El canal “Palabra de Hacker” organiza este ciberdebate sobre seguridad en WordPress
Hoy quiero contaros que he tenido la suerte de ser invitado por Yolanda Corral al ciberdebate “Cómo mejorar la seguridad en WordPress”, junto con otros dos profesionales de la materia como Daniel Maldonado (@elcodigok) y Jorge Coronado (@JorgeWebsec).
Estaremos más o menos una hora debatiendo sobre la seguridad en WordPress y contestaremos a todas vuestras preguntas.
Cómo mejorar la seguridad en WordPress
El ciberdebate tendrá lugar el martes 28 de febrero de 2017 en el canal de Youtube “Palabra de Hacker” y será moderado por la propia Yolanda Corral, responsable del canal.
Si queréis más información os animo a visitar la web oficial en este enlace.
(Editado) Aquí os dejo el video
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Modificación de post de nuestros WordPress mediante ataques de “defacement”
Tras varios días de incidencias he decidido escribir este post para que no os preocupéis.
En los últimos días hemos recibido un número indiscriminado de incidencias de webs diciendo que su web había sido hackeada y, efectivamente, así era. Al comprobar los post de sus páginas veían que la última entrada que habían publicado era totalmente diferente, ahora, en el título se leía algo así como “Hacked By XXX”, y el contenido o descripción e incluso la imagen destacada también habían cambiado. La verdad que he visto distintos y variados contenidos pero todos, en el fondo, vienen a ser lo mismo:
El “atacante” inyecta código en nuestra base de datos aprovechando una vulnerabilidad de la REST API implementada en la versión 4.7 de WordPress, consiguiendo modificar el contenido de un post.
¿Esto es grave?
Pues la verdad es que no es muy grave ya que un “defacement” no es más que una modificación o cambio intencionado en nuestras páginas, más concretamente y según “wikipedia”:
“Defacement es una palabra inglesa que significa desfiguración y es un término usado en informática para hacer referencia a la deformación o cambio producido de manera intencionada en una página web por un atacante que haya obtenido algún tipo de acceso a ella, bien por algún error de programación de la página, por algún bug en el propio servidor o por una mala administración de este.”
Sin embargo, nunca sabemos la modificación que pueden realizar y de momento, si simplemente se trata de modificar el contenido del post con la frase “Hacked by XXX”, no hay más problema que lo feo que queda que en una web nuestra o de algún cliente, se pueda leer que la web esta hackeada en lugar de mostrar nuestro bonito y trabajado post.
¿Cómo lo arreglo?
Esta vulnerabilidad existe desde la versión 4.7 de nuestros WordPress y afecta a las versiones 4.7 y 4.7.1. El fallo de seguridad se solucionó en la versión 4.7.2 así que si estás leyendo esto y te ha ocurrido lo que aquí te indico, lo más seguro es que tengas tu instalación de WordPress desactualizada. Lo primero que te recomiendo es que repares el post afectado y actualices a la última versión de WordPress. También te recomiendo que actualices también los temas y los plugins (por descontado).
¿Cómo puedo securizar mi web para que no me vuelva a pasar?
Si eres seguidor de mi blog ya lo sabrás, sino te invito a visitar este post en el que pongo a tu disposición mi presentación en la WordCamp Cantabria 2015, donde te doy unos parámetros básicos para asegurar tu WordPress.
¡Genial! y ¿me aseguras que no me volverá a pasar nada parecido? pues la respuesta por desgracia es un ¡No! rotundo pues nunca estaremos a salvo de ataques al 100% pero sí que podemos ponérselo a los “malos” lo más difícil posible.
Si no quieres preocuparte por la seguridad de tu web y quieres dedicarte simplemente a tu negocio mi consejo es que contrates los servicios de un profesional de Seguridad en WordPress y por una pequeña cuota mensual, despreocuparte de la seguridad y dedicarte a lo que mejor sabes hacer.
Te dejo toda la información sobre el ataque en el siguiente enlace (en inglés) del blog de Wordfence.
Tomás S.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Por tercer año consecutivo he tenido la suerte de ser parte de la organización de Sh3llcon, el congreso de seguridad informática que se celebra cada año en Cantabria. Han sido seis meses de duro trabajo junto a mis compañeros de organización, que se intensificaron sobremanera en las dos últimas semanas.
