{Haz tu WordPress más seguro.

Esta Meetup Digital del 15 Julio – 19:00hrs que hacemos conjunta con Fernando Castillo de casbeep. Abordamos el tema de la seguridad en nuestras instalaciones WordPress.

Abordaremos la seguridad WordPress tal como si hiciésemos una auditoría, comentando en plano general los grandes puntos a tener en cuenta.

{Haz tu WordPress más seguro.

1º WordPress es seguro de forma general

Estadística vulnerabilidades Core
En este primer acercamiento a la seguridad en WordPress hablaremos de PROS y CONTRAS de WordPress, que le respalda y que puntos en contra tiene

Wpscan y wpvulndb
Fernando nos presentará dos herramientas súper efectivas a la hora de escanear nuestros sitios web, en busca de vulnerabilidades

Sentido común
Lectura imprescindible para una  introducción a conceptos básicos de seguridad, de manera oficial Codex de WordPress ( esta en la documentación, más abajo).
WordPress sí es seguro, pero tiene vulnerabilidades

¿Soy realmente un objetivo?
La seguridad de WP depende más bien de las prácticas en su gestión. Todos estamos en el objetivo de ataques tanto dirigidos como ataques aleatorios de BOT’s «Si estás en internet, eres un posible objetivo»

2º Seguridad en el Hosting

Versión de PHP
Columna vertebral de su sitio WordPress
Cambiar el prefijo de las tablas de la BBDD wp_

Virtualhost Compartido. La importancia de tener cada web con una IP distinta, en un hosting compartido estará nuestra web al igual que cientos o miles de webs más, por tanto si atacan una web, nuestra web puede verse afectada igualmente.

Lets Encrypt (Candado Verde) Obligatorio en todas nuestras instalaciones WP.

3º Seguridad en las Contraseñas

El Simil con un cepillo de dientes. No compartas tu contraseña
Como curiosidad 123456 contraseña más común.

Sistema para clave robusta Utilizar frases tipo Acróstico. Yo aporto procedimientos en las contraseñas, sistema utilizando iniciales, colores, números, iniciales…

Plugin para caducidad de claves

Actualización de PHP

4º Evita Bruteforce en tu instalación WordPress

wpscan.io y docker wpscan

Diccionario Seclists

Limitar intentos de sesión local, network y xmlrpc (Plugin iThemes)

Esconder wp-admin (Plugin iThemes)

Nombre de usuario y wordpress rest api (Plugin iThemes)

Mensaje: Nombre de usuario/correo no existe

2FA (Plugin Two-Factor / 2FAS Light)

5º Versiones de Core y Plugins

Etiqueta meta y ?v en css/js (Plugin Meta Generator and Version Info Remover)

Readme.txt, Changelog.txt

Comentarios en el código

404 Detection (Plugin iThemes)

Actualizaciones automáticas (wp-config setting)

https://firstsiteguide.com/tools/free-fsg/old-outdated-wordpress-plugins/ Cuidado con los plugins no actualizados, aunque tengan millones de descargas

6.- ¡Me han Hackeado!

Backups Imprescindibles

Cambios de ficheros (plugin ithemes)

Webshell

wpuploads, editor ficheros..
Usuarios creados, Revisión/eliminar de plugins y temas

Usuarios creados

Revisión/eliminar de plugins y temas
Wordfence, sucuri

Documentación de la Charla

Plugins Recomendados Seguridad WordPress

Preguntas Resultas

Contraseñas. ¿Recomiendas los gestores de contraseñas online o local?
Comunidad WP ¿Cómo comunico una vulnerabilidad WP?
Bruteforce ¿Qué puertas traseras podemos tener en nuestra instalación?
PLUGINS ¿Qué hacemos con los plugins no actualizados que tienen millones de descargas?
HOSTING ¿Cómo actualizo mi versión de PHP? en caso de fallos ¿puedo echar para atrás sin problema?
HOSTING ¿Es más complicado de gestionar un VPS que un hosting compartido?
PLUGIN ¿Si tuvieses que recomendar un plugin sólo de seguridad WordPress ¿Cuál sería?

 Si te ha gustado esta charla, tomar un café siempre es una buena idea
¿Hablamos?