Bienvenido a la actualidad WordPress y ciberserguridad (9 mayo 2018)
Actualidad WordPress y ciberserguridad (9 mayo 2018)
La semana pasada la red social Twitter comunicó que más de 330 millones de sus contraseñas habían estado expuestas. El problema fue que estas contraseñas se almacenaban en un archivo en texto plano, lo cual podía ser visible por cualquier persona que tuviera acceso a ese archivo. Aunque Twitter dice que nadie ha tenido acceso, te recomiendo cambiar la contraseña de todas tus cuentas de Twitter YA MISMO.
He recibido varias felicitaciones de suscriptores a mi newsletter por el aviso de seguridad que les envié en cuanto esto ocurrió. Estad seguros que seguiré enviando avisos importantes de seguridad a mi lista de suscriptores el día que ocurran y sea la hora que sea 😉
Pongámonos serios, te haré una pregunta: ¿Está tu web o blog preparado para el Reglamento General de Protección de Datos (RGPD)? Recuerda que el 25 de este mes ya no habrá excusas y todas nuestras webs que recopilen cualquier tipo de información sobre los usuarios que la visitan, deberán cumplir esta normativa. Te voy a recomendar una lectura obligatoria de tutorialwp.online para que cumplas todo esto ya que aún estas a tiempo.
Vamos con algo más agradable y que me tiene muy nervioso. Te recuerdo que ya quedan muyyy poquitas entradas para las WordCamp Bilbao y la WordCamp Irún. Estoy seguro que no te quieres perder estos dos pedazo de eventazos, yo por lo menos no lo voy a hacer y ya tengo el viaje programado y el alojamiento en ambas ciudades. No digas que no te avisé.
Hablando de la WordCamp Irún, estoy encantado con el patrocinio de WpScan. Los que ya me conocéis sabéis que soy un admirador de este software gratuito para la búsqueda de vulnerabilidades en WordPress. Siempre en mis ponencias tengo una cita para Wpscan pues me parece que está muy bien trabajado y a mi, en mi día a día, me viene como anillo al dedo. Si aún no sabes de lo que hablo puedes ver mi charla en la WordCamp Madrid 2017 y te harás una idea.
En la actualidad WordPress, esta semana hemos asistido a la creación de un nuevo proyecto de nuestros amigos de Chiclana-Cádiz.
mowomo.com, nace como resultado de la unión de Cuboit y Blogalizate y cuenta con un equipo experto en WordPress y apasionado por el emprendimiento. Desarrollan plantillas de temas y plugins a medida, muy livianos y sin cargas para que tu web vuele. Sin duda, viendo la gente que se ha juntado en el proyecto, van a tener un gran éxito.
En mis post de esta semana puedes ver “herramientas para limpiar WordPress“, donde te indico varias herramientas online para escanear nuestra instalación en busca de código malicioso (con videotutoriales expli cativos muy muyyy sencillitos). Además, vemos plugins de seguridad para evitar que nos entre malware. Mirad la imagen destacada que me hice con Gimp ¿Quedó chula?
He añadido un par de videos más a mi canal de Youtube aprovechando el artículo de herramientas online. Como siempre, son videotutoriales muy sencillitos sobre Sucuri sitecheck y Virustotal, dos herramientas online para escanear nuestras páginas web en busca de virus, malware y código malicioso.
Manteneros atentos a mi canal pues iré añadiendo videos de más herramientas y configuraciones de plugins de seguridad, explicados para cualquier tipo de usuario.
Además, tengo pensado ir añadiendo trucos de ciberseguridad otro tipo de herramientas para navegar más seguros en internet.
En este post quiero mostrarte una serie de herramientas para limpiar WordPress, que suelo utilizar a menudo. Te las enumeraré sin entrar en mucho detalle sobre su utilización, pero estate atento a este blog, pues crearé videotutoriales de cada una, para que aprendas a manejarlas.
Además veremos algunas otras para comprobar si nos han hackeado. En el primer momento que sospeches que tu sitio WordPress puede estar hackeado, te recomiendo realizar una seria de acciones para comprobarlo y, en el peor de los casos, para desinfectarlo.
Tengo que decir que esto no es una guía de desinfección (si quieres, más adelante crearé una con los pasos que yo sigo para limpiar un WordPress infectado), sino que lo que se pretende es que conozcas una serie de herramientas que puedes utilizar para dejar limpito limpito tu WordPress). Comencemos.
