Configuración de All in One WP Security & Firewall paso por paso

Configuración de All in One WP Security & Firewall paso por paso

Aprende a configurar All in One WP Security & Firewall completamente y paso por paso

 

En este post hablaré del plugin “All in One WP Security & Firewall” para WordPress.

Hace tiempo escribí este otro post donde te hablaba de este fantástico plugin de seguridad para WordPress. Además, te dejé una configuración básica del mismo para que pudieras aplicar unos sencillos parámetros de seguridad a tu WordPress sin más trabajo que el de copiar y pegar. Después de varios meses desde aquel post, el plugin se ha actualizado bastante, incluyendo un montón de nuevas funcionalidades interesantísimas para proteger aún más tu página WordPress.

 

All in One WordPress Security and Firewall

 

Pues bien, hoy te traigo un videotutorial algo más largo de lo que os tengo acostumbrados pero la ocasión lo requiere. Se trata de una configuración completa, paso por paso de este fantástico plugin.

 

Configuración básica de All in One WP Security & Firewall

A raiz del post anterior, muchos me habéis preguntado que para que servía esta o aquella funcionalidad, si es necesario activarla, cómo se modifican las notificaciones por email, y un montón de dudas que os he ido resolviendo una a una a medida que me llegaban. Pues aquí tenéis una explicación de cada una de las secciones y pestañas de configuración del plugin para así entenderlas y configurarlas por nosotros mismos.

 

Actualización del plugin

A raiz de las últimas actualizaciones, el plugin All in One WP Security & Firewall tiene un montón de configuraciones que te explico en el siguiente videtutorial. Utiliza un sencillo sistema de puntuación para indicarnos cómo de fuerte es la seguridad de nuestra página.

 

 

¿Qué tal? la configuración es algo laboriosa ¿verdad? sin embargo, ¿sabías que una vez esté realizada podemos utilizarla (casi en su totalidad) para otras instalaciones? ¿Quieres saber como exportar esta configuración para otros sitios que tengas hechos con WordPress? Pues échale un vistazo a este otro post donde te indico, paso por paso, como exportar toda esta configuración para que jamás tengas que realizar el proceso dos veces.

 

¿Merece la pena?

En mi modesta opinión, merece la pena configurar el plugin a tu gusto, tan solo una vez, para luego poder exportarla a todas tus páginas. Como te dije, es mi plugin de seguridad favorito (hasta el momento) y creo que merece la pena realizar una buena configuración, tu lo agradecerás evitándote quebraderos de cabeza y los ciberpiratas no lo tendrán nada fácil para hackear tus webs 😉

 

Si tienes alguna duda sobre su funcionamiento o utilización ponte en contacto conmigo.

Valórame, es gratis, solo te cuesta un click [kkstarratings]

 

Vulnerabilidades 28 de Marzo 2018

Vulnerabilidades 28 de Marzo 2018

Informe sobre últimas vulnerabilidades encontradas en WordPress

Estas son las últimas vulnerabilidades encontradas en WordPress.

Si tienes alguno de estos plugins te recomiendo actualizar a su última versión inmediatamente. Espero que este servicio te sirva de ayuda para mantener tu WordPress seguro.

 

Vulnerabilidades en PLUGINS

Vulnerabilidad –> Unauthenticated Stored XSS

Plugins afectados:

Events Manager v5.8.1.1

Events Manager v5.8.1.1

Un usuario no autenticado o un usuario sin privilegios, que puede enviar un evento, puede insertar código JavaScript en la miniatura del mapa de Google Maps.

La brecha de seguridad se ha arreglado en la version 5.8.1.2 del plugin

¿Quieres ver una POC de cómo explotar esta vulnerabilidad? Pues mira este vídeo

Vulnerabilidad –> Cross-Site Scripting (XSS) 

Plugins afectados:

Duplicator v1.2.32

Duplicator v1.2.32

 

XSS, del inglés Cross-site scripting es un tipo de vulnerabilidad o agujero de seguridad típico de las aplicaciones Web, que permite a un usuario malintencionado inyectar código JavaScript en páginas web visitadas.

Un atacante puede realizar una petición post inyectando un string.

Conoce los detalles y aprende cómo pueden explotar esta vulnerabilidad en el siguiente video

Vulnerabilidad –> Multiple Cross-Site Scripting (XSS)

Plugins afectados:

Activity Log v2.4.0

Activity Log v2.4.0

 

XSS, del inglés Cross-site scripting es un tipo de vulnerabilidad o agujero de seguridad típico de las aplicaciones Web, que permite a un usuario malintencionado inyectar código JavaScript en páginas web visitadas.

