Aquí os dejo para descargar la presentación de diapositivas que utilicé en la WordCamp Bilbao 2017.
Espero que os ayude y os sirva de guía para poder elegir con garantías un plugin de seguridad para vuestras instalaciones de WordPress.
Para descargarla pincha en la imagen
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Os dejo la presentación de diapositivas que utilicé en la WordCamp Madrid 2017 en la que tuve la gran suerte de participar como ponente.
DESCARGA LA PRESENTACIÓN AQUÍ TOTALMENTE GRATIS
Si te gustó compártelo con la comunidad
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Te preguntarás el “por qué” de este post. He pensado que sería interesante que vieras lo que me encuentro cada día al llegar al trabajo.
Todo el mundo sabe que la seguridad en WordPress es necesaria… ¿seguro? ¿todos son conscientes? 😉
Eres de los que piensan “tengo mi página hecha con WordPress y nunca me han hackeado”. Permíteme decirtelo alto y claro: hackear tu web, tan sólo es cuestión de tiempo. Tranquilo, esta afirmación también tiene sus excepciones siempre y cuando te tomes en serio la seguridad de tu web y la gestiones o te la gestione correctamente un profesional.
Lo primero que quiero enseñarte es lo que me encuentro cada mañana al llegar al trabajo y abrir mi correo electrónico:
Si no lo has hecho ya, quiero que te fijes en la carpeta “Logueos fallados” y, sobre todo, en el número que aparece a su derecha (2470). Se trata de informes de intentos de acceso a todas las webs que administro, generados por los plugins de seguridad instalados en cada uno de los sitios. Teniendo en cuenta que estos informes se recogen desde que salgo del trabajo, hasta que entro a la mañana siguiente (unas 15 horas) y que, el número de webs que administro son varias decenas, este número puede parecer incluso pequeño.
Con esto simplemente quiero mostrarte que, desde el mismo momento que una instalación de WordPress se sube al servidor de producción, está a disposición de los scripts automatizados de usuarios malintencionados y, por lo tanto, ya es atacada.
Donde podemos ver la fecha y la hora del intento de logueo así como el usuario con el que han intentado acceder que en este caso es “test”.
Este es un informe del plugin “Sucuri”, para recibirlo debemos configurar bien las alertas una vez lo tengamos instalado, pero de ello hablaremos más adelante en otro post.
No me cansaré de repetir las nociones básicas de seguridad para tu instalación de WordPress, de momento, me repetiré con algunos consejos para evitar estos ataques:
Parámetros básicos de seguridad.
Ciberdebate “Mejora la seguridad de tu WordPress“.
Protección de archivos desde htaccess.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Ciberdebate en “Palabra de Hacker”
¡No te preocupes! en este post te dejo el video para que lo puedas disfrutar.
El ciberdebate tuvo lugar el martes 28 de febrero de 2017 en el canal de Youtube “Palabra de Hacker“.
Quiero dar las gracias tanto a Yolanda Corral por invitarme a participar, como a Daniel Maldonado y Jorge Coronado por exponer sus puntos de vista. La verdad que pasamos un rato muy agradable hablando de lo que más nos gusta y espero que vosotros también. Asimismo espero que os haya servido para ayudaros y disipar vuestras dudas sobre la seguridad de vuestras instalaciones de WordPress.
Tanto si lo viste en directo como si no te fue posible, ahora puedes volver a disfrutarlo en diferido.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Hoy quiero contaros que he tenido la suerte de ser invitado por Yolanda Corral al ciberdebate “Cómo mejorar la seguridad en WordPress”, junto con otros dos profesionales de la materia como Daniel Maldonado (@elcodigok) y Jorge Coronado (@JorgeWebsec).
Estaremos más o menos una hora debatiendo sobre la seguridad en WordPress y contestaremos a todas vuestras preguntas.
El ciberdebate tendrá lugar el martes 28 de febrero de 2017 en el canal de Youtube “Palabra de Hacker” y será moderado por la propia Yolanda Corral, responsable del canal.
Si queréis más información os animo a visitar la web oficial en este enlace.
(Editado) Aquí os dejo el video
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Tras varios días de incidencias he decidido escribir este post para que no os preocupéis.
En los últimos días hemos recibido un número indiscriminado de incidencias de webs diciendo que su web había sido hackeada y, efectivamente, así era. Al comprobar los post de sus páginas veían que la última entrada que habían publicado era totalmente diferente, ahora, en el título se leía algo así como “Hacked By XXX”, y el contenido o descripción e incluso la imagen destacada también habían cambiado. La verdad que he visto distintos y variados contenidos pero todos, en el fondo, vienen a ser lo mismo:
El “atacante” inyecta código en nuestra base de datos aprovechando una vulnerabilidad de la REST API implementada en la versión 4.7 de WordPress, consiguiendo modificar el contenido de un post.
¿Esto es grave?
Pues la verdad es que no es muy grave ya que un “defacement” no es más que una modificación o cambio intencionado en nuestras páginas, más concretamente y según “wikipedia”:
“Defacement es una palabra inglesa que significa desfiguración y es un término usado en informática para hacer referencia a la deformación o cambio producido de manera intencionada en una página web por un atacante que haya obtenido algún tipo de acceso a ella, bien por algún error de programación de la página, por algún bug en el propio servidor o por una mala administración de este.”
Sin embargo, nunca sabemos la modificación que pueden realizar y de momento, si simplemente se trata de modificar el contenido del post con la frase “Hacked by XXX”, no hay más problema que lo feo que queda que en una web nuestra o de algún cliente, se pueda leer que la web esta hackeada en lugar de mostrar nuestro bonito y trabajado post.
¿Cómo lo arreglo?
Esta vulnerabilidad existe desde la versión 4.7 de nuestros WordPress y afecta a las versiones 4.7 y 4.7.1. El fallo de seguridad se solucionó en la versión 4.7.2 así que si estás leyendo esto y te ha ocurrido lo que aquí te indico, lo más seguro es que tengas tu instalación de WordPress desactualizada. Lo primero que te recomiendo es que repares el post afectado y actualices a la última versión de WordPress. También te recomiendo que actualices también los temas y los plugins (por descontado).
¿Cómo puedo securizar mi web para que no me vuelva a pasar?
Si eres seguidor de mi blog ya lo sabrás, sino te invito a visitar este post en el que pongo a tu disposición mi presentación en la WordCamp Cantabria 2015, donde te doy unos parámetros básicos para asegurar tu WordPress.
¡Genial! y ¿me aseguras que no me volverá a pasar nada parecido? pues la respuesta por desgracia es un ¡No! rotundo pues nunca estaremos a salvo de ataques al 100% pero sí que podemos ponérselo a los “malos” lo más difícil posible.
Si no quieres preocuparte por la seguridad de tu web y quieres dedicarte simplemente a tu negocio mi consejo es que contrates los servicios de un profesional de Seguridad en WordPress y por una pequeña cuota mensual, despreocuparte de la seguridad y dedicarte a lo que mejor sabes hacer.
Te dejo toda la información sobre el ataque en el siguiente enlace (en inglés) del blog de Wordfence.
Tomás S.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Agenda de ocio, eventos, gratis, fiestas, conciertos, niños. Qué hacer y qué ver hoy. Dónde dormir, dónde comer en Cantabria y España
