SlideShare ist ein Scribd-Unternehmen logo

20 claves de Seguridad WordPress

Fernando Tellado
Fernando Tellado

Desayuno técnico donde Fernando Tellado explica las 20 claves para blindar WordPress

Präsentationen & Vorträge
1 von 57
Downloaden Sie, um offline zu lesen
20 CLAVES PARA BLINDAR WORDPRESS @fernandot AyudaWP.com #desayunoSiteGround @SiteGround_ES
1. CAMBIA EL USUARIO “ADMIN” ➤ Durante años WordPress se ha instalado con el usuario “admin” como principal. Si encuentras una instalación así crea otro y borra el anterior (asigna el contenido al nuevo, claro) #desayunoSiteGround
1. CAMBIA EL USUARIO “ADMIN” ➤ Solución SiteGround: Se ha modificado el auto-instalador para que se genere el primer usuario aleatoriamente, y nunca sea “admin” #desayunoSiteGround
2. USA CONTRASEÑAS SEGURAS ➤ Desde el momento de la instalación de WordPress debes elegir la contraseña de administrador. WordPress te ofrece una contraseña segura tanto en la instalación como en cambios y creación de usuarios : ÚSALA ➤ REGLA: Utiliza mayúsculas, minúsculas, números y símbolos - CÁMBIALA CON REGULARIDAD #desayunoSiteGround
2. USA CONTRASEÑAS SEGURAS ➤ Solución SiteGround: En el auto-instalador de SiteGround se generan contraseñas seguras y, al contrario que en el de WordPress, no deja usar una insegura #desayunoSiteGround
2. USA CONTRASEÑAS SEGURAS ➤ Solución SiteGround: En el auto-instalador de SiteGround se generan contraseñas seguras y, al contrario que en el de WordPress, no deja usar una insegura #desayunoSiteGround
2. USA CONTRASEÑAS SEGURAS ➤ Solución SiteGround: En el auto-instalador de SiteGround se generan contraseñas seguras y, al contrario que en el de WordPress, no deja usar una insegura #desayunoSiteGround
2. USA CONTRASEÑAS SEGURAS ➤ Solución SiteGround: En las herramientas WordPress de SiteGround puedes reiniciar la contraseña de administrador si no puedes acceder o crees que pueda estar comprometida #desayunoSiteGround
3. NO USES WP_ COMO PREFIJO DE TABLAS ➤ Por defecto, WordPress ofrece wp_ como prefijo de tabla. CÁMBIALO A CUALQUIER OTRO #desayunoSiteGround
3. NO USES WP_ COMO PREFIJO DE TABLAS ➤ Por defecto, WordPress ofrece wp_ como prefijo de tabla. CÁMBIALO A CUALQUIER OTRO #desayunoSiteGround
3. NO USES WP_ COMO PREFIJO DE TABLAS ➤ Solución SiteGround: En el auto-instalador de SiteGround se generan automáticamente prefijos aleatorios de tabla para la base de datos. #desayunoSiteGround
4. PERMISOS DE ARCHIVOS Y CARPETAS ➤ Los archivos y carpeta de WordPress deben tener los permisos correctos para protegerlos de escritura. ➤ REGLA: Archivos (644) - Carpetas (755) ➤ TRUCO: Cambiar permisos wp-config.php y .htaccess a 444 #desayunoSiteGround
4. PERMISOS DE ARCHIVOS Y CARPETAS ➤ Los archivos y carpeta de WordPress deben tener los permisos correctos para protegerlos de escritura. ➤ REGLA: Archivos (644) - Carpetas (755) ➤ TRUCO: Cambiar permisos wp-config.php y .htaccess a 444 #desayunoSiteGround
4. PERMISOS DE ARCHIVOS Y CARPETAS ➤ Solución SiteGround: Herramienta WordPress de recuperación recursiva de permisos correctos de archivos y carpetas. ➤ Solución SiteGround: Aislamiento de cuentas en entorno chrooted para evitar ejecución y escritura de “otros” #desayunoSiteGround
4. PERMISOS DE ARCHIVOS Y CARPETAS ➤ Solución SiteGround: Herramienta WordPress de recuperación recursiva de permisos correctos de archivos y carpetas. ➤ Solución SiteGround: Aislamiento de cuentas en entorno chrooted para evitar ejecución y escritura de “otros” #desayunoSiteGround
4. PERMISOS DE ARCHIVOS Y CARPETAS ➤ Solución SiteGround: Herramienta WordPress de recuperación recursiva de permisos correctos de archivos y carpetas. ➤ Solución SiteGround: Aislamiento de cuentas en entorno chrooted para evitar ejecución y escritura de “otros” #desayunoSiteGround
5. PROTEGE WP-CONFIG.PHP ➤ Es vital proteger el archivo de configuración de WordPress al contener información de conexión a base de datos. ➤ TRUCO: Moverlo al directorio superior ➤ TRUCO: Protegerlo desde .htaccess #desayunoSiteGround
5. PROTEGE WP-CONFIG.PHP ➤ Es vital proteger el archivo de configuración de WordPress al contener información de conexión a base de datos. ➤ TRUCO: Moverlo al directorio superior ➤ TRUCO: Protegerlo desde .htaccess #desayunoSiteGround
5. PROTEGE WP-CONFIG.PHP ➤ Es vital proteger el archivo de configuración de WordPress al contener información de conexión a base de datos. ➤ TRUCO: Moverlo al directorio superior ➤ TRUCO: Protegerlo desde .htaccess <Files wp-config.php> order allow,deny deny from all </Files> #desayunoSiteGround