Para comenzar, quiero hacer una mención especial a nuestra empresa Netkia que, como años atrás, nos ha proporcionado el tiempo y los recursos necesarios tanto humanos como materiales y económicos para poder organizar un evento a la altura de los más grandes. Si, de los más grandes, o así nos lo han hecho llegar la cantidad de felicitaciones que hemos recibido tanto durante como a la finalización del congreso.
En Sh3llcon damos mucho valor a las opiniones de los asistentes, prueba de ello es que cada año añadimos nuevas características al congreso.
Talleres prácticos especializados
Muchas más horas de talleres prácticos, con talleres especializados de hasta 4 horas de duración.
Talleres para público no especializado en seguridad
Talleres de seguridad en la red tanto para adolescentes como para padres y profesionales de la educación, que son los que cada día tienen que hacer frente a estas amenazas casi imperceptibles para los más pequeños.
Foro para empresarios y directivos de empresas
Este año hemos incluido un foro para concienciar a las empresas de la importancia de la seguridad y de la protección de sus datos y la de sus clientes. El foro tuvo una fantástica acogida
Ponencias
Charlas y ponencias de calidad con ponentes de primer nivel, algunos ya son hasta parte de Sh3llcon, pues quieren venir año tras año a aportar sus conocimientos, y nosotros pues… ¡encantados!
El resultado de todo esto han sido más de 700 asistentes entre todos nuestros eventos, algo que ni siquiera podíamos soñar cuando comenzamos a montar Sh3llcon por primera vez.
En definitiva, ya terminó la tercera edición de Sh3llcon, un lugar donde aprender sobre seguridad, hacer contactos y conocer gente que comparte tus inquietudes. Un trabajo duro pero muy gratificante.
Desde la organización, queremos dar las gracias a asistentes, ponentes y patrocinadores porque sin ellos este evento no habría sido posible.
Nos vemos en Sh3llcon 2018
Tomás
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Protege tus archivos importantes de WordPress por htaccess impidiendo el acceso desde el exterior
La protección de archivos desde .htaccess es una de las acciones importantes de seguridad que toda instalación de WordPress debería de tener.
En la primera parte de este artículo sobre seguridad en WordPress a través del archivo .htaccess, vamos a ver como evitar el acceso desde el exterior a usuarios malintencionados que intenten ver los archivos más críticos de nuestras instalaciones WordPress.
Hoy veremos cómo impedirlo con unas sencillas líneas de código en nuestro archivo .htaccess que, como ya sabes, se encuentra en el directorio raiz de nuestra instalación. Este archivo suele estar oculto por lo que si no lo ves deberás habilitar la opción “ver archivos ocultos o de sistema” o pulsando la combinación de teclas CTRL+H
En este ejemplo vamos a proteger los archivos:
wp-config.php: donde se encuentran, entre otras cosas, todos los datos de acceso a nuestra base de datos.
El propio .htaccess: archivo de configuración utilizado por servidores web basados en apache y que configura los ajustes iniciales del servidor.
xmlrpc.php: que puede ser utilizado para realizar ataques de fuerza bruta.
Protección de archivos desde htaccess
El código que debes incluir en tu .htaccess es el siguiente:
# proteger wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
# proteger .htaccess
<files .htaccess>
order allow,deny
deny from all
</files>
# proteger xmlrpc.php
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
Puedes utilizar estos códigos para proteger otros archivos como el readme.html o cualquiera que pueda mostrar información importante de nuestra instalación. Pero ten cuidado a la hora de incluir código en el .htaccess ya que puedes provocar errores como la famosa “página en blanco”. Úsalo con responsabilidad.
Si te ha gustado o tienes alguna duda déjame tus comentarios. También puedes sugerirme ideas para futuros tutoriales relacionados con la seguridad en WordPress o con trucos de seguridad en general.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Ponencia de Tomás Sierra en la WordCamp Santander 2016
El pasado 5 de noviembre tuve la suerte de participar, por primera vez como ponente, en la WordCamp Santander 2016. Desde 2015, año en el que empezamos con las WordCamps en Cantabria, formo parte del grupo de voluntarios que ayuda a que todos los detalles del evento discurran correctamente. En la anterior edición llamada WordCamp Cantabria, también impartí una desconferencia de seguridad y este año, gracias a Darío Balbontín, quien fue el verdadero culpable, estuve encima del estrado intentando transmitir a los asistentes algunos consejos de seguridad que he ido recopilando en mis años de trabajo con WordPress y lo fácil que puede ser para un usuario malintencionado conseguir el usuario administrador y la contraseña de nuestras instalaciones.