Check list de herramientas de limpieza
Paso 1: Realiza un escaneo de tu sitio.
Para ello vamos a diferenciar dos niveles:
– Un nivel más general, que nos servirá simplemente para comprobar si nuestro sitio tiene código malicioso o simplemente está catalogado como “peligroso” por los principales servicios de seguridad de la red. Para ello vamos a utilizar varios sitios online:
– Sucuri Sitecheck: El escáner de Sucuri que me parece bastante bueno para nuestro objetivo.
Nos indicará si ha encontrado malware y si nuestra web está en alguna lista negra. A continuación te dejo un video explicativo sobre cómo usar esta herramienta o puedes ver el artículo completo.
– Virustotal.com: Otro sitio fantástico para escanear tu web completa o algún archivo concreto que sospeches que puede tener código malicioso.
Para comprender cómo utilizarlo tienes este artículo o puedes ver el video a continuación.
– Otro nivel más específico, se trata de un escáner más detallado de nuestra instalación.
– Para este paso te recomiendo usar el plugin Wordfence. En su versión gratuita tenemos muchísimas cosas esenciales para la seguridad de tu WordPress. Su escaner de malware me parece completísimo. Suelo utilizarlo para escanear sitios en los que sospecho que están hackeados. Te informa de cadenas de código malicioso en archivos de tu instalación y te da la posibilidad de borrarlos directamente, ponerlos en cuarentena o restaurarlos por otros limpios del core original de WorPress. Hablo de todo esto en este video de mi ponencia en la WordCamp Santander 2017.
Herramientas para limpiar WordPress
Paso 2: Limpia tus archivos con código malicioso a través de un plugin.
Como dije anteriormente, te recomiendo Wordfence, ya que tiene un escaner muy bueno con la posibilidad de eliminar los archivos infectados.
Sin embargo, hay veces que el código malicioso está inyectado en la misma base de datos. Aquí ya tenemos un problema más gordo y además, más costoso de solucionar.
Paso 3: Para estar seguro, descarga y escanea
Lo último que nos falta por hacer sería asegurarnos que no hay virus en nuestra instalación, por lo tanto, descarga todos tus archivos y carpetas a tu ordenador y pásales uno o varios antivirus de los que usas habitualmente: Panda, Norton, Avira, Microsoft Security, Avast, etc.
Además, como consejo, pásale una aplicación antimalware como Malwarebytes. Un software gratuito que te escaneará los archivos de manera maás profunda.
Más vale prevenir…
Utiliza un plugin de seguridad para evitar todo esto. Vamos a ver unos pocos muy buenos que son los más descargados del repositorio de WordPress.
Wordfence
Acabamos de hablar de él. Muy bueno y fácil de configurar. Próximamente videotutorial de configuración 😉
All in One WP Security & Firewall
Es el que yo suelo utilizar, fácil de configurar y con muchas opciones. Dispone de un pequeño Firewall que te encantará. En este post te hablo de cómo configurarlo o, si lo prefieres, importes una configuración por defecto que puede servirte en un principio (te aconsejo que revises esas opciones y las adaptes a tu propia instalación). Te dejo un videotutorial para que aprendas a configurar todas sus opciones y tu WordPress esté más seguro.
IThemes Security
Otro pedazo de plugin de seguridad muy muy bueno. Próximamente realizaré un videotutorial para que aprendas a configurarlo.
Sucuri
Otro gran plugin de seguridad que utilicé durante mucho tiempo. Y dirás ¿por que ya no lo utilizas? pues la respuesta está en el video que te dejo a continuación. Para que tu mismo escojas el plugin que más te convenga, te dejo el video del webinar que hice para Siteground junto a Fernando Tellado, en el que enumero los parámetros básicos y esenciales de seguridad en WordPress y además incluyo una tabla comparativa de los plugins más utilizados del repositorio, que son precisamente los que he enumerado en este artículo.