5. PROTEGE WP-CONFIG.PHP ➤ Solución SiteGround: Aislamiento de cuentas en entorno chrooted que impide la escritura y ejecución en archivos y carpetas #desayunoSiteGround
6. PROTEGE EL ACCESO A WP-ADMIN ➤ Protege el acceso a wp-admin y la pantalla de acceso desde .htaccess ➤ NOTA: Cambia x.x.x.x a tu IP pública <FilesMatch "(wp-login).php"> deny from all allow from X.X.X.X </FilesMatch> #desayunoSiteGround
6. PROTEGE EL ACCESO A WP-ADMIN ➤ Solución SiteGround: En la herramienta WordPress de SiteGround “Secure Admin Panel” puedes limitar el acceso por IP de manera sencilla y sin modificar archivos manualmente #desayunoSiteGround
6. PROTEGE EL ACCESO A WP-ADMIN ➤ Solución SiteGround: El auto-instalador WordPress en SiteGround permite por defecto instalar el plugin Limit Login Attempts, para frenar los ataques de fuerza bruta a la pantalla de acceso. #desayunoSiteGround
6. PROTEGE EL ACCESO A WP-ADMIN ➤ Solución SiteGround: El auto-instalador WordPress en SiteGround permite por defecto instalar el plugin Limit Login Attempts, para frenar los ataques de fuerza bruta a la pantalla de acceso. #desayunoSiteGround
6. PROTEGE EL ACCESO A WP-ADMIN ➤ Solución SiteGround: El auto-instalador WordPress en SiteGround permite por defecto instalar el plugin Limit Login Attempts, para frenar los ataques de fuerza bruta a la pantalla de acceso. #desayunoSiteGround
6. PROTEGE EL ACCESO A WP-ADMIN ➤ Solución SiteGround: El auto-instalador WordPress en SiteGround permite por defecto instalar un sustituto de usuario/contraseña por una solución de acceso móvil. ➤ NOTA: Los plugins preinstalados por SiteGround se pueden inactivar y borrar como cualquier otro de WordPress #desayunoSiteGround
7. USA UN CAPTCHA ➤ Añade un CAPTCHA en las pantallas de acceso y registro para frenar los ataques de fuerza bruta (80% según estadísticas de SiteGround) ➤ PLUGIN RECOMENDADO: No CAPTCHA reCAPTCHA #desayunoSiteGround
8. UTILIZA SIEMPRE SFTP ➤ Las conexiones FTP no son seguras y debe usarse siempre que sea posible SFTP #desayunoSiteGround
8. UTILIZA SIEMPRE SFTP ➤ Solución SiteGround: Servicio incluido SSH para crear el par de claves #desayunoSiteGround
8. UTILIZA SIEMPRE SFTP ➤ Solución SiteGround: Servicio incluido SSH para crear el par de claves #desayunoSiteGround
8. UTILIZA SIEMPRE SFTP ➤ Solución SiteGround: Servicio incluido SSH para crear el par de claves #desayunoSiteGround
8. UTILIZA SIEMPRE SFTP ➤ Solución SiteGround: Servicio incluido SSH para crear el par de claves #desayunoSiteGround
8. UTILIZA SIEMPRE SFTP ➤ Solución SiteGround: Servicio incluido SSH para crear el par de claves #desayunoSiteGround
9. PROTEGER CARPETAS CON CONTRASEÑA ➤ Podemos proteger carpetas mediante contraseña creando un fichero .htpasswd generado y añadiendo la protección al fichero .htaccess AuthType basic AuthName "Este directorio está protegido" AuthUserFile /home/ruta/.htpasswd AuthGroupFile /dev/null Require valid-user #desayunoSiteGround
9. PROTEGER CARPETAS CON CONTRASEÑA ➤ Solución SiteGround: Solución incluida en cPanel de protección sencilla de carpetas mediante contraseña en pocos clics. #desayunoSiteGround
10. ANULA LA VULNERABILIDAD XML-RPC ➤ WordPress arrastra una vulnerabilidad a través del protocolo XML-RPC que puede permitir inyecciones de código. Se puede desactivar el protocolo en wp-config.php ➤ … y desde .htaccess add_filter('xmlrpc_enabled', '__return_false'); <Files xmlrpc.php> Order Deny,Allow Deny from all </Files> #desayunoSiteGround
10. ANULA LA VULNERABILIDAD XML-RPC ➤ Solución SiteGround: A través del WAF (Web Application Firewall) integrado aplica reglas mod_security por defecto para evitarlo. #desayunoSiteGround
11. SI NO LO USAS BÓRRALO ➤ En WordPress es común instalar muchos plugins y temas para probarlos, pero tenerlos instalados aunque no estén activos es fuente de posibles ataques que aprovechen vulnerabilidades no solucionadas. Si no lo usas bórralo ➤ TRUCO: WordPress instala 3 temas por defecto, borra los que no uses salvo uno, que se activará en caso de problemas con el tema activo #desayunoSiteGround
12. ACTUALIZA, ACTUALIZA, ACTUALIZA ➤ Mantén actualizado WordPress, plugins y temas a la última versión desde el actualizado automático integrado. ➤ TRUCO: WordPress actualiza en segundo plano las versiones menores pero puedes activar también el resto desde wp-config.php #desayunoSiteGround