Hablo de herramientas como “Crunch” o “WpScan” para conseguir estos fines, así como de muchas otras que tenemos a nuestra disposición en la red y que podemos utilizar para otros fines bien diferentes.
A continuación os dejo la presentación de dispositivas que podéis descargar de manera totalmente gratuita y un enlace al video de la ponencia en Youtube, te animo a que la veas y me dejes un comentario con tus impresiones, todo es bueno para mejorar 😉
Disfruta de la ponencia
Haz clic en la imagen para descargar la presentación
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Os traigo unos parámetros básicos de seguridad en WordPress. Esta presentación la utilicé en una meetup de la comunidad WordPress de Cantabria en 2014 y también en una desconferencia de la WordCamp Cantabria 2015.
Desconferencia de Tomás Sierra en la primera WordCamp Cantabria celebrada en el Palacio de la Magdalena de Santander los días 7 y 8 de noviembre de 2015.
¿La WordCamp Cantabria 2015? pues a mi parecer un evento de 10, con ponencias de 10, localización y organización de 10. No voy a decir más porque quiero redactar un artículo más extenso sobre la WordCamp Cantabria y tengo mucho que contar.
No se vosotros, pero yo al menos, aprendí muchísimo estos dos días. Hice comunidad, hice contactos y sobre todo, hice buenos amigos que comparten una de mis pasiones, WordPress. La otra, la seguridad, es la que eché en falta en las ponencias y entonces me acordé que hace un tiempo, dí una charla en una MeetUp para la comunidad de WordPress de Cantabria donde, desde mi humilde punto de vista, intenté explicar a los asistentes lo importante que es mantener nuestras instalaciones de WordPress optimizadas y con correctos parámetros de seguridad. No tenía pensado presentar propuesta para las desconferencias de la WordCamp pero varios asistentes me animaron y al final lo hice. La propuesta recibió 27 votos lo cual os agradezco enormemente, así que yo y mi ilusión empezamos a prepararla.
Parámetros básicos de seguridad en WordPress
Mi obsesión por la seguridad comenzó hace tiempo al leer en un artículo que WordPress era el CMS más atacado de todos y también el más utilizado ¿habrá alguna relación? La casualidad hizo que hablando con un compañero de trabajo surgiera la idea de organizar un congreso de seguridad en Cantabria. Así, a groso modo, nació Sh3llcon, y así nació mi preocupación por la seguridad en WordPress.
Todos sabemos que nuestros WordPress son atacados prácticamente en el mismo momento en el que los subimos a producción, entonces ¿por qué nadie habla de ello?. Complejos (y no tan complejos) scripts escritos en diferentes lenguajes de programación unidos a las características de WordPress hacen que sea extremadamente sencillo atacar con éxito nuestras instalaciones casi desde el segundo cero.
Podría llenar páginas y páginas de razones por las que habría que hablar más de la seguridad en nuestras instalaciones de WordPress pero eso creo que lo dejaré para otra ocasión, de momento aquí os aporto mi granito de arena. A la espera del video (que bastantes habéis preguntado por él) os dejo los slides de mi presentación y como allí dije, coger lo que os interese y lo que os parezca más interesante.
Lo que aquí verás son muchas cosas que he ido recopilando a lo largo del tiempo aunque está en continua evolución. Por supuesto que hay muchas maneras de fortificar nuestras instalaciones, cada uno aplica las suyas dependiendo de diversos factores, por eso no quiero que toméis esto como una guía paso a paso de lo que debéis hacer, sino sacar vuestras conclusiones y aplicar lo que haga falta en vuestras instalaciones.
La presentación no tiene copyright ni derechos de autor ni nada parecido, está al servicio de la comunidad así que usarla como queráis, eso si, os agradecería que simplemente citarais la fuente de quien la realizó, más que nada porque sino parece que el tiempo invertido en crearla carece de valor y no es así.
Os dejo el video de la misma charla en una meetup de la comunidad WordPress de Cantabria donde os explico los parámetros básicos de seguridad en WordPress.
Valórame, es gratis, solo te cuesta un click [kkstarratings]