el repositorio de WordPress. Si tuviera que elegir, seleccionaría configuraciones de cada uno de ellos para hacer el “megaplugin” de seguridad. Sin embargo, esto no es posible por el momento, así que mi truco de seguridad está relacionado con el plugin “All in One WP Security and Firewall”.
¿Por qué he escogido este plugin? pues por dos razones, la primera porque posee un montón de características para configurar y creo que prácticamente cubre las más esenciales. La segunda es que todas estas características se pueden exportar a otras instalaciones de WordPress una vez configuradas.
Eso es precisamente de lo que trata este truco, os voy a proporcionar una configuración básica pero bastante potente de este plugin para que en tan solo cuestión de segundos tengáis vuestros WordPress mucho más seguros. ¿Quiere decir esto que debo aplicar esta configuración a todos mis WordPress? pues la verdad es que no, no quiero que penséis que aplicando esta configuración ya estáis seguros y no hay que preocuparse, en temas de seguridad no existe eso de “estoy 100% seguro” y hay que “currárselo” cada día, de echo no puedo hacerme responsable de posibles hackeos o de malas configuraciones de vuestras instalaciones.
Aplicar la configuración de All in One WordPress Security and Firewall
Cada instalación necesita de una configuración diferente, aunque lo que aquí os proporciono es algo básico para asegurar vuestros WordPress deberíais comprobar que se ajusta a cada una de vuestras instalaciones y no presenta incompatibilidades con otros plugins.
Una vez aplicada en tu WordPress dispondrás de:
– Limite de intentos de logueo, limitado a 5.
– Ocultación de la url de acceso al panel de control: a partir del momento de aplicar estas normas, en lugar de añadir “wp-admin” deberás escribir “accesowp” (podrás modificar esta ruta posteriormente desde el mismo plugin en la sección “fuerza bruta”).
– Reglas básicas de firewall.
– Recibe notificaciones por email deberás modificar el email que hay ahora “aqui@tuemail.com” por tu dirección de correo en las secciones:
“Acceso de usuario”,
“seguridad base de datos/ Copia de seguridad de base de datos”
“Escáner”.
– Finaliza la sesión del usuario tras 60 minutos del logueo.
– Bloqueo de acceso a archivos de instalación (readme.html, license.txt y wp-config-sample.php)
Para aplicar estar reglas deberás instalar el plugin “All in One Security and Firewall” de cualquiera de las maneras que supongo ya conoces.
Una vez instalado y activado, dirígete a su sección “Opciones”
Pulsa el botón “Importar ajustes de AIOWPS” y ya tendrás las opciones del plugin aplicadas.
Por supuesto eres libre de modificar estas opciones y ampliarlas según tus necesidades. Te invito a bucear por las distintas secciones del plugin y a modificarlas a tu gusto.
A continuación te dejo un link a un nuevo post donde te enseño paso por paso, a través de un videotutorial, a configurar cada una de las opciones de seguridad de este fantástico plugin. Para que seas tu quien decide las opciones a incluir y las que no.
¿Sabes las graves consecuencias de no hacer un mantenimiento periódico de tu web?
En mi ponencia en la WordCamp Santander 2017 hablé sobre un caso real de una web hackeada hecha con WordPress. Si eres una empresa o un particular y tienes una web, es imprescindible que realices un mantenimiento periódico de la misma. Si no sabes cómo hacerlo o sí que sabes pero tienes mucho trabajo y no puedes permitirte perder el tiempo en hacerlo tu mismo… ¡contrata a un profesional! Tus datos y los de tu empresa estarán seguros. No tendrás porqué preocuparte y tan solo tendrás que dedicarte a tu profesión, a lo que realmente sabes hacer.
Estas son las conclusiones a las que llegamos en mi ponencia en la WordCamp Santander 2017 “Hacker al rey”.
¿Quieres ver mi ponencia en la WordCamp Santander 2017?
Aquí os dejo el video donde pudimos ver lo que nos puede llegar a pasar si nos hackean nuestra web. Un caso real de una web hackeada hasta límites increibles, con acceso total por parte del ciberdelincuente a toda nuestra información. La inclusión de archivos maliciosos que formaban una webshell desde la cual un usuario malintencionado tenía control total no sólo de nuestro WordPress sino también de los archivos del servidor en los que estaba alojada. Da miedo ¿verdad?
Al final de la ponencia os doy consejos para limpiar un WordPress hackeado.
Además os dejo la presentación que utilicé. Haz clic en la imagen para descargarla
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Los días 30 de noviembre y 1, 2 y 3 de diciembre, estuve en Cybercamp 2017 junto con mi compañero Berto, impartiendo unos talleres de ciberseguridad para personas con conocimientos medios-básicos en internet.
No se si sabéis que Cybercamp es el mayor evento de Ciberseguridad del pais y que está organizado por el Instituto Nacional de Ciberseguridad de España (INCIBE). Tuvimos la gran suerte de que los organizadores escogieran Santander como ciudad para realizar el evento.
Los que me conocéis un poquito sabéis que yo empecé a formarme en la seguridad al preocuparme por la desprotección que sufren los más “peques” en la red y que a lo largo de mi carrera profesional he impartido más de 4000 horas (!uf! muchas ya) de cursos de formación para todo tipo de personas, más técnicas y menos técnicas. Así que en este “hábitat” me siento como pez en el agua.
En los talleres vimos consejos de ciberseguridad y explicamos de una manera muy fácil las formas de protegerse al navegar por la red desde nuestros dispositivos.
Los talleres que impartimos fueron:
Seguridad en un PC: características principales de seguridad en un PC con sistema operativo Windows. Nociones básicas sobre los distintos roles de usuario, actualizaciones automáticas y el manejo y configuración básica de un antivirus. Utilización de contraseñas robustas y a crear hábitos seguros en la utilización de las mismas. Realizar copias de seguridad y a gestionarlas adecuadamente. Configuración de un router en red local.
Seguridad en Smartphones y Wearables: Cómo aplicar las configuraciones básicas de seguridad en teléfonos con sistemas operativos “Android” e “IOS” y se dieron a conocer lo que son los dispositivos wearables y qué problemas de seguridad pueden acarrear su uso y conectividad.
Seguridad y privacidad en servicios de Internet: Conocer las características principales de seguridad en los servicios de internet. Configurar la privacidad del correo electrónico y las cuentas de redes sociales, así como cuáles son los riesgos de compartir información personal en internet.
Identificación de riesgos en Internet: Amenazas y riesgos que supone el uso diario de internet, con especial atención a tiendas online y correos electrónicos que no están exentos de estos riesgos.
He de decir que tuvimos una gran aceptación y que en las más de 9 horas diarias que le dedicamos a estos talleres, la gente respondió en masa, lo cual me satisface al ver que os preocupáis por vuestra seguridad. Tuvimos gente de todos los tipos y edades. Algunos de los talleres ya estaban reservados y llenos antes de comenzar. Institutos de varias provincias acudieron a los talleres y creo que los asistentes no se fueron con los brazos cruzados. Precisamente es este tipo de público el que más me gusta tener y metí miedo, mucho miedo, sobre todo en los talleres de riesgos y privacidad en los servicios de internet (redes sociales, correo electrónico, etc.). Creo que hay que educar a los más jóvenes en el uso que hacen de su privacidad en la red, concienciarles de que exponer datos sensibles de su privacidad como fotografías, videos y publicaciones no solo es peligroso, sino que puede tener consecuencias irreparables en sus vidas.
En fin, un fin de semana duro pero muy muy gratificante que no me importaría repetir una y otra vez.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