11. ACTUALIZA, ACTUALIZA, ACTUALIZA ➤ TRUCO: Activar actualizaciones mayores y de desarrollo en segundo plano desde wp-config.php ➤ TRUCO: Activar actualizaciones en segundo plano de plugins mediante filtros ➤ TRUCO: Activar actualizaciones en segundo plano de temas mediante filtros define( 'WP_AUTO_UPDATE_CORE', true ); add_filter( 'auto_update_plugin', '__return_true' ); add_filter( 'auto_update_theme', '__return_true' ); #desayunoSiteGround
11. ACTUALIZA, ACTUALIZA, ACTUALIZA ➤ Solución SiteGround: Herramienta WP Auto Update para activar actualizaciones completas en segundo plano, también de plugins (Nota: SiteGround hace backup justo antes de actualizar) #desayunoSiteGround
11. ACTUALIZA, ACTUALIZA, ACTUALIZA ➤ Solución SiteGround: Herramienta WP Auto Update para activar actualizaciones completas en segundo plano, también de plugins (Nota: SiteGround hace backup justo antes de actualizar) #desayunoSiteGround
12. BACKUPS ➤ Da igual las medidas que apliquemos, siempre deberíamos tener una copia de seguridad de respaldo en caso de desastre ➤ TRUCO: Usa plugins de tareas de backup como backWPup #desayunoSiteGround
12. BACKUPS ➤ Solución SiteGround: Guarda 30 copias de seguridad diarias que puedes restaurar en cualquier momento #desayunoSiteGround
13. VERSIONES PHP ➤ Solución SiteGround: Herramienta para elegir y cambiar para cada instalación de WordPress la versión de PHP ➤ NOTA: Usa siempre la última versión estable y segura compatible con tus aplicaciones #desayunoSiteGround
14. WAF INTEGRADO ➤ Solución SiteGround: Además de reglas mod_security por defecto, incluye CloudFlare gratuito en cada cuenta el cual contiene ajustes de seguridad incluidos: ✓ 5 niveles de seguridad desde offline a “me están atacando” ✓ Ofuscación de emails ✓ Siempre online #desayunoSiteGround
14. WAF INTEGRADO ➤ Solución SiteGround: Además de reglas mod_security por defecto, incluye CloudFlare gratuito en cada cuenta el cual contiene ajustes de seguridad incluidos: ✓ 5 niveles de seguridad desde offline a “me están atacando” ✓ Ofuscación de emails ✓ Siempre online #desayunoSiteGround
15. MOD_SECURITY ➤ Soluciones SiteGround ➡ Cuando se detecta cualquier vulnerabilidad se aplican nuevas reglas de escritura en mod_security sin esperar a que los desarrolladores emitan un parche que la soluciones. ➡ Búsqueda activa y permanente de patrones de hackeo y aplicación de nuevas reglas para mod_security cuando se detecta alguno. ➡ Si un desarrollador decide usar mod_security para escribir sus propias reglas deben mantenerse actualizadas. #desayunoSiteGround
16. SOFTWARE DE SERVIDOR ACTUALIZADO ➤ Solución SiteGround: Siempre se instalan y ejecutan versiones estables y seguras de Apache y PHP, configuradas con la estabilidad y la seguridad como objetivo. ➤ NOTA: Los symlinks incorrectos pueden generar exploits #desayunoSiteGround
17. ACCESO RESTRINGIDO A SSH ➤ Solución SiteGround: Los planes de hosting de SiteGround no permiten accesos root a SSH. El acceso shell SSH está restringido a tu cuenta de usuario para evitar accesos remotos potencialmente peligrosos. #desayunoSiteGround
18. PROTECCIÓN CONTRA MALWARE ➤ Solución SiteGround: En los servidores de SiteGround se utiliza el servicio de detección de Sucuri para identificar las infecciones del malware en su primera etapa, antes de que se activen los exploits #desayunoSiteGround
19. MONITORIZACIÓN DE SERVIDORES ➤ Soluciones SiteGround: ➡ Para protección ante ataques DDOS SiteGround utiliza herramientas especiales de protección de hardware en sus servidores, revisiones periódicas de IPs y, en caso de detección, se detienen los ataques. ➡ Para protección ante ataques de fuerza bruta SiteGround utiliza un potente sistema de prevención de intrusiones denominado 1H Hawk, que identifica si alguien está tratando de realizar un ataque de este tipo sobre cualquiera de tus contraseñas (FTP, email, etc.) y desactiva el acceso de las IPs atacantes en tiempo real. #desayunoSiteGround
19. MONITORIZACIÓN DE SERVIDORES ➤ Solución SiteGround: Desde tu panel de SiteGround tienes la herramienta gratuita de denegación de IPs para denegar acceso a cualquier IP atacante o sospechosa #desayunoSiteGround
20. AISLAMIENTO DE CUENTAS Y PROCESOS ➤ Solución SiteGround: Si gestionas múltiples sitios, propios o de clientes, puedes aislar los sitios utilizando procesos chroot ya que SiteGround usa aislamiento chroot. SiteGround también puede aislar aplicaciones web completas de otras. #desayunoSiteGround
#desayunoSiteGround @SiteGround_ES @fernandot AyudaWP.com

