En la entrevista hablo de cómo me hice informático y más concretamente, cómo me preocupé por el tema de la ciberseguridad para todos.
Abordamos temas de Seguridad en WordPress, como no podía ser de otra forma, y pasamos un rato agradable charlando.
Mi ponencia en WordCamp Chiclana 2017
Más que una ponencia, lo que acordé con la organización fue impartir un taller llamado “¿Hackeamos WordPress?” donde, de manera muy práctica, indicaba una serie de técnicas y herramientas que se pueden usar para hackear WordPress así como algunas técnicas para evitarlo. El fin de este taller era conocer las vulnerabilidades y aprender a evitar que algún usuario malintencionado hackee nuestras instalaciones WordPress.
Os comparto el video de la entrevista y os invito a verla.
En la seguridad tú eres el eslabón más débil. Este fue el título de mi ponencia en la WordCamp Irún 2019
Tú eres el eslabón más débil
En este mundo de la ciberseguridad, existen muchos peligros que nos acechan. Los que me conocéis ya sabéis lo que me gusta identificarlos, estudiarlos y difundirlos para que naveguéis más tranquilos.
El fin de semana del 1 y 2 de junio de 2019 estuve en Irún. Tuve la suerte de que mi charla “En la seguridad tú eres el eslabón más débil”, fuera escogida y participé como ponente en la WordCamp Irún donde hablamos, sobre todo, de WordPress y cada ponente aporta información en el campo en el que está más especializado.
En vista que había mucha gente nueva me decidí por una ponencia para “todos los públicos” enfocada en concienciar a todos sobre los malos hábitos que tenemos en internet.
La creación y uso de contraseñas fuertes y fáciles de recordar, consejos de seguridad para todos, los peligros de las tiendas falsas, el phishing y las estafas en internet, uso de gestores de contraseñas, doble factor de autenticación, aplicaciones que nos hacen la vida más segura, etc.
Si te perdiste la charla aquí te dejo el video y la presentación de diapositivas que utilicé. Espero que te ayuden a pensar y a modificar tus hábitos mientras navegas.
Se ha descubierto una importante vulnerabilidad en versiones de WordPress anteriores a 5.0.3 que permite a un usuario autenticado con un simple rol de “autor”, ejecutar código de forma remota.
Vulnerabilidad importante en versiones de WordPress anteriores a 5.0.3
Un nuevo capítulo en la seguridad de WordPress. En este caso, se trata de una vulnerabilidad que lleva más de 6 años en el core de WordPress y que aún no se había parcheado. El atacante, mediante el uso de dos tipos de ataques como “Path Traversal” y “Local File Inclusion”, puede ejecutar un código PHP arbitrario en el servidor donde se aloja la instalación de WordPress, lo que lleva a una toma de control remota completa.
Una vez ejecutado el atacante podrá acceder a todos los archivos del directorio principal de WordPress y por lo tanto además, a la base de datos de éste con el peligro que eso conlleva.
Puedes ver la prueba de concepto en el siguiente video
El hecho de que se necesite un usuario autenticado (aunque sea de rol suscriptor o autor) hace que la vulnerabilidad sea menos peligrosa pero aún así, existe y es necesario erradicarla.
¿Cómo protegerme de esta vulnerabilidad?
Actualiza tu WordPress a la versión 5.0,3 (o sucesivas) donde este fallo está parcheado y no tendrás que preocuparte de ella.
Tienes más información y un video de la prueba de concepto en este link:
Bienvenido a la actualidad WordPress y ciberserguridad (3 octubre 2018).
Actualidad WordPress y ciberserguridad (3 octubre 2018)
Muchas gracias por estar preocupado por la seguridad una semana más. A continuación te presento los temas interesantes de esta semana:
Esta semana comienza la WordCamp Barcelona. El viernes será el día para contribuir a WordPress (Contributor Day) y el sábado el día de ponencias. Anímate, aún estás a tiempo.
Por otro lado estamos a la expectativa de nuestros amigos de WPChiclana que el día 5 harán un comunicado sobre un evento que celebrarán próximamente en la localidad andaluza.
Vamos con la actualidad.
Jornadas Hack & Sec 2018 en Santander
Si vives en Santander y alrededores te invito a asistir a un evento gratuito sobre ciberseguridad los días 19 y 20 de octubre. Un evento ideal para familias, profesionales y pymes, donde impartiré el taller “Máxima seguridad en WordPress” de una hora de duración el sábado 20 a pas 12:00. Ver programa.
La semana pasada se celebró SemanaWP con un gran éxito de participación de los usuarios y críticas muy positivas. He tenido la suerte de participar con una charla sobre el mantenimiento en WordPress, en este proyecto donde ponentes expertos en WordPress de toda España, se han unido para realizar videotutoriales sobre todo tipo de temas relacionados con WordPress: desarrollo, seguridad, optimización, diseño, marketing, negocios, blogging, etc. Aún puedes ver todos los videotutoriales online desde tu casa.
Artículos sobre ciberseguridad para toda la familia
Estos son los artículos más interesantes sobre la ciberseguridad en la red para cualquier usuario que navegue por internet:
– **Crítico** Descubren una vulnerabilidad en todos los routers WiFi imposible de arreglar. Ver artículo
– Google Chrome 70 acabará con las extensiones maliciosas con estas nueva medida de seguridad. Ver artículo
– El ransomware será la principal amenaza durante años según Europol. Ver artículo
– Facebook Hackeado. Millones de cuentas de Facebook expuestas. Ver artículo
– Fishing que afecta a todos usuarios con correos imitando a la plataforma online de BBVA. Ver artículo.
Esta semana te recomiendo el podcast de ClubWPress que realiza una fantástica entrevista a Vanesa de exprimeviajes.com la cual nos habla de su tremendo éxito como emprendedora con su web de viajes.
WPnovatos: – “#Podcast 93. Mu plugins de WordPress“.
WordPress desde cero: “#101 Dando un repaso a la Comunidad de WordPress con @DanielArenillas“.
Post Type Podcast: “¿Diseñas o plantillas?“. Hablamos con Roberto Tuñón sobre el proceso de conceptualización y diseño de un sitio web. Así como el por qué saltarte este proceso de diseño que existe hace tantos años puede suponer un gran problema en tu proyecto.
Bienvenido a la actualidad WordPress y ciberserguridad (19 septiembre 2018).
Actualidad WordPress y ciberserguridad (19 septiembre 2018)
Muchas gracias por estar preocupado por la seguridad una semana más. A continuación te presento los temas interesantes de esta semana:
Próximas WordCamps
Tras la resaca de la WordCamp Valencia que se celebró es pasado fin de semana y casi sin tiempo para descansar, el próximo tenemos la WordCamp Pontevedra. otra WordCamp que celebra su primera edición y que pinta muy pero que muy bien. Yo personalmente, tampoco podré asistir aunque he hecho todo lo posible por estar este finde con nuestros amigos de Galicia, este año tendré que prescindir de ir.
Semana WordPress
He tenido la suerte de participar en un proyecto SemanaWP donde ponentes expertos en WordPress de toda España, se han unido para realizar webinars sobre todo tipo de asuntos: desarrollo, seguridad, optimización, diseño, marketing, negocios, blogging, etc. Todo ello relacionado con WordPress. Seguro que quieres saber más así que en este artículo te explico un poco qué es semana WordPress, de qué se trata y cómo puedes participar y apuntarte a ver los webinars. ¿Cuando es? pues será la semana que viene, del 24 al 28 de septiembre
– “Abusan Vulnerabilidad RCE en Versión Antigua del Plugin Duplicator“.
Un artículo superinteresante sobre la explotación de la última vulneabilidad del plugin Duplicator. Ver artículo.
Territorio PodCast
En esta sección recopilo los contenidos de los podcast más interesantes sobre Ciberseguridad y/o WordPress de la última semana. Estos son los podcast más actuales:
WPnovatos: – “Artículos patrocinados en tu blog“. Esta semana hablamos sobre una herramienta para conseguir artículos patrocinados en tu blog de una forma muy sencilla.
WordPress desde cero: “WordCamp Barcelona 2018“. WordCamp Barcelona 2018 se celebrará el primer fin de semana de Octubre y tendrá como principal diferencia el Contributor Day el viernes día 5 en lugar de ser el domingo, así que presta atención si vas a acudir al evento.
Post Type Podcast: “¿Diseñas o plantillas?“. Hablamos con Roberto Tuñón sobre el proceso de conceptualización y diseño de un sitio web. Así como el por qué saltarte este proceso de diseño que existe hace tantos años puede suponer un gran problema en tu proyecto.
WPRadio: “La vuelta al cole con mucho feedback“. Unas vacaciones pueden dar para mucho… ¡y a la vuelta nos hemos encontrado el buzón lleno con preguntas y feedback!.
ClubWPress: “Gánate la vida creando plugins, pero primero, picar piedra, con José Conti“. Organizador Meetups en WPBarcelona, desarrollador de plugins, profesor en su propia academia online, asesor… hoy hablamos con José Conti.
WordPress Semanal: “Q&A sobre afiliados, personalización de webs y ¡más!“. Respondo a vuestras preguntas sobre fotos, vídeos y portfolios; afiliados en WooCommerce, child themes a lo fácil, personalización de Genesis y actualizaciones …
Repositorio WP: “Revisión de los últimos plugins publicados en el Repositorio de WordPress“.