El fallo de seguridad se ha arreglado en la version 2.4.1 del plugin

 

Valórame, es gratis, solo te cuesta un click [kkstarratings]

 

Vulnerabilidades Enero 2018

Vulnerabilidades Enero 2018

Informe sobre últimas vulnerabilidades encontradas en WordPress

Inauguro esta sección para mantenerte informado/a de las últimas vulnerabilidades encontradas en WordPress.

Espero que este servicio te sirva de ayuda para mantener tu WordPress seguro.

 

Vulnerabilidades en PLUGINS

Vulnerabilidad –> Stored XSS

Plugins afectados:

BuddyBoss Media v3.2.3

BuddyBoss Media v3.2.3

Dark Mode v1.6

Dark Mode v1.6

¿Qué es Stored XSS (inyección de código almacenado)?

Se trata de uno de los ataques más peligrosos ya que el código que inyecta el atacante se almacena en tu base de datos.

Los ataques almacenados son aquellos en los que el script insertado se almacena permanentemente en los servidores de destino, como en una base de datos, foro de mensajes, registro de visitantes, campo de comentarios, etc. La víctima recupera el script malicioso del servidor cuando solicita la información almacenada. Stored XSS también se conoce como Persistent o Type-I XSS.

El CSRF (del inglés Cross-site request forgery o falsificación de petición en sitios cruzados) es un tipo de exploit malicioso de un sitio web en el que comandos no autorizados son transmitidos por un usuario en el cual el sitio web confía.

Vulnerabilidad –> Authenticated Stored XSS & CSRF

Plugins afectados:

Pinterest feed 1.1.1

Pinterest feed 1.1.1

Coming Soon 1.1.18

Coming Soon 1.1.18

Booking calendar 2.1.7

Booking calendar 2.1.7

El CSRF (del inglés Cross-site request forgery o falsificación de petición en sitios cruzados) es un tipo de exploit malicioso de un sitio web en el que comandos no autorizados son transmitidos por un usuario en el cual el sitio web confía.

Vulnerabilidad –> Authenticated Stored XSS & CSRF

Plugins afectados:

Google forms 0.91

Google forms 0.91

Server Side Request Forgery (SSRF) se refiere a un ataque en el que un atacante puede enviar una solicitud elaborada desde una aplicación web vulnerable. La SSRF generalmente se utiliza para atacar sistemas internos detrás de firewalls que normalmente no son accesibles para un atacante desde la red externa. Además, también es posible que un atacante aproveche la SSRF para acceder a los servicios desde el mismo servidor que está escuchando en la interfaz loopback (127.0.0.1)

 

Valórame, es gratis, solo te cuesta un click [kkstarratings]

“Display Widgets” un plugin con sorpresa

“Display Widgets” un plugin con sorpresa

Detectado Malware en el plugin “Display Widgets”

Hace unos días se retiró del repositorio de WordPress un plugin llamado “Display Widgets”. Se detectó en su código una puerta trasera (backdoor) que permitía a un atacante acceder a las instalaciones que tuvieran instalado este plugin y enviar spam desde ahí.

El plugin fue retirado hasta 4 veces del repositorio de WordPress por la misma razón y en el momento de su retirada existían más de 200.000 instalaciones del mismo en WordPress de todo el mundo.

Para entrar más en detalles sobre este plugin os voy a recomendar un podcast muy completito de mi amigo Juanma Aranda (wpnovatos.com) en el que habla de la historia de este plugin y aporta muchos detalles sobre el funcionamiento y el malware que contenía. A mi parecer, aborda el tema de una manera fantástica y apto para usuarios de diferentes niveles de conocimiento. Decir que he tenido la gran suerte de ser invitado por Juanma para participar en este podcast y dar mi opinión sobre las backdoors (Gracias Juanma).

Os lo recomiendo así que… dadle al “Play”.

 

 

Valórame, es gratis, solo te cuesta un click [kkstarratings]

Mi presentación en la WordCamp Bilbao 2017

Mi presentación en la WordCamp Bilbao 2017

Aquí os dejo para descargar la presentación de diapositivas que utilicé en la WordCamp Bilbao 2017.

Espero que os ayude y os sirva de guía para poder elegir con garantías un plugin de seguridad para vuestras instalaciones de WordPress.

 

Para descargarla pincha en la imagen

Presentacion plugins WordCamp Bilbao 2017

 

Valórame, es gratis, solo te cuesta un click [kkstarratings]