Empfohlen

Implementación básica VMWare Data Protection 6
Implementación básica VMWare Data Protection 6Implementación básica VMWare Data Protection 6
Implementación básica VMWare Data Protection 6
RaGaZoMe
 
Migración VDP 6.0 a VDP 6.1.1
Migración VDP 6.0 a VDP 6.1.1Migración VDP 6.0 a VDP 6.1.1
Migración VDP 6.0 a VDP 6.1.1
RaGaZoMe
 
Instalación básica vSphere 5.5
Instalación básica vSphere 5.5Instalación básica vSphere 5.5
Instalación básica vSphere 5.5
RaGaZoMe
 
La seguridad en WordPress de la A a la Z
La seguridad en WordPress de la A a la ZLa seguridad en WordPress de la A a la Z
La seguridad en WordPress de la A a la Z
wpbarcelona
 
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
RaGaZoMe
 
Aplicar la seguridad en WordPress desde la selección de un hosting
Aplicar la seguridad en WordPress desde la selección de un hosting Aplicar la seguridad en WordPress desde la selección de un hosting
Aplicar la seguridad en WordPress desde la selección de un hosting
José Conti Calveras
 
Meetup WordPress Pamplona: Copias de Seguridad con WordPress
Meetup WordPress Pamplona: Copias de Seguridad con WordPressMeetup WordPress Pamplona: Copias de Seguridad con WordPress
Meetup WordPress Pamplona: Copias de Seguridad con WordPress
Angel Flores
 
VPN Site to Site FortiGate 100D-60C
VPN Site to Site FortiGate 100D-60CVPN Site to Site FortiGate 100D-60C
VPN Site to Site FortiGate 100D-60C
RaGaZoMe
 

Empfohlen

Implementación básica VMWare Data Protection 6
Implementación básica VMWare Data Protection 6Implementación básica VMWare Data Protection 6
Implementación básica VMWare Data Protection 6
RaGaZoMe
 
Migración VDP 6.0 a VDP 6.1.1
Migración VDP 6.0 a VDP 6.1.1Migración VDP 6.0 a VDP 6.1.1
Migración VDP 6.0 a VDP 6.1.1
RaGaZoMe
 
Instalación básica vSphere 5.5
Instalación básica vSphere 5.5Instalación básica vSphere 5.5
Instalación básica vSphere 5.5
RaGaZoMe
 
La seguridad en WordPress de la A a la Z
La seguridad en WordPress de la A a la ZLa seguridad en WordPress de la A a la Z
La seguridad en WordPress de la A a la Z
wpbarcelona
 
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
RaGaZoMe
 
Aplicar la seguridad en WordPress desde la selección de un hosting
Aplicar la seguridad en WordPress desde la selección de un hosting Aplicar la seguridad en WordPress desde la selección de un hosting
Aplicar la seguridad en WordPress desde la selección de un hosting
José Conti Calveras
 
Meetup WordPress Pamplona: Copias de Seguridad con WordPress
Meetup WordPress Pamplona: Copias de Seguridad con WordPressMeetup WordPress Pamplona: Copias de Seguridad con WordPress
Meetup WordPress Pamplona: Copias de Seguridad con WordPress
Angel Flores
 
VPN Site to Site FortiGate 100D-60C
VPN Site to Site FortiGate 100D-60CVPN Site to Site FortiGate 100D-60C
VPN Site to Site FortiGate 100D-60C
RaGaZoMe
 
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebWebinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Sucuri
 
Implementación VMWare Center Server 6 Appliance
Implementación VMWare Center Server 6 ApplianceImplementación VMWare Center Server 6 Appliance
Implementación VMWare Center Server 6 Appliance
RaGaZoMe
 
Maye 2015
Maye 2015Maye 2015
Maye 2015
mayebasi10
 
Manual de wordpress para novatos
Manual de wordpress para novatosManual de wordpress para novatos
Manual de wordpress para novatos
Brox Technology
 
Implementación y Administración Hyper-V 2008 R2
Implementación y Administración Hyper-V 2008 R2Implementación y Administración Hyper-V 2008 R2
Implementación y Administración Hyper-V 2008 R2
RaGaZoMe
 
Configurando VPN IPSec FortiClient - FortiGate 100D
Configurando VPN IPSec FortiClient - FortiGate 100DConfigurando VPN IPSec FortiClient - FortiGate 100D
Configurando VPN IPSec FortiClient - FortiGate 100D
RaGaZoMe
 
Los mejores plugins para Wordpress
Los mejores plugins para WordpressLos mejores plugins para Wordpress
Los mejores plugins para Wordpress
Dani Reguera Bakhache
 
Instalación y configuración de un sitio web en Wordpress 3.8
Instalación y configuración de un sitio web en Wordpress 3.8Instalación y configuración de un sitio web en Wordpress 3.8
Instalación y configuración de un sitio web en Wordpress 3.8
Dani Reguera Bakhache
 
Navegador seamonkey
Navegador seamonkeyNavegador seamonkey
Navegador seamonkey
hilario_utec
 
Tutorial de instalación de apache, php, mysql y phpmyadmin
Tutorial de instalación de apache, php, mysql y phpmyadminTutorial de instalación de apache, php, mysql y phpmyadmin
Tutorial de instalación de apache, php, mysql y phpmyadmin
Ignacio Aular Reyes
 
Actualizando Firmware FortiGate por CLI y GUI
Actualizando Firmware FortiGate por CLI y GUIActualizando Firmware FortiGate por CLI y GUI
Actualizando Firmware FortiGate por CLI y GUI
RaGaZoMe
 
Creación de un plugin para WordPress
Creación de un plugin para WordPressCreación de un plugin para WordPress
Creación de un plugin para WordPress
Dani Reguera Bakhache
 
AnonimaTOR
AnonimaTORAnonimaTOR
AnonimaTOR
Ramón Salado Lucena
 
Implementación Auditoria Windows Server 2008 R2
Implementación Auditoria Windows Server 2008 R2Implementación Auditoria Windows Server 2008 R2
Implementación Auditoria Windows Server 2008 R2
RaGaZoMe
 
Renovando FortiCare de FortiGate
Renovando FortiCare de FortiGateRenovando FortiCare de FortiGate
Renovando FortiCare de FortiGate
RaGaZoMe
 
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPressOwasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Ramón Salado Lucena
 
Bypassing waf advanced
Bypassing waf advancedBypassing waf advanced
Bypassing waf advanced
limahack
 
WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...
WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...
WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...
Darío BF
 
Webperf wordpress
Webperf wordpressWebperf wordpress
Webperf wordpress
La Salle BCN
 
La potencia sin control no sirve de nada, claves para aprovechar el uso de Wo...
La potencia sin control no sirve de nada, claves para aprovechar el uso de Wo...La potencia sin control no sirve de nada, claves para aprovechar el uso de Wo...
La potencia sin control no sirve de nada, claves para aprovechar el uso de Wo...
Asociación Webmasters Cantabria
 
Monta WordPress en tu empresa
Monta WordPress en tu empresaMonta WordPress en tu empresa
Monta WordPress en tu empresa
Iñaki Arenaza
 
Carlos Pascual #WPvalladolid 2014
Carlos Pascual #WPvalladolid 2014Carlos Pascual #WPvalladolid 2014
Carlos Pascual #WPvalladolid 2014
Wordpress Valladolid
 

Weitere ähnliche Inhalte

Was ist angesagt?

Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebWebinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Sucuri
 
Bypassing waf advanced
Bypassing waf advancedBypassing waf advanced
Bypassing waf advanced
limahack
 

Was ist angesagt? (17)

Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebWebinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
 
Implementación VMWare Center Server 6 Appliance
Implementación VMWare Center Server 6 ApplianceImplementación VMWare Center Server 6 Appliance
Implementación VMWare Center Server 6 Appliance
 
Maye 2015
Maye 2015Maye 2015
Maye 2015
 
Manual de wordpress para novatos
Manual de wordpress para novatosManual de wordpress para novatos
Manual de wordpress para novatos
 
Implementación y Administración Hyper-V 2008 R2
Implementación y Administración Hyper-V 2008 R2Implementación y Administración Hyper-V 2008 R2
Implementación y Administración Hyper-V 2008 R2
 
Configurando VPN IPSec FortiClient - FortiGate 100D
Configurando VPN IPSec FortiClient - FortiGate 100DConfigurando VPN IPSec FortiClient - FortiGate 100D
Configurando VPN IPSec FortiClient - FortiGate 100D
 
Los mejores plugins para Wordpress
Los mejores plugins para WordpressLos mejores plugins para Wordpress
Los mejores plugins para Wordpress
 
Instalación y configuración de un sitio web en Wordpress 3.8
Instalación y configuración de un sitio web en Wordpress 3.8Instalación y configuración de un sitio web en Wordpress 3.8
Instalación y configuración de un sitio web en Wordpress 3.8
 
Navegador seamonkey
Navegador seamonkeyNavegador seamonkey
Navegador seamonkey
 
Tutorial de instalación de apache, php, mysql y phpmyadmin
Tutorial de instalación de apache, php, mysql y phpmyadminTutorial de instalación de apache, php, mysql y phpmyadmin
Tutorial de instalación de apache, php, mysql y phpmyadmin
 
Actualizando Firmware FortiGate por CLI y GUI
Actualizando Firmware FortiGate por CLI y GUIActualizando Firmware FortiGate por CLI y GUI
Actualizando Firmware FortiGate por CLI y GUI
 
Creación de un plugin para WordPress
Creación de un plugin para WordPressCreación de un plugin para WordPress
Creación de un plugin para WordPress
 
AnonimaTOR
AnonimaTORAnonimaTOR
AnonimaTOR
 
Implementación Auditoria Windows Server 2008 R2
Implementación Auditoria Windows Server 2008 R2Implementación Auditoria Windows Server 2008 R2
Implementación Auditoria Windows Server 2008 R2
 
Renovando FortiCare de FortiGate
Renovando FortiCare de FortiGateRenovando FortiCare de FortiGate
Renovando FortiCare de FortiGate
 
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPressOwasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
 
Bypassing waf advanced
Bypassing waf advancedBypassing waf advanced
Bypassing waf advanced
 

Ähnlich wie 20 claves de Seguridad WordPress

Javier Santos - Presentación WordCamp Málaga
Javier Santos - Presentación WordCamp MálagaJavier Santos - Presentación WordCamp Málaga
Javier Santos - Presentación WordCamp Málaga
Javier Santos
 
Cursowordpress 091124113422-phpapp02
Cursowordpress 091124113422-phpapp02Cursowordpress 091124113422-phpapp02
Cursowordpress 091124113422-phpapp02
Josefina Moratalla
 

Ähnlich wie 20 claves de Seguridad WordPress (20)

WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...
WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...
WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...
 
Webperf wordpress
Webperf wordpressWebperf wordpress
Webperf wordpress
 
La potencia sin control no sirve de nada, claves para aprovechar el uso de Wo...
La potencia sin control no sirve de nada, claves para aprovechar el uso de Wo...La potencia sin control no sirve de nada, claves para aprovechar el uso de Wo...
La potencia sin control no sirve de nada, claves para aprovechar el uso de Wo...
 
Monta WordPress en tu empresa
Monta WordPress en tu empresaMonta WordPress en tu empresa
Monta WordPress en tu empresa
 
Carlos Pascual #WPvalladolid 2014
Carlos Pascual #WPvalladolid 2014Carlos Pascual #WPvalladolid 2014
Carlos Pascual #WPvalladolid 2014
 
Seguridad en WordPress
Seguridad en WordPressSeguridad en WordPress
Seguridad en WordPress
 
Seguridad WordPress Meetup Majadahonda
Seguridad WordPress Meetup MajadahondaSeguridad WordPress Meetup Majadahonda
Seguridad WordPress Meetup Majadahonda
 
Copias de seguridad en WordPress - WordPress Tarragona 2017
Copias de seguridad en WordPress - WordPress Tarragona 2017Copias de seguridad en WordPress - WordPress Tarragona 2017
Copias de seguridad en WordPress - WordPress Tarragona 2017
 
Play2012
Play2012Play2012
Play2012
 
Webinar - Seguridad en WordPress
Webinar - Seguridad en WordPressWebinar - Seguridad en WordPress
Webinar - Seguridad en WordPress
 
wp-cli
wp-cliwp-cli
wp-cli
 
WordPress - Batalla Práctica | BatallaFriki.com
WordPress - Batalla Práctica | BatallaFriki.comWordPress - Batalla Práctica | BatallaFriki.com
WordPress - Batalla Práctica | BatallaFriki.com
 
10 Claves para mejorar la seguridad de tu WP
10 Claves para mejorar la seguridad de tu WP10 Claves para mejorar la seguridad de tu WP
10 Claves para mejorar la seguridad de tu WP
 
Manual de instalaccion de wordpress
Manual de instalaccion de wordpressManual de instalaccion de wordpress
Manual de instalaccion de wordpress
 
Instalación Wordpress y woocommerce con xampp y migración de base de datos de...
Instalación Wordpress y woocommerce con xampp y migración de base de datos de...Instalación Wordpress y woocommerce con xampp y migración de base de datos de...
Instalación Wordpress y woocommerce con xampp y migración de base de datos de...
 