Siempre realiza un Backups de tus datos
Para terminar, te aconsejo que realices una copia de seguridad de tu instalación antes de realizar cualquier modificación (instalación de plugins, actualizaciones, configuraciones, etc.) y después de realizarlas. Puedes utilizar plugins gratuitos como:
Repaso de las Vulnerabilidades encontradas en WordPress con fecha 4 mayo 2018
Vulnerabilidades WordPress 4 Mayo 2018
Vamos a hacer un repaso de las vulnerabilidades encontradas en WordPress a fecha 4 de Mayo de 2018. Como siempre los datos los he sacado de la base de datos de wpvulndb.com. La comunidad WordPress, estamos esperando una nueva versión del core de WordPress (4.9.6) donde anuncian cambios en relación a la RGPD.
Vulnerabilidades WordPress 4 Mayo 2018
Estas son las vulnerabilidades encontradas en plugins de WordPress y que se solucionan con la actualización de éstos a su última versión.
Un atacante puede ejecutar código malicioso en el navegador de una víctima para realizar diversas actividades, como robar cookies, tokens de sesión, credenciales y datos personales, entre otros.
Afecta a sitios web de WordPress que ejecutan el complemento “WF Cookie Consent” versión 1.1.3 (las versiones anteriores también pueden verse afectadas).
Solución:
Actualizar a la última versión del plugin (1.1.4)
Se ha descubierto una vulnerabilidad XSS en NextGEN Gallery 2.2.30 y versiones anteriores. La vulnerabilidad es causada por un error porque los atributos de la imagen “Alt” y “Title” no procesan correctamente los datos proporcionados por el usuario.
Solución:
Actualiza a la última versión del plugin donde el paquete de firmas está actualizado.
Form Maker by WD 1.12.22 – CSV Injection
Un atacante puede ver y descargar datos de un formulario en formato csv
Afecta a sitios web de WordPress que tenga instalado el plugin en su versión: 1.12.20 y anteriores.
Solución:
Actualizar a la versión 1.12.24
Hasta aquí el resumen de vulnerabilidades encontradas recientemente. Recuerda compartir este contenido.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Bienvenido a la actualidad WordPress y ciberserguridad (2 mayo 2018)
Actualidad WordPress y ciberserguridad (2 mayo 2018)
Mañana, jueves 3 de mayo, habrá actualización de WordPress a la versión 4.9.6. Las principales novedades que nos trae esta versión, tienen que ver con el Reglamento General de Protección de Datos (RGPD) que se aplicará definitivamente a partir del 25 de este mes. ¿Ya tienes tus webs adaptadas a esta normativa? si no es así te recomiendo hacerlo, ya que se ha endurecido la anterior normativa y las multas pueden llegar hasta el 20% de tu facturación anual. No es algo para despreocuparse.
A pocas semanas de la WordCamp Bilbao (19 y 20 de mayo) donde podremos disfrutar de ponencias de altísimo nivel (ver programa), ya estoy finalizando mi presentación de diapositivas sobre “¡Proyectos heredados! Pros y contras de una web que no has desarrollado”, espero que os guste. ¿Que aún no tienes tu entrada? no esperes más y cómprarlas aquí antes de que se agoten. Tengo ganas de asistir y ver a grandes amigos, además de disfrutar de una ciudad como Bilbao a la que he tenido la suerte de ir muchas veces gracias a la cercanía con Santander.
Se ha ampliado el plazo para enviar ponencias a la WordCamp Barcelona en octubre. Si eres de los que lo dejaste para el final y se te pasó la fecha, ¡anímate! tienes hasta el próximo domingo para enviarlas. Yo he mandado varias ponencias más, ya que una de las que envié fue escogida en La WordCamp Irún. El tema de fondo, como siempre, es la Seguridad de nuestros datos y de nuestras webs, aunque he decidido enviar ponencias de temas menos técnicos ya que es lo que demanda actualmente la comunidad WordPress de España. He de reconocer que por unas causas o por otras, siempre me ha sido imposible asistir a esta WordCamp y este año me he propuesto ir sea como sea.
Y sin salir del tema de las WordCamps, os diré que he adquirido mi entrada “fila 0” para la WordCamp Irún. Este tipo de entrada no es una entrada para acceder al evento, sino que sirve para ayudar económicamente a la organización a crear un evento de mayor calidad para todos. Si no puedes ir a Irún en las fechas indicadas y quieres colaborar como yo, te animo a que adquieras una entrada de “fila 0” por tan solo 20€, y ayudaras a crear un evento de mayor calidad. Y si vas a asistir y aún así quieres ayudar pues también puedes hacerlo.
