Hoy os traigo una revisión del Plugin BackupBuddy realizada con ayuda de los compañeros de wpvivo.com.
Para mantener la seguridad de tu página web WordPress del nivel más alto, no es necesario sólo utilizar plugins de seguridad (u ocultar tu página de acceso al panel), también tienes que realizar copias de seguridad de toda tu instalación de cualquiera de estas maneras:
Desde tu hosting: hay algunos muy buenos como Siteground que realizan una copia de seguridad diarios por ti, IMPRESIONANTE
Realiza una copia manual de tus archivos y base de datos.
Utiliza algún plugin para hacer copias de seguridad de tus páginas web. Porque si algo va mal, por ejemplo si actualizas tus plugins, plantilla del tema o versión de WordPress y algo se rompe, si tienes un backup, siempre puedas restablecer tu página web desde la última copia creada. Y para esto, muchos usuarios utilizan el plugin premium llamado BackupBuddy de iThemes.com.
Revisión del Plugin BackupBuddy
Con este plugin puedes hacer copias de seguridad de tu base de datos WordPress, de tus archivos, plugins, temas o página web completa con un solo clic. Es muy fácil de usar.
Mis características favoritas de BackupBuddy son:
Las copias se pueden hacer automáticamente (funciona utilizando Cron jobs). Con establecerlo a varias veces por semana nos mantendrá más seguros.
Puedes enviar estas copias directamente a tu cuenta de Dropbox.
BackupBuddy se puede utilizar también para transferir tu página web a nuevo alojamiento web. O si eres un diseñador web, puedes utilizarlo a transferir la página web del desarrollo desde tu servidor de desarrollo hacia el alojamiento web de tu cliente en el entorno de producción.
Como es un plugin premium, su precio es un poco alto (unos 80$), pero iThemes casi siempre tiene descuentos. También se puede comprar el plan Gold que te ofrecerá copias para ilimitadas páginas web. Y además de esto, con una licencia de BackupBuddy también obtendrás acceso a iThemes Sync para 10 páginas web. IThemes Sync es una aplicación para mantener más páginas web WordPress desde un solo lugar. Y también tendrás acceso a Stash Live, lo que es un espacio virtual de iThemes para almacenar tus copias de seguridad.
Es un plugin genial, hace muy buen trabajo y el equipo de iThemes está trabajando duro para mejorarlo con cada actualización.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Informe sobre últimas vulnerabilidades encontradas en WordPress
Estas son las últimas vulnerabilidades encontradas en WordPress.
Si tienes alguno de estos plugins te recomiendo actualizar a su última versión inmediatamente. Espero que este servicio te sirva de ayuda para mantener tu WordPress seguro.
Vulnerabilidades en PLUGINS
Vulnerabilidad –> Unauthenticated Stored XSS
Plugins afectados:
Events Manager v5.8.1.1
Un usuario no autenticado o un usuario sin privilegios, que puede enviar un evento, puede insertar código JavaScript en la miniatura del mapa de Google Maps.
La brecha de seguridad se ha arreglado en la version 5.8.1.2 del plugin
¿Quieres ver una POC de cómo explotar esta vulnerabilidad? Pues mira este vídeo
Vulnerabilidad –> Cross-Site Scripting (XSS)
Plugins afectados:
Duplicator v1.2.32
XSS, del inglés Cross-site scripting es un tipo de vulnerabilidad o agujero de seguridad típico de las aplicaciones Web, que permite a un usuario malintencionado inyectar código JavaScript en páginas web visitadas.
Un atacante puede realizar una petición post inyectando un string.
Conoce los detalles y aprende cómo pueden explotar esta vulnerabilidad en el siguiente video
XSS, del inglés Cross-site scripting es un tipo de vulnerabilidad o agujero de seguridad típico de las aplicaciones Web, que permite a un usuario malintencionado inyectar código JavaScript en páginas web visitadas.
El fallo de seguridad se ha arreglado en la version 2.4.1 del plugin
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Explotando la vulnerabilidad del Plugin Site Editor 1.1.1 WordPress – Local File Inclusion
Existe una vulnerabilidad en el Plugin Site Editor en su versión 1.1.1, que permite a un atacante incluir un archivo en la respuesta de una petición realizada por url. La vulnerabilidad fue publicada el 2018-03-16 con identificación [CVE-2018-7422] Local File Inclusion (LFI) vulnerability in WordPress Site Editor Plugin.
El ataque a esta vulnerabilidad puede ser realizado a través de la red, y desde el propio navegador.
Puedes ver el video al final de esta publicación.
Con este post doy comienzo a una nueva sección tanto de la web como de mi canal de Youtube, sobre explotación de vulnerabilidades en WordPress. En ella veremos cómo explotar vulnerabilidades de Plugins, temas y del nucleo de WordPress.
Para ello contaremos con la colaboración de mi amigo y compañero Sergio Saiz (s0nH4cK). Sergio es ingeniero de Sistemas y responsable del departamento de seguridad de Netkia (empresa en la que trabajamos ambos). Además es el fundador y director del congreso de seguridad Sh3llcon, donde tengo la suerte de compartir organización con él y con otros compañeros.
Os animo a estar atentos y atentas a esta web y a mis redes sociales, pues se acercan novedades muy importantes respecto a nuevas secciones de videotutoriales sobre seguridad en WordPress.
Puedes saber más acerca de esta vulnerabilidad en exploit-db.com
Aquí te dejo el video, espero que te guste
Si te ha gustado déjame tus comentarios. También puedes sugerirme ideas para futuros tutoriales relacionados con la seguridad en WordPress o con trucos de seguridad en general.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
“Alta Seguridad en WordPress” es un taller preparado para las jornadas de “University Camps Tech Pro” de la Universidad de Cantabria donde traté de concienciar a los asistentes de los riesgos de no mantener y securizar nuestras páginas web hechas con WordPress.