Las claves para optimizar la seguridad de tu sitio WordPress
Las claves para optimizar la seguridad de tu sitio WordPressLas claves para optimizar la seguridad de tu sitio WordPress
Las claves para optimizar la seguridad de tu sitio WordPress
 
Javier Santos - Presentación WordCamp Málaga
Javier Santos - Presentación WordCamp MálagaJavier Santos - Presentación WordCamp Málaga
Javier Santos - Presentación WordCamp Málaga
 
Curso De Wordpress
Curso De WordpressCurso De Wordpress
Curso De Wordpress
 
Cursowordpress 091124113422-phpapp02
Cursowordpress 091124113422-phpapp02Cursowordpress 091124113422-phpapp02
Cursowordpress 091124113422-phpapp02
 
Guia word press
Guia word pressGuia word press
Guia word press
 

Mehr von Fernando Tellado

Mehr von Fernando Tellado (20)

OWASP y seguridad WordPress
OWASP y seguridad WordPressOWASP y seguridad WordPress
OWASP y seguridad WordPress
 
Eres de Wix o WordPress
Eres de Wix o WordPressEres de Wix o WordPress
Eres de Wix o WordPress
 
Fernando tellado- Cómo optimizar tu ecommerce para vender más
Fernando tellado- Cómo optimizar tu ecommerce para vender másFernando tellado- Cómo optimizar tu ecommerce para vender más
Fernando tellado- Cómo optimizar tu ecommerce para vender más
 
Copywriting Fernando Tellado
Copywriting Fernando TelladoCopywriting Fernando Tellado
Copywriting Fernando Tellado
 
4 cosillas que se de WooCommerce
4 cosillas que se de WooCommerce4 cosillas que se de WooCommerce
4 cosillas que se de WooCommerce
 
WordPress no es tan fácil fernando tellado
WordPress no es tan fácil fernando telladoWordPress no es tan fácil fernando tellado
WordPress no es tan fácil fernando tellado
 
Retos WordPress 2017 - Fernando Tellado
Retos WordPress 2017 - Fernando TelladoRetos WordPress 2017 - Fernando Tellado
Retos WordPress 2017 - Fernando Tellado
 
Como enseñar WordPress fernando tellado
Como enseñar WordPress fernando telladoComo enseñar WordPress fernando tellado
Como enseñar WordPress fernando tellado
 
Comparte ganancias con un programa de Marketing de afiliación
Comparte ganancias con un programa de Marketing de afiliación Comparte ganancias con un programa de Marketing de afiliación
Comparte ganancias con un programa de Marketing de afiliación
 
Branded content - Fernando Tellado
Branded content - Fernando TelladoBranded content - Fernando Tellado
Branded content - Fernando Tellado
 
Como sacar rendimiento a tu hosting
Como sacar rendimiento a tu hostingComo sacar rendimiento a tu hosting
Como sacar rendimiento a tu hosting
 
Tiendas online con WordPress y WooCommerce
Tiendas online con WordPress y WooCommerceTiendas online con WordPress y WooCommerce
Tiendas online con WordPress y WooCommerce
 
Mitos y realidades sobre WordPress
Mitos y realidades sobre WordPressMitos y realidades sobre WordPress
Mitos y realidades sobre WordPress
 
SEO en WordPress con Yoast
SEO en WordPress con YoastSEO en WordPress con Yoast
SEO en WordPress con Yoast
 
Los mejores trucos de SEO on page en WordPress
Los mejores trucos de SEO on page en WordPressLos mejores trucos de SEO on page en WordPress
Los mejores trucos de SEO on page en WordPress
 
AMP y WordPress
AMP y WordPressAMP y WordPress
AMP y WordPress
 
Escalando WordPress
Escalando WordPressEscalando WordPress
Escalando WordPress
 
Optimización WordPress para bloggers
Optimización WordPress para bloggersOptimización WordPress para bloggers
Optimización WordPress para bloggers
 
No soy bloguero pero tuiteo mucho - Fernando Tellado
No soy bloguero pero tuiteo mucho - Fernando TelladoNo soy bloguero pero tuiteo mucho - Fernando Tellado
No soy bloguero pero tuiteo mucho - Fernando Tellado
 
Nueva politica - TEdX Gran Vía
Nueva politica - TEdX Gran VíaNueva politica - TEdX Gran Vía
Nueva politica - TEdX Gran Vía
 

Kürzlich hochgeladen

EVOLUCION DE LA ENFERMERIA QUIRURGICA Y ETICA 1.pptx
EVOLUCION DE LA ENFERMERIA QUIRURGICA Y ETICA 1.pptxEVOLUCION DE LA ENFERMERIA QUIRURGICA Y ETICA 1.pptx
EVOLUCION DE LA ENFERMERIA QUIRURGICA Y ETICA 1.pptx
augusto2788
 

Kürzlich hochgeladen (7)

DIABETES MELLITUS trabajo de investigación
DIABETES MELLITUS trabajo de investigaciónDIABETES MELLITUS trabajo de investigación
DIABETES MELLITUS trabajo de investigación
 