Y ahora un poquito de seguridad, quiero meteros un poco de miedito: ¿te has preguntado cómo es posible hackear la seguridad de una empresa multinacional a través de una impresora? echa un vistazo a este video y empieza a preocuparte. En él puedes ver como utilizando técnicas que pueden estar al alcance de cualquiera, llegan a conseguir objetivos muy oscuros.
Por último, si estás buscando el mejor plugin de seguridad para tu WordPress, quizá te ayude mi tabla comparativa de los 4 plugins más descargados del repositorio. Una charla que ahora mismo hace un año, pues fue la que utilicé en la WordCamp Bilbao 2017. Es este artículo tienes la tabla actualizada y un video completo dobre los parámetros de seguridad para aplicar a tu WordPress.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Bienvenido a la actualidad WordPress y ciberserguridad (25-abril 2018)
Actualidad WordPress y ciberserguridad (25-abril 2018)
Hoy empezaré dando las gracias a una nueva comunidad WordPress. ¡Muchas gracias! a la organización de WordPress de Bilbao por aceptar mi ponencia “¡Proyectos heredados! Pros y contras de una web que no has desarrollado” para la “WordCamp Bilbao“que se celebrará los días 19 y 20 de mayo en el museo marítimo “Ría de Bilbao”. Estoy encantadísimo pues seré ponente en Bilbao y 2 semanas más tarde también en Irún.
Después de la resaca de la WordCamp Madrid del pasado fin de semana, todo el mundo habla muy muy bien de ella: bien la organización, el venue, las ponencias… No esperaba menos de esta gente WordPressera de Madrid que siempre saben lo que hacen y, estoy seguro que con muchísimo esfuerzo para que todo saliera perfecto como parece que así fue. Meter a 450 personas en un vento de este tipo no es fácil. Mi enhorabuena más sincera a todo el equipo de la organización y de voluntarios. Digo “parece” porque me fue imposible asistir aunque hubiera querido. ¿Las razones? pues la principal fue que no quedaban sitios baratitos donde quedarse. La final de la copa del rey de fútbol, la maratón del domingo, hicieron que descartase ir para ahorrar y poder asistir a alguna otra WordCamp (este año hay un montón), mira el calendario de WordCamps en España para 2018. En fin, que al final tocó ver las ponencias desde casa gracias al streaming de Agora News. Puedes ver todas las ponencias del track A pinchando aquí.
Un artículo super interesante de Javier Casares, que va a traer cola. Habla sobre el estado de las WordCamps en España y hace una reflexión sobre la posibilidad de realizar eventos paralelos para personas y profesionales de WordPress con un perfil más técnico. Además del artículo, os recomiendo leer los comentarios de otras personas en esa misma página y podréis observar de lo que hablo.
Todos los años se celebra por estas fechas el Mundo Hacker Day en Madrid. Se trata del evento gratuito para profesionales de la ciberseguridad, más multitudinario del año. En él se dan cita los mejores hackers nacionales e internacionales. Cada año suelo ir con compañeros de trabajo de Netkia que también son coorganizadores del Congreso de Seguridad Sh3llcon que celebramos todos los meses de enero en Santander. Sin embargo, este año no hemos podido asistir, nuestras obligaciones laborales y la reciente implantación del Departamento de seguridad de Netkia, requiere de muchas horas y mucho esfuerzo para sacar adelante un servicio de calidad. Así que este año toca escuchar el streaming mientras trabajamos. Os dejo este enlace por si queréis verlo también.
Y hablando de Congresos de Ciberseguridad, este fin de semana se celebra la CONPilar en Zaragoza. Si teneis la oportunidad de ir os lo aconsejo. Conocereis a lo mejorcito del panorama Hacker nacional.
En mis artículos de actualidad, te dejo una revisión del Plugin BackupBuddy que sirve para hacer copias de seguridad de tu página WordPress.
Por último, te animo a que veas mis últimos videotutoriales sobre Ciberseguridad. Aprovecho para crear un poco de Hype y anunciaros que se avecinan novedades importantes sobre un par de proyectos que estoy poniendo en marcha con un buen amigo. Y… hasta aquí puedo leer.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
A pocas semanas de la WordCamp Bilbao (19 y 20 de mayo) donde podremos disfrutar de ponencias de altísimo nivel (
Se ha ampliado el plazo para enviar ponencias a la 