Alta Seguridad en WordPress
WordPress es el CMS más usado a nivel mundial y por lo tanto, también el más atacado. Veremos las principales riesgos de seguridad a tener en cuenta en WordPress.
Repasamos los parámetros de seguridad más importantes y esenciales para mantener WordPress lo más seguro posible. Aprendimos a auditar WordPress con distintas herramientas y a fortificar nuestras instalaciones con WPHardening antes de ponerlas en producción.
Puedes descargar la presentación “Alta seguridad en WordPress” haciendo clic aquí o en la siguiente imagen
Si te ha gustado déjame tus comentarios. También puedes sugerirme ideas para futuros tutoriales relacionados con la seguridad en WordPress o con trucos de seguridad en general.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Hablando de Seguridad en WordPress, el 12 de diciembre tuve la gran suerte de ser invitado por Moncho a un webinar de esos que realizan en Siteground (mi actual proveedor de hosting) y que tantas y tantas veces he visto. Como no podía ser de otra manera, me tocó hablar… ¿de qué? pues de seguridad en WordpPress.
La idea ya surgió en la WordCamp Bilbao 2017 donde realicé una exposición parecida comparando varios plugins de seguridad en ese caso la ponencia se llamaba “Plugins de seguridad: tiburones, gatitos y elefantes” y vista la gran aceptación que tuvo, decidí preparar algo parecido aunque más actualizado. Todos sabemos lo que cambia todo lo relacionado con WordPress en poco tiempo así que tuve que reestructurar la charla y añadirle algunas cosas muy interesantes.
Para terminar, realicé una comparativa de plugins de seguridad para WordPress donde revisé los aspectos y las opciones de los plugins de seguridad más descargados del repositorio:
Wordfence
All in one WP Security and Firewall
IThemes Security
Sucury
“¿Existe el plugin de seguridad perfecto?” – 12 diciembre 2017
Sin más os dejo el video del webinar, espero que os guste.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
La configuración de All in One WordPress Security and Firewall es algo laboriosa, sin embargo, una vez esté realizada podemos utilizarla (casi en su totalidad) para otras instalaciones.
Son muchos los trucos que podemos aplicar a una instalación de WordPress: trucos sobre velocidad de carga, tratamiento de imágenes, seguridad, etc. Yo os traigo un truco sobre seguridad (cómo no).
Como sabemos, hay muchos y muy buenos plugins de seguridad en el repositorio de WordPress. Si tuviera que elegir, seleccionaría configuraciones de cada uno de ellos para hacer el “megaplugin” de seguridad. Sin embargo, esto no es posible por el momento, así que mi truco de seguridad está relacionado con el plugin “All in One WP Security and Firewall”.
¿Por qué he escogido este plugin? pues por dos razones, la primera porque posee un montón de características para configurar y creo que prácticamente cubre las más esenciales. La segunda es que todas estas características se pueden exportar a otras instalaciones de WordPress una vez configuradas.
Eso es precisamente de lo que trata este truco, os voy a proporcionar una configuración básica pero bastante potente de este plugin para que en tan solo cuestión de segundos tengáis vuestros WordPress mucho más seguros. ¿Quiere decir esto que debo aplicar esta configuración a todos mis WordPress? pues la verdad es que no, no quiero que penséis que aplicando esta configuración ya estáis seguros y no hay que preocuparse, en temas de seguridad no existe eso de “estoy 100% seguro” y hay que “currárselo” cada día, de echo no puedo hacerme responsable de posibles hackeos o de malas configuraciones de vuestras instalaciones.
Aplicar la configuración de All in One WordPress Security and Firewall
Cada instalación necesita de una configuración diferente, aunque lo que aquí os proporciono es algo básico para asegurar vuestros WordPress deberíais comprobar que se ajusta a cada una de vuestras instalaciones y no presenta incompatibilidades con otros plugins.
Una vez aplicada en tu WordPress dispondrás de:
– Limite de intentos de logueo, limitado a 5.
– Ocultación de la url de acceso al panel de control: a partir del momento de aplicar estas normas, en lugar de añadir “wp-admin” deberás escribir “accesowp” (podrás modificar esta ruta posteriormente desde el mismo plugin en la sección “fuerza bruta”).
– Reglas básicas de firewall.
– Recibe notificaciones por email deberás modificar el email que hay ahora “aqui@tuemail.com” por tu dirección de correo en las secciones:
“Acceso de usuario”,
“seguridad base de datos/ Copia de seguridad de base de datos”
“Escáner”.
– Finaliza la sesión del usuario tras 60 minutos del logueo.
– Bloqueo de acceso a archivos de instalación (readme.html, license.txt y wp-config-sample.php)
Para aplicar estar reglas deberás instalar el plugin “All in One Security and Firewall” de cualquiera de las maneras que supongo ya conoces.
Una vez instalado y activado, dirígete a su sección “Opciones”
Pulsa el botón “Importar ajustes de AIOWPS” y ya tendrás las opciones del plugin aplicadas.
Por supuesto eres libre de modificar estas opciones y ampliarlas según tus necesidades. Te invito a bucear por las distintas secciones del plugin y a modificarlas a tu gusto.
A continuación te dejo un link a un nuevo post donde te enseño paso por paso, a través de un videotutorial, a configurar cada una de las opciones de seguridad de este fantástico plugin. Para que seas tu quien decide las opciones a incluir y las que no.