Modelos comunicacionales. Antonella Castrataro.pdf
Modelos comunicacionales. Antonella Castrataro.pdfModelos comunicacionales. Antonella Castrataro.pdf
Modelos comunicacionales. Antonella Castrataro.pdf
 
Willer Gehizon Sanchez Mora
Willer Gehizon Sanchez MoraWiller Gehizon Sanchez Mora
Willer Gehizon Sanchez Mora
 
Día Mundial de la Seguridad y Salud en el Trabajo 2024
Día Mundial de la Seguridad y Salud en el Trabajo 2024Día Mundial de la Seguridad y Salud en el Trabajo 2024
Día Mundial de la Seguridad y Salud en el Trabajo 2024
 
EVOLUCION DE LA ENFERMERIA QUIRURGICA Y ETICA 1.pptx
EVOLUCION DE LA ENFERMERIA QUIRURGICA Y ETICA 1.pptxEVOLUCION DE LA ENFERMERIA QUIRURGICA Y ETICA 1.pptx
EVOLUCION DE LA ENFERMERIA QUIRURGICA Y ETICA 1.pptx
 
Introducción a la liturgia de la Iglesia_Curso_1
Introducción a la liturgia de la Iglesia_Curso_1Introducción a la liturgia de la Iglesia_Curso_1
Introducción a la liturgia de la Iglesia_Curso_1
 
LA DECLAMACIÓN Y LOS RECURSOS NO VERBALES
LA DECLAMACIÓN Y LOS RECURSOS NO VERBALESLA DECLAMACIÓN Y LOS RECURSOS NO VERBALES
LA DECLAMACIÓN Y LOS RECURSOS NO VERBALES
 

20 claves de Seguridad WordPress

  • 1.
  • 2.
  • 3. 20 CLAVES PARA BLINDAR WORDPRESS @fernandot AyudaWP.com #desayunoSiteGround @SiteGround_ES
  • 4. 1. CAMBIA EL USUARIO “ADMIN” ➤ Durante años WordPress se ha instalado con el usuario “admin” como principal. Si encuentras una instalación así crea otro y borra el anterior (asigna el contenido al nuevo, claro) #desayunoSiteGround
  • 5. 1. CAMBIA EL USUARIO “ADMIN” ➤ Solución SiteGround: Se ha modificado el auto-instalador para que se genere el primer usuario aleatoriamente, y nunca sea “admin” #desayunoSiteGround
  • 6. 2. USA CONTRASEÑAS SEGURAS ➤ Desde el momento de la instalación de WordPress debes elegir la contraseña de administrador. WordPress te ofrece una contraseña segura tanto en la instalación como en cambios y creación de usuarios : ÚSALA ➤ REGLA: Utiliza mayúsculas, minúsculas, números y símbolos - CÁMBIALA CON REGULARIDAD #desayunoSiteGround
  • 7. 2. USA CONTRASEÑAS SEGURAS ➤ Solución SiteGround: En el auto-instalador de SiteGround se generan contraseñas seguras y, al contrario que en el de WordPress, no deja usar una insegura #desayunoSiteGround
  • 8. 2. USA CONTRASEÑAS SEGURAS ➤ Solución SiteGround: En el auto-instalador de SiteGround se generan contraseñas seguras y, al contrario que en el de WordPress, no deja usar una insegura #desayunoSiteGround
  • 9. 2. USA CONTRASEÑAS SEGURAS ➤ Solución SiteGround: En el auto-instalador de SiteGround se generan contraseñas seguras y, al contrario que en el de WordPress, no deja usar una insegura #desayunoSiteGround
  • 10. 2. USA CONTRASEÑAS SEGURAS ➤ Solución SiteGround: En las herramientas WordPress de SiteGround puedes reiniciar la contraseña de administrador si no puedes acceder o crees que pueda estar comprometida #desayunoSiteGround
  • 11. 3. NO USES WP_ COMO PREFIJO DE TABLAS ➤ Por defecto, WordPress ofrece wp_ como prefijo de tabla. CÁMBIALO A CUALQUIER OTRO #desayunoSiteGround
  • 12. 3. NO USES WP_ COMO PREFIJO DE TABLAS ➤ Por defecto, WordPress ofrece wp_ como prefijo de tabla. CÁMBIALO A CUALQUIER OTRO #desayunoSiteGround
  • 13. 3. NO USES WP_ COMO PREFIJO DE TABLAS ➤ Solución SiteGround: En el auto-instalador de SiteGround se generan automáticamente prefijos aleatorios de tabla para la base de datos. #desayunoSiteGround
  • 14. 4. PERMISOS DE ARCHIVOS Y CARPETAS ➤ Los archivos y carpeta de WordPress deben tener los permisos correctos para protegerlos de escritura. ➤ REGLA: Archivos (644) - Carpetas (755) ➤ TRUCO: Cambiar permisos wp-config.php y .htaccess a 444 #desayunoSiteGround
  • 15. 4. PERMISOS DE ARCHIVOS Y CARPETAS ➤ Los archivos y carpeta de WordPress deben tener los permisos correctos para protegerlos de escritura. ➤ REGLA: Archivos (644) - Carpetas (755) ➤ TRUCO: Cambiar permisos wp-config.php y .htaccess a 444 #desayunoSiteGround
  • 16. 4. PERMISOS DE ARCHIVOS Y CARPETAS ➤ Solución SiteGround: Herramienta WordPress de recuperación recursiva de permisos correctos de archivos y carpetas. ➤ Solución SiteGround: Aislamiento de cuentas en entorno chrooted para evitar ejecución y escritura de “otros” #desayunoSiteGround
  • 17. 4. PERMISOS DE ARCHIVOS Y CARPETAS ➤ Solución SiteGround: Herramienta WordPress de recuperación recursiva de permisos correctos de archivos y carpetas. ➤ Solución SiteGround: Aislamiento de cuentas en entorno chrooted para evitar ejecución y escritura de “otros” #desayunoSiteGround
  • 18. 4. PERMISOS DE ARCHIVOS Y CARPETAS ➤ Solución SiteGround: Herramienta WordPress de recuperación recursiva de permisos correctos de archivos y carpetas. ➤ Solución SiteGround: Aislamiento de cuentas en entorno chrooted para evitar ejecución y escritura de “otros” #desayunoSiteGround
  • 19. 5. PROTEGE WP-CONFIG.PHP ➤ Es vital proteger el archivo de configuración de WordPress al contener información de conexión a base de datos. ➤ TRUCO: Moverlo al directorio superior ➤ TRUCO: Protegerlo desde .htaccess #desayunoSiteGround
  • 20. 5. PROTEGE WP-CONFIG.PHP ➤ Es vital proteger el archivo de configuración de WordPress al contener información de conexión a base de datos. ➤ TRUCO: Moverlo al directorio superior ➤ TRUCO: Protegerlo desde .htaccess #desayunoSiteGround
  • 21. 5. PROTEGE WP-CONFIG.PHP ➤ Es vital proteger el archivo de configuración de WordPress al contener información de conexión a base de datos. ➤ TRUCO: Moverlo al directorio superior ➤ TRUCO: Protegerlo desde .htaccess <Files wp-config.php> order allow,deny deny from all </Files> #desayunoSiteGround
  • 22. 5. PROTEGE WP-CONFIG.PHP ➤ Solución SiteGround: Aislamiento de cuentas en entorno chrooted que impide la escritura y ejecución en archivos y carpetas #desayunoSiteGround
  • 23. 6. PROTEGE EL ACCESO A WP-ADMIN ➤ Protege el acceso a wp-admin y la pantalla de acceso desde .htaccess ➤ NOTA: Cambia x.x.x.x a tu IP pública <FilesMatch "(wp-login).php"> deny from all allow from X.X.X.X </FilesMatch> #desayunoSiteGround
  • 24. 6. PROTEGE EL ACCESO A WP-ADMIN ➤ Solución SiteGround: En la herramienta WordPress de SiteGround “Secure Admin Panel” puedes limitar el acceso por IP de manera sencilla y sin modificar archivos manualmente #desayunoSiteGround
  • 25. 6. PROTEGE EL ACCESO A WP-ADMIN ➤ Solución SiteGround: El auto-instalador WordPress en SiteGround permite por defecto instalar el plugin Limit Login Attempts, para frenar los ataques de fuerza bruta a la pantalla de acceso. #desayunoSiteGround
  • 26. 6. PROTEGE EL ACCESO A WP-ADMIN ➤ Solución SiteGround: El auto-instalador WordPress en SiteGround permite por defecto instalar el plugin Limit Login Attempts, para frenar los ataques de fuerza bruta a la pantalla de acceso. #desayunoSiteGround
  • 27. 6. PROTEGE EL ACCESO A WP-ADMIN ➤ Solución SiteGround: El auto-instalador WordPress en SiteGround permite por defecto instalar el plugin Limit Login Attempts, para frenar los ataques de fuerza bruta a la pantalla de acceso. #desayunoSiteGround
  • 28. 6. PROTEGE EL ACCESO A WP-ADMIN ➤ Solución SiteGround: El auto-instalador WordPress en SiteGround permite por defecto instalar un sustituto de usuario/contraseña por una solución de acceso móvil. ➤ NOTA: Los plugins preinstalados por SiteGround se pueden inactivar y borrar como cualquier otro de WordPress #desayunoSiteGround
  • 29. 7. USA UN CAPTCHA ➤ Añade un CAPTCHA en las pantallas de acceso y registro para frenar los ataques de fuerza bruta (80% según estadísticas de SiteGround) ➤ PLUGIN RECOMENDADO: No CAPTCHA reCAPTCHA #desayunoSiteGround
  • 30. 8. UTILIZA SIEMPRE SFTP ➤ Las conexiones FTP no son seguras y debe usarse siempre que sea posible SFTP #desayunoSiteGround
  • 31. 8. UTILIZA SIEMPRE SFTP ➤ Solución SiteGround: Servicio incluido SSH para crear el par de claves #desayunoSiteGround
  • 32. 8. UTILIZA SIEMPRE SFTP ➤ Solución SiteGround: Servicio incluido SSH para crear el par de claves #desayunoSiteGround
  • 33. 8. UTILIZA SIEMPRE SFTP ➤ Solución SiteGround: Servicio incluido SSH para crear el par de claves #desayunoSiteGround
  • 34. 8. UTILIZA SIEMPRE SFTP ➤ Solución SiteGround: Servicio incluido SSH para crear el par de claves #desayunoSiteGround
  • 35. 8. UTILIZA SIEMPRE SFTP ➤ Solución SiteGround: Servicio incluido SSH para crear el par de claves #desayunoSiteGround
  • 36. 9. PROTEGER CARPETAS CON CONTRASEÑA ➤ Podemos proteger carpetas mediante contraseña creando un fichero .htpasswd generado y añadiendo la protección al fichero .htaccess AuthType basic AuthName "Este directorio está protegido" AuthUserFile /home/ruta/.htpasswd AuthGroupFile /dev/null Require valid-user #desayunoSiteGround
  • 37. 9. PROTEGER CARPETAS CON CONTRASEÑA ➤ Solución SiteGround: Solución incluida en cPanel de protección sencilla de carpetas mediante contraseña en pocos clics. #desayunoSiteGround
  • 38. 10. ANULA LA VULNERABILIDAD XML-RPC ➤ WordPress arrastra una vulnerabilidad a través del protocolo XML-RPC que puede