SlideShare ist ein Scribd-Unternehmen logo

WordPress Hardening Guide

Als ODP, PDF herunterladen
QuantiKa14
QuantiKa14

Explicación del proyecto Wordpressa y algunos consejos de seguridad en wordpress para no caer como víctima en un ciber ataque.

Technologie
1 von 28
Hardening en Wordpress Jorge WebSec
¿Quién soy yo? ● ● ● Jorge Websec ● Autor del blog www.websec.es ● @Jorgewebsec ● Socio fundador de QuantiKa14 Fundador del FSI Creador del proyecto WordPressa www.quantika14.com || WORDPRESSA 2
¿Qué es el Hardening? En seguridad informática, es el proceso de asegurar un sistema mediante la reducción de vulnerabilidades, buenas configuraciones... ● Poner barreras y dificultades para que un atacante no pueda conseguir el objetivo de su ataque. www.quantika14.com || WORDPRESSA 3
¿Qué es Wordpressa? ● Un laboratorio para aprender técnicas ofensivas y defensivas. http://www.websec.es/2013/07/04/wo rdpressa-laboratorio-wordpress/ ● Auditorías de seguridad en Wordpress. ● Manuales: – Empezando con Wordpress – Hardening – Exploiting – Creación de una plantilla – Creación de plugins www.quantika14.com || WORDPRESSA 4
Hardening en Wordpress Wordpressa.quantika14.com www.quantika14.com || WORDPRESSA 5
Cada vez usan más ● Empresas ● Gubernamentales ● Blogs ● Foros ● Páginas personales ● Comunidades etc www.quantika14.com || WORDPRESSA 6
Wordpress sin Fortificar: www.quantika14.com || WORDPRESSA 7
Wordpress Fortificado: www.quantika14.com || WORDPRESSA 8
¿Y por qué a mí? Si yo no tengo nada ● ● ● Atacaran grandes empresas. Webs conocidas. Webs con datos valiosos. www.quantika14.com || WORDPRESSA 9
Qué motiva a un atacante: ● Ego ● Malware ● Botnet ● Información ● Almacenar ● Servicios www.quantika14.com || WORDPRESSA 10
¿Qué hace? www.quantika14.com || WORDPRESSA 11
1.La versión de Wordpress ● ● Mirar el Readme.html Mirar el meta generator en el HTML de la página. www.quantika14.com || WORDPRESSA 12
Solución: ● Quitar Meta Generator: – Añadir en el archivo “functions.php” de tu plantilla: ● remove_action('wp_head', 'wp_generator'); #Muestra el generador XHTML que se genera en el gancho wp_head. #Borramos la función wp_generator enganchada wp_head ● Readme.html – Lo borramos o lo modificamos manualmente. www.quantika14.com || WORDPRESSA 13
Si no lo borramos... www.quantika14.com || WORDPRESSA 14
Si lo borramos... ● ● El atacante tendrá que comerse la cabeza un poquito más... Pero cada versión de wordpress usa diferentes tipos de archivos. www.quantika14.com || WORDPRESSA 15
Webs con Readme: http://blog.ebay.com/readme.html [3.6.1] ●View-source:http://blog.nexius.es/ [3.6.1] ●http://www.regalopublicidad.com/blog/readme.html [3.6] ●http://www.blog.iberdrola.com/readme.html [3.5] ●http://psoesevilla.es/readme.html [3.5] ●View-source:http://ppsevilla.com/ [3.4] ●http://blog.pepsico.es/readme.html [3.2.1] ●view-source:telefonica.com.ec/blog/ [3.0.4] ●view-source:http://www.andalucesdiario.es/ ●http://historiadelartemalaga.es/congresos/teoriayliteraturaartistica/readme.html ●view-source:http://www.cuartopoder.es/tribuna/ ● www.quantika14.com || WORDPRESSA 16
Los Permisos ● Lectura (r) ó (4) ● Propietario del archivo ● Escritura (w) ó (2) ● Grupo de usuarios ● Ejecución (x) ó (1) ● Cualquier usuario www.quantika14.com || WORDPRESSA 17
Estructura y permisos ● ● Directorio Raiz (0755) Wp-config.php (0644) Un usuario puede modificar los permisos Desde su cliente FTP o desde el Administrador de archivos de Su panel de control ● WP-ADMIN ● WP-INCLUDES ● WP-CONTENT 0755 www.quantika14.com || WORDPRESSA 18
Proteger WP-CONFIG es nuestro deber www.quantika14.com || WORDPRESSA 19
Con .htaccess ● # proteccion de wpconfig.php ● <files wp-config.php> ● order allow,deny ● deny from all ● </files> www.quantika14.com || WORDPRESSA 20
La cabaña no es segura... En caso de evasión es mejor que no este el objetivo fuera... (wp-config) www.quantika14.com || WORDPRESSA 21
Mover wp-config Creamos un php fuera con: ● ● <?php define('DB_NAME', 'Nombre_BaseDatos'); de tu base de datos // El nombre ● define('DB_USER', 'Usuario'); ● define('DB_PASSWORD', 'Password'); // password ● define('DB_HOST', 'localhost'); ● ● // El usuario de MySQL // El servidor $table_prefix = 'IMPORTANTE CAMBIARLO'; // el prefijo de las tablas, casi siempre es wp_ ?> www.quantika14.com || WORDPRESSA 22
En wp-config ponemos: include('/home/usuario/RUTA/ejemplo.php'); www.quantika14.com || WORDPRESSA 23
En un ataque las ventanas y puertas cerradas con llave ● # limitar el acceso como administrador por IP desde el .HTACCESS order deny, allow allow from 1.2.3.4 (cambiar por vuestra IP) deny from all (denegamos el acceso a todas las IPS menos la nuestra) ● En el caso de tener una ip dinámica podemos usar una VPN (OpenVPN) www.quantika14.com || WORDPRESSA 24
Otros consejos: Cambiar el Prefijo wp_ (“Dificulta” inyecciones sql) ●Actualizar siempre: los plugins, las plantillas y el wordpress. ●Hacer Backups de los archivos y base de datos. ●Borrar los metadatos antes de subirlos. ●Utilizar una buena contraseña y cambiarla habitualmente. ● www.quantika14.com || WORDPRESSA 25
Plugins de Seguridad: ● Exploit Scanner. ● Ultimate Security Checker ● LockerPress (cambia la url del acceso al backend) ● BETTER WP SECURITY (http://www.securitybydefault.com/2013/05/better-wpsecurity-completo-plugin-de.html) www.quantika14.com || WORDPRESSA 26
www.quantika14.com || WORDPRESSA 27
Muchas Gracias... ● @JorgeWebsec ● @quantika14 Www.quantika14.com www.quantika14.com || WORDPRESSA 28

Empfohlen

WordPressA Security Plugin [HighSecCon III]
WordPressA Security Plugin [HighSecCon III]WordPressA Security Plugin [HighSecCon III]
WordPressA Security Plugin [HighSecCon III]QuantiKa14
 
Proyecto WordPressA - QuantiKa14
Proyecto WordPressA - QuantiKa14Proyecto WordPressA - QuantiKa14
Proyecto WordPressA - QuantiKa14QuantiKa14
 
Aplicar la seguridad en WordPress desde la selección de un hosting
Aplicar la seguridad en WordPress desde la selección de un hosting Aplicar la seguridad en WordPress desde la selección de un hosting
Aplicar la seguridad en WordPress desde la selección de un hosting José Conti Calveras
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressRamón Salado Lucena
 
WordCamp Sevilla 2016 - Creación de un plugin con subida a WordPress.org
WordCamp Sevilla 2016 - Creación de un plugin con subida a WordPress.orgWordCamp Sevilla 2016 - Creación de un plugin con subida a WordPress.org
WordCamp Sevilla 2016 - Creación de un plugin con subida a WordPress.orgRaúl Martínez
 
Top 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaTop 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaRamón Salado Lucena
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressJuan José Domenech
 
¿Qué son los ataques DDOS?
¿Qué son los ataques DDOS?¿Qué son los ataques DDOS?
¿Qué son los ataques DDOS?Enrique Rico Molina
 

Empfohlen

WordPressA Security Plugin [HighSecCon III]
WordPressA Security Plugin [HighSecCon III]WordPressA Security Plugin [HighSecCon III]
WordPressA Security Plugin [HighSecCon III]QuantiKa14
 
Proyecto WordPressA - QuantiKa14
Proyecto WordPressA - QuantiKa14Proyecto WordPressA - QuantiKa14
Proyecto WordPressA - QuantiKa14QuantiKa14
 
Aplicar la seguridad en WordPress desde la selección de un hosting
Aplicar la seguridad en WordPress desde la selección de un hosting Aplicar la seguridad en WordPress desde la selección de un hosting
Aplicar la seguridad en WordPress desde la selección de un hosting José Conti Calveras
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressRamón Salado Lucena
 
WordCamp Sevilla 2016 - Creación de un plugin con subida a WordPress.org
WordCamp Sevilla 2016 - Creación de un plugin con subida a WordPress.orgWordCamp Sevilla 2016 - Creación de un plugin con subida a WordPress.org
WordCamp Sevilla 2016 - Creación de un plugin con subida a WordPress.orgRaúl Martínez
 
Top 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaTop 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaRamón Salado Lucena
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressJuan José Domenech
 
¿Qué son los ataques DDOS?
¿Qué son los ataques DDOS?¿Qué son los ataques DDOS?
¿Qué son los ataques DDOS?Enrique Rico Molina
 
Tutoria 3
Tutoria 3Tutoria 3
Tutoria 3herramientas telematicas
 
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESSWHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESSESET España
 
tutoria
tutoriatutoria
tutoriaherramientas telematicas
 
WordCamp Barcelona 2016 - Plugins para TinyMCE
WordCamp Barcelona 2016 - Plugins para TinyMCEWordCamp Barcelona 2016 - Plugins para TinyMCE
WordCamp Barcelona 2016 - Plugins para TinyMCERaúl Martínez
 
Guía para mejorar la seguridad en WordPress
Guía para mejorar la seguridad en WordPressGuía para mejorar la seguridad en WordPress
Guía para mejorar la seguridad en WordPresswebempresa.com
 
Webinar - Radiografía actual del lenguaje PHP
Webinar - Radiografía actual del lenguaje PHPWebinar - Radiografía actual del lenguaje PHP
Webinar - Radiografía actual del lenguaje PHPArsys
 
El uso correcto de MySQLi
El uso correcto de MySQLi El uso correcto de MySQLi
El uso correcto de MySQLi Arsys
 
Migración VDP 6.0 a VDP 6.1.1
Migración VDP 6.0 a VDP 6.1.1Migración VDP 6.0 a VDP 6.1.1
Migración VDP 6.0 a VDP 6.1.1RaGaZoMe
 
Tutoria 3
Tutoria 3Tutoria 3
Tutoria 3Cindy Cuellar La Mochita
 
Implementación básica VMWare Data Protection 6
Implementación básica VMWare Data Protection 6Implementación básica VMWare Data Protection 6
Implementación básica VMWare Data Protection 6RaGaZoMe
 
Servidores virtualizados todo bajo control - Techne Fòrum 2018
Servidores virtualizados todo bajo control - Techne Fòrum 2018Servidores virtualizados todo bajo control - Techne Fòrum 2018
Servidores virtualizados todo bajo control - Techne Fòrum 2018Xavier Montaña Carreras
 
Autenticación insuficiente
Autenticación insuficienteAutenticación insuficiente
Autenticación insuficienteCesar Couoh
 
Consejos de seguridad para proyectos con WordPress
Consejos de seguridad para proyectos con WordPressConsejos de seguridad para proyectos con WordPress
Consejos de seguridad para proyectos con WordPressDiego Lerma
 
Introduccion a la seguridad en word press
Introduccion a la seguridad en word pressIntroduccion a la seguridad en word press
Introduccion a la seguridad en word pressPablo Moratinos Almandoz
 
WordPress Granollers: Multiidioma en WordPress
WordPress Granollers: Multiidioma en WordPressWordPress Granollers: Multiidioma en WordPress
WordPress Granollers: Multiidioma en WordPressRaúl Martínez
 
Wordpress
WordpressWordpress
Wordpressabestrada
 
Integrantes
IntegrantesIntegrantes
IntegrantesSofiainestroza
 
Wordpress
WordpressWordpress
WordpressAdriana Correa
 
Trabajo informática 1101
Trabajo informática 1101Trabajo informática 1101
Trabajo informática 1101Alvaro Humberto Cisneros
 
CodeGuard
CodeGuardCodeGuard
CodeGuardEnter Agencia Web
 
Las claves para optimizar la seguridad de tu sitio WordPress
Las claves para optimizar la seguridad de tu sitio WordPressLas claves para optimizar la seguridad de tu sitio WordPress
Las claves para optimizar la seguridad de tu sitio WordPressIñaki Arenaza
 
WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...
WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...
WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...Darío BF
 

Weitere ähnliche Inhalte

Was ist angesagt?

WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESSWHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESSESET España
 
WordCamp Barcelona 2016 - Plugins para TinyMCE
WordCamp Barcelona 2016 - Plugins para TinyMCEWordCamp Barcelona 2016 - Plugins para TinyMCE
WordCamp Barcelona 2016 - Plugins para TinyMCERaúl Martínez
 
Guía para mejorar la seguridad en WordPress
Guía para mejorar la seguridad en WordPressGuía para mejorar la seguridad en WordPress
Guía para mejorar la seguridad en WordPresswebempresa.com
 
Webinar - Radiografía actual del lenguaje PHP
Webinar - Radiografía actual del lenguaje PHPWebinar - Radiografía actual del lenguaje PHP
Webinar - Radiografía actual del lenguaje PHPArsys
 
El uso correcto de MySQLi
El uso correcto de MySQLi El uso correcto de MySQLi
El uso correcto de MySQLi Arsys
 
Migración VDP 6.0 a VDP 6.1.1
Migración VDP 6.0 a VDP 6.1.1Migración VDP 6.0 a VDP 6.1.1
Migración VDP 6.0 a VDP 6.1.1RaGaZoMe
 
Implementación básica VMWare Data Protection 6
Implementación básica VMWare Data Protection 6Implementación básica VMWare Data Protection 6
Implementación básica VMWare Data Protection 6RaGaZoMe
 
Servidores virtualizados todo bajo control - Techne Fòrum 2018
Servidores virtualizados todo bajo control - Techne Fòrum 2018Servidores virtualizados todo bajo control - Techne Fòrum 2018
Servidores virtualizados todo bajo control - Techne Fòrum 2018Xavier Montaña Carreras
 
Autenticación insuficiente
Autenticación insuficienteAutenticación insuficiente
Autenticación insuficienteCesar Couoh
 
Consejos de seguridad para proyectos con WordPress
Consejos de seguridad para proyectos con WordPressConsejos de seguridad para proyectos con WordPress
Consejos de seguridad para proyectos con WordPressDiego Lerma
 
WordPress Granollers: Multiidioma en WordPress
WordPress Granollers: Multiidioma en WordPressWordPress Granollers: Multiidioma en WordPress
WordPress Granollers: Multiidioma en WordPressRaúl Martínez
 

Was ist angesagt? (20)

Tutoria 3
Tutoria 3Tutoria 3
Tutoria 3
 
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESSWHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS
 
tutoria
tutoriatutoria
tutoria
 
WordCamp Barcelona 2016 - Plugins para TinyMCE
WordCamp Barcelona 2016 - Plugins para TinyMCEWordCamp Barcelona 2016 - Plugins para TinyMCE
WordCamp Barcelona 2016 - Plugins para TinyMCE
 
Guía para mejorar la seguridad en WordPress
Guía para mejorar la seguridad en WordPressGuía para mejorar la seguridad en WordPress
Guía para mejorar la seguridad en WordPress
 
Webinar - Radiografía actual del lenguaje PHP
Webinar - Radiografía actual del lenguaje PHPWebinar - Radiografía actual del lenguaje PHP
Webinar - Radiografía actual del lenguaje PHP
 
El uso correcto de MySQLi
El uso correcto de MySQLi El uso correcto de MySQLi
El uso correcto de MySQLi
 
Migración VDP 6.0 a VDP 6.1.1
Migración VDP 6.0 a VDP 6.1.1Migración VDP 6.0 a VDP 6.1.1
Migración VDP 6.0 a VDP 6.1.1
 
Tutoria 3
Tutoria 3Tutoria 3
Tutoria 3
 
Implementación básica VMWare Data Protection 6
Implementación básica VMWare Data Protection 6Implementación básica VMWare Data Protection 6
Implementación básica VMWare Data Protection 6
 
Servidores virtualizados todo bajo control - Techne Fòrum 2018
Servidores virtualizados todo bajo control - Techne Fòrum 2018Servidores virtualizados todo bajo control - Techne Fòrum 2018
Servidores virtualizados todo bajo control - Techne Fòrum 2018
 
Autenticación insuficiente
Autenticación insuficienteAutenticación insuficiente
Autenticación insuficiente
 
Consejos de seguridad para proyectos con WordPress
Consejos de seguridad para proyectos con WordPressConsejos de seguridad para proyectos con WordPress
Consejos de seguridad para proyectos con WordPress
 
Introduccion a la seguridad en word press
Introduccion a la seguridad en word pressIntroduccion a la seguridad en word press
Introduccion a la seguridad en word press
 
WordPress Granollers: Multiidioma en WordPress
WordPress Granollers: Multiidioma en WordPressWordPress Granollers: Multiidioma en WordPress
WordPress Granollers: Multiidioma en WordPress
 
Wordpress
WordpressWordpress
Wordpress
 
Integrantes
IntegrantesIntegrantes
Integrantes
 
Wordpress
WordpressWordpress
Wordpress
 
Trabajo informática 1101
Trabajo informática 1101Trabajo informática 1101
Trabajo informática 1101
 
CodeGuard
CodeGuardCodeGuard
CodeGuard
 

Ähnlich wie WordPress Hardening Guide

Las claves para optimizar la seguridad de tu sitio WordPress
Las claves para optimizar la seguridad de tu sitio WordPressLas claves para optimizar la seguridad de tu sitio WordPress
Las claves para optimizar la seguridad de tu sitio WordPressIñaki Arenaza
 
WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...
WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...
WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...Darío BF
 
La potencia sin control no sirve de nada, claves para aprovechar el uso de Wo...
La potencia sin control no sirve de nada, claves para aprovechar el uso de Wo...La potencia sin control no sirve de nada, claves para aprovechar el uso de Wo...
La potencia sin control no sirve de nada, claves para aprovechar el uso de Wo...Asociación Webmasters Cantabria
 
Concientización de Riesgos de Ciberseguridad En Wordpress.
Concientización de Riesgos de Ciberseguridad En Wordpress.Concientización de Riesgos de Ciberseguridad En Wordpress.
Concientización de Riesgos de Ciberseguridad En Wordpress.Marco Martínez
 
20 claves de Seguridad WordPress
20 claves de Seguridad WordPress20 claves de Seguridad WordPress
20 claves de Seguridad WordPressFernando Tellado
 
Emprendiendo con Wordpress
Emprendiendo con WordpressEmprendiendo con Wordpress
Emprendiendo con WordpressYtzvan Mastino
 
Gestion y Administracion de WordPress con WP-CLI
Gestion y Administracion de WordPress con WP-CLIGestion y Administracion de WordPress con WP-CLI
Gestion y Administracion de WordPress con WP-CLIOscar Abad Folgueira
 
Wordpress como framework - DarioBF en WordCamp Barcelona
Wordpress como framework - DarioBF en WordCamp BarcelonaWordpress como framework - DarioBF en WordCamp Barcelona
Wordpress como framework - DarioBF en WordCamp BarcelonaDarío BF
 
Ataque masivo a WordPress con ILLOWP
Ataque masivo a WordPress con ILLOWPAtaque masivo a WordPress con ILLOWP
Ataque masivo a WordPress con ILLOWPQuantiKa14
 
Meetup WordPress Pamplona: Copias de Seguridad con WordPress
Meetup WordPress Pamplona: Copias de Seguridad con WordPressMeetup WordPress Pamplona: Copias de Seguridad con WordPress
Meetup WordPress Pamplona: Copias de Seguridad con WordPressAngel Flores
 
Presentación Congreso Internet del Mediterráneo
Presentación Congreso Internet del MediterráneoPresentación Congreso Internet del Mediterráneo
Presentación Congreso Internet del MediterráneoFernando Serer
 
Webinar - Seguridad en WordPress
Webinar - Seguridad en WordPressWebinar - Seguridad en WordPress
Webinar - Seguridad en WordPressArsys
 
Practicas Recomendadas - WordPress Argentina Meetup Octubre 2014
Practicas Recomendadas - WordPress Argentina Meetup Octubre 2014Practicas Recomendadas - WordPress Argentina Meetup Octubre 2014
Practicas Recomendadas - WordPress Argentina Meetup Octubre 2014Laura Melo
 
Entonamiento y perfilado de Drupal
Entonamiento y perfilado de DrupalEntonamiento y perfilado de Drupal
Entonamiento y perfilado de Drupalcamposer
 
Curso CDA: Seguridade e rendemento en Drupal
Curso CDA: Seguridade e rendemento en DrupalCurso CDA: Seguridade e rendemento en Drupal
Curso CDA: Seguridade e rendemento en DrupalAlberto Permuy Leal
 

Ähnlich wie WordPress Hardening Guide (20)

Las claves para optimizar la seguridad de tu sitio WordPress
Las claves para optimizar la seguridad de tu sitio WordPressLas claves para optimizar la seguridad de tu sitio WordPress
Las claves para optimizar la seguridad de tu sitio WordPress
 
WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...
WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...
WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...
 
La potencia sin control no sirve de nada, claves para aprovechar el uso de Wo...
La potencia sin control no sirve de nada, claves para aprovechar el uso de Wo...La potencia sin control no sirve de nada, claves para aprovechar el uso de Wo...
La potencia sin control no sirve de nada, claves para aprovechar el uso de Wo...
 
Concientización de Riesgos de Ciberseguridad En Wordpress.
Concientización de Riesgos de Ciberseguridad En Wordpress.Concientización de Riesgos de Ciberseguridad En Wordpress.
Concientización de Riesgos de Ciberseguridad En Wordpress.
 
20 claves de Seguridad WordPress
20 claves de Seguridad WordPress20 claves de Seguridad WordPress
20 claves de Seguridad WordPress
 
wp-cli
wp-cliwp-cli
wp-cli
 
Emprendiendo con Wordpress
Emprendiendo con WordpressEmprendiendo con Wordpress
Emprendiendo con Wordpress
 
Gestion y Administracion de WordPress con WP-CLI
Gestion y Administracion de WordPress con WP-CLIGestion y Administracion de WordPress con WP-CLI
Gestion y Administracion de WordPress con WP-CLI
 
Wordpress como framework - DarioBF en WordCamp Barcelona
Wordpress como framework - DarioBF en WordCamp BarcelonaWordpress como framework - DarioBF en WordCamp Barcelona
Wordpress como framework - DarioBF en WordCamp Barcelona
 
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPressOwasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
 
Ataque masivo a WordPress con ILLOWP
Ataque masivo a WordPress con ILLOWPAtaque masivo a WordPress con ILLOWP
Ataque masivo a WordPress con ILLOWP
 
Meetup WordPress Pamplona: Copias de Seguridad con WordPress
Meetup WordPress Pamplona: Copias de Seguridad con WordPressMeetup WordPress Pamplona: Copias de Seguridad con WordPress
Meetup WordPress Pamplona: Copias de Seguridad con WordPress
 
Presentación Congreso Internet del Mediterráneo
Presentación Congreso Internet del MediterráneoPresentación Congreso Internet del Mediterráneo
Presentación Congreso Internet del Mediterráneo
 
Cherokee presentacion
Cherokee presentacionCherokee presentacion
Cherokee presentacion
 
Webinar - Seguridad en WordPress
Webinar - Seguridad en WordPressWebinar - Seguridad en WordPress
Webinar - Seguridad en WordPress
 
Blinda tu WordPress y evitate disgustos
Blinda tu WordPress y evitate disgustosBlinda tu WordPress y evitate disgustos
Blinda tu WordPress y evitate disgustos
 
Practicas Recomendadas - WordPress Argentina Meetup Octubre 2014
Practicas Recomendadas - WordPress Argentina Meetup Octubre 2014Practicas Recomendadas - WordPress Argentina Meetup Octubre 2014
Practicas Recomendadas - WordPress Argentina Meetup Octubre 2014
 
Entonamiento y perfilado de Drupal
Entonamiento y perfilado de DrupalEntonamiento y perfilado de Drupal
Entonamiento y perfilado de Drupal
 
Curso CDA: Seguridade e rendemento en Drupal
Curso CDA: Seguridade e rendemento en DrupalCurso CDA: Seguridade e rendemento en Drupal
Curso CDA: Seguridade e rendemento en Drupal
 
Carlos Pascual #WPvalladolid 2014
Carlos Pascual #WPvalladolid 2014Carlos Pascual #WPvalladolid 2014
Carlos Pascual #WPvalladolid 2014
 

Mehr von QuantiKa14

PEGASUS MI ARMA
PEGASUS MI ARMAPEGASUS MI ARMA
PEGASUS MI ARMAQuantiKa14
 
Cómo detectar que nos espían en nuestros móviles
Cómo detectar que nos espían en nuestros móvilesCómo detectar que nos espían en nuestros móviles
Cómo detectar que nos espían en nuestros móvilesQuantiKa14
 
Hacer prácticas en QuantiKa14 - ETSII 2020
Hacer prácticas en QuantiKa14 - ETSII 2020Hacer prácticas en QuantiKa14 - ETSII 2020
Hacer prácticas en QuantiKa14 - ETSII 2020QuantiKa14
 
Ciberacoso, casos reales
Ciberacoso, casos realesCiberacoso, casos reales
Ciberacoso, casos realesQuantiKa14
 
Tacita, análisis de APKS y big data
Tacita, análisis de APKS y big dataTacita, análisis de APKS y big data
Tacita, análisis de APKS y big dataQuantiKa14
 
Prueba digital y casos reales de peritaje informático
Prueba digital y casos reales de peritaje informáticoPrueba digital y casos reales de peritaje informático
Prueba digital y casos reales de peritaje informáticoQuantiKa14
 
Ciberacoso por Jorge Coronado
Ciberacoso por Jorge CoronadoCiberacoso por Jorge Coronado
Ciberacoso por Jorge CoronadoQuantiKa14
 
Casos reales usando OSINT
Casos reales usando OSINTCasos reales usando OSINT
Casos reales usando OSINTQuantiKa14
 
Forense informático a WordPress y Whatsapp usando aplicaciones open source
Forense informático a WordPress y Whatsapp usando aplicaciones open sourceForense informático a WordPress y Whatsapp usando aplicaciones open source
Forense informático a WordPress y Whatsapp usando aplicaciones open sourceQuantiKa14
 
Forense en WordPress
Forense en WordPressForense en WordPress
Forense en WordPressQuantiKa14
 
Ciberseguridad para padres y madres
Ciberseguridad para padres y madresCiberseguridad para padres y madres
Ciberseguridad para padres y madresQuantiKa14
 
Anonimato en Internet y Dante's Gates minimal version
Anonimato en Internet y Dante's Gates minimal versionAnonimato en Internet y Dante's Gates minimal version
Anonimato en Internet y Dante's Gates minimal versionQuantiKa14
 
Ronda de Hacking - Gambrinus challenge Sh3llcon
Ronda de Hacking - Gambrinus challenge Sh3llconRonda de Hacking - Gambrinus challenge Sh3llcon
Ronda de Hacking - Gambrinus challenge Sh3llconQuantiKa14
 
Formacion para empresas para prevenir el ransomware
Formacion para empresas para prevenir el ransomwareFormacion para empresas para prevenir el ransomware
Formacion para empresas para prevenir el ransomwareQuantiKa14
 
OSINT OSANT... CADA DÍA TE QUIERO MÁS
OSINT OSANT... CADA DÍA TE QUIERO MÁSOSINT OSANT... CADA DÍA TE QUIERO MÁS
OSINT OSANT... CADA DÍA TE QUIERO MÁSQuantiKa14
 
All in one OSINT
All in one OSINTAll in one OSINT
All in one OSINTQuantiKa14
 
Ciberseguridad para pymes y empresas
Ciberseguridad para pymes y empresasCiberseguridad para pymes y empresas
Ciberseguridad para pymes y empresasQuantiKa14
 
Ciberseguridad para institutos
Ciberseguridad para institutosCiberseguridad para institutos
Ciberseguridad para institutosQuantiKa14
 
Casos reales usando osint
Casos reales usando osintCasos reales usando osint
Casos reales usando osintQuantiKa14
 

Mehr von QuantiKa14 (20)

PEGASUS MI ARMA
PEGASUS MI ARMAPEGASUS MI ARMA
PEGASUS MI ARMA
 
Cómo detectar que nos espían en nuestros móviles
Cómo detectar que nos espían en nuestros móvilesCómo detectar que nos espían en nuestros móviles
Cómo detectar que nos espían en nuestros móviles
 
Hacer prácticas en QuantiKa14 - ETSII 2020
Hacer prácticas en QuantiKa14 - ETSII 2020Hacer prácticas en QuantiKa14 - ETSII 2020
Hacer prácticas en QuantiKa14 - ETSII 2020
 
Ciberacoso, casos reales
Ciberacoso, casos realesCiberacoso, casos reales
Ciberacoso, casos reales
 
Tacita, análisis de APKS y big data
Tacita, análisis de APKS y big dataTacita, análisis de APKS y big data
Tacita, análisis de APKS y big data
 
Prueba digital y casos reales de peritaje informático
Prueba digital y casos reales de peritaje informáticoPrueba digital y casos reales de peritaje informático
Prueba digital y casos reales de peritaje informático
 
Ciberacoso por Jorge Coronado
Ciberacoso por Jorge CoronadoCiberacoso por Jorge Coronado
Ciberacoso por Jorge Coronado
 
Casos reales usando OSINT
Casos reales usando OSINTCasos reales usando OSINT
Casos reales usando OSINT
 
Forense informático a WordPress y Whatsapp usando aplicaciones open source
Forense informático a WordPress y Whatsapp usando aplicaciones open sourceForense informático a WordPress y Whatsapp usando aplicaciones open source
Forense informático a WordPress y Whatsapp usando aplicaciones open source
 
Ciberacoso
CiberacosoCiberacoso
Ciberacoso
 
Forense en WordPress
Forense en WordPressForense en WordPress
Forense en WordPress
 
Ciberseguridad para padres y madres
Ciberseguridad para padres y madresCiberseguridad para padres y madres
Ciberseguridad para padres y madres
 
Anonimato en Internet y Dante's Gates minimal version
Anonimato en Internet y Dante's Gates minimal versionAnonimato en Internet y Dante's Gates minimal version
Anonimato en Internet y Dante's Gates minimal version
 
Ronda de Hacking - Gambrinus challenge Sh3llcon
Ronda de Hacking - Gambrinus challenge Sh3llconRonda de Hacking - Gambrinus challenge Sh3llcon
Ronda de Hacking - Gambrinus challenge Sh3llcon
 
Formacion para empresas para prevenir el ransomware
Formacion para empresas para prevenir el ransomwareFormacion para empresas para prevenir el ransomware
Formacion para empresas para prevenir el ransomware
 
OSINT OSANT... CADA DÍA TE QUIERO MÁS
OSINT OSANT... CADA DÍA TE QUIERO MÁSOSINT OSANT... CADA DÍA TE QUIERO MÁS
OSINT OSANT... CADA DÍA TE QUIERO MÁS
 
All in one OSINT
All in one OSINTAll in one OSINT
All in one OSINT
 
Ciberseguridad para pymes y empresas
Ciberseguridad para pymes y empresasCiberseguridad para pymes y empresas
Ciberseguridad para pymes y empresas
 
Ciberseguridad para institutos
Ciberseguridad para institutosCiberseguridad para institutos
Ciberseguridad para institutos
 
Casos reales usando osint
Casos reales usando osintCasos reales usando osint
Casos reales usando osint
 

Kürzlich hochgeladen

9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 

Kürzlich hochgeladen (16)

9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 

WordPress Hardening Guide

  • 2. ¿Quién soy yo? ● ● ● Jorge Websec ● Autor del blog www.websec.es ● @Jorgewebsec ● Socio fundador de QuantiKa14 Fundador del FSI Creador del proyecto WordPressa www.quantika14.com || WORDPRESSA 2
  • 3. ¿Qué es el Hardening? En seguridad informática, es el proceso de asegurar un sistema mediante la reducción de vulnerabilidades, buenas configuraciones... ● Poner barreras y dificultades para que un atacante no pueda conseguir el objetivo de su ataque. www.quantika14.com || WORDPRESSA 3
  • 4. ¿Qué es Wordpressa? ● Un laboratorio para aprender técnicas ofensivas y defensivas. http://www.websec.es/2013/07/04/wo rdpressa-laboratorio-wordpress/ ● Auditorías de seguridad en Wordpress. ● Manuales: – Empezando con Wordpress – Hardening – Exploiting – Creación de una plantilla – Creación de plugins www.quantika14.com || WORDPRESSA 4
  • 6. Cada vez usan más ● Empresas ● Gubernamentales ● Blogs ● Foros ● Páginas personales ● Comunidades etc www.quantika14.com || WORDPRESSA 6
  • 9. ¿Y por qué a mí? Si yo no tengo nada ● ● ● Atacaran grandes empresas. Webs conocidas. Webs con datos valiosos. www.quantika14.com || WORDPRESSA 9
  • 10. Qué motiva a un atacante: ● Ego ● Malware ● Botnet ● Información ● Almacenar ● Servicios www.quantika14.com || WORDPRESSA 10
  • 12. 1.La versión de Wordpress ● ● Mirar el Readme.html Mirar el meta generator en el HTML de la página. www.quantika14.com || WORDPRESSA 12
  • 13. Solución: ● Quitar Meta Generator: – Añadir en el archivo “functions.php” de tu plantilla: ● remove_action('wp_head', 'wp_generator'); #Muestra el generador XHTML que se genera en el gancho wp_head. #Borramos la función wp_generator enganchada wp_head ● Readme.html – Lo borramos o lo modificamos manualmente. www.quantika14.com || WORDPRESSA 13
  • 14. Si no lo borramos... www.quantika14.com || WORDPRESSA 14
  • 15. Si lo borramos... ● ● El atacante tendrá que comerse la cabeza un poquito más... Pero cada versión de wordpress usa diferentes tipos de archivos. www.quantika14.com || WORDPRESSA 15
  • 16. Webs con Readme: http://blog.ebay.com/readme.html [3.6.1] ●View-source:http://blog.nexius.es/ [3.6.1] ●http://www.regalopublicidad.com/blog/readme.html [3.6] ●http://www.blog.iberdrola.com/readme.html [3.5] ●http://psoesevilla.es/readme.html [3.5] ●View-source:http://ppsevilla.com/ [3.4] ●http://blog.pepsico.es/readme.html [3.2.1] ●view-source:telefonica.com.ec/blog/ [3.0.4] ●view-source:http://www.andalucesdiario.es/ ●http://historiadelartemalaga.es/congresos/teoriayliteraturaartistica/readme.html ●view-source:http://www.cuartopoder.es/tribuna/ ● www.quantika14.com || WORDPRESSA 16
  • 17. Los Permisos ● Lectura (r) ó (4) ● Propietario del archivo ● Escritura (w) ó (2) ● Grupo de usuarios ● Ejecución (x) ó (1) ● Cualquier usuario www.quantika14.com || WORDPRESSA 17
  • 18. Estructura y permisos ● ● Directorio Raiz (0755) Wp-config.php (0644) Un usuario puede modificar los permisos Desde su cliente FTP o desde el Administrador de archivos de Su panel de control ● WP-ADMIN ● WP-INCLUDES ● WP-CONTENT 0755 www.quantika14.com || WORDPRESSA 18
  • 19. Proteger WP-CONFIG es nuestro deber www.quantika14.com || WORDPRESSA 19
  • 20. Con .htaccess ● # proteccion de wpconfig.php ● <files wp-config.php> ● order allow,deny ● deny from all ● </files> www.quantika14.com || WORDPRESSA 20
  • 21. La cabaña no es segura... En caso de evasión es mejor que no este el objetivo fuera... (wp-config) www.quantika14.com || WORDPRESSA 21
  • 22. Mover wp-config Creamos un php fuera con: ● ● <?php define('DB_NAME', 'Nombre_BaseDatos'); de tu base de datos // El nombre ● define('DB_USER', 'Usuario'); ● define('DB_PASSWORD', 'Password'); // password ● define('DB_HOST', 'localhost'); ● ● // El usuario de MySQL // El servidor $table_prefix = 'IMPORTANTE CAMBIARLO'; // el prefijo de las tablas, casi siempre es wp_ ?> www.quantika14.com || WORDPRESSA 22
  • 24. En un ataque las ventanas y puertas cerradas con llave ● # limitar el acceso como administrador por IP desde el .HTACCESS order deny, allow allow from 1.2.3.4 (cambiar por vuestra IP) deny from all (denegamos el acceso a todas las IPS menos la nuestra) ● En el caso de tener una ip dinámica podemos usar una VPN (OpenVPN) www.quantika14.com || WORDPRESSA 24
  • 25. Otros consejos: Cambiar el Prefijo wp_ (“Dificulta” inyecciones sql) ●Actualizar siempre: los plugins, las plantillas y el wordpress. ●Hacer Backups de los archivos y base de datos. ●Borrar los metadatos antes de subirlos. ●Utilizar una buena contraseña y cambiarla habitualmente. ● www.quantika14.com || WORDPRESSA 25
  • 26. Plugins de Seguridad: ● Exploit Scanner. ● Ultimate Security Checker ● LockerPress (cambia la url del acceso al backend) ● BETTER WP SECURITY (http://www.securitybydefault.com/2013/05/better-wpsecurity-completo-plugin-de.html) www.quantika14.com || WORDPRESSA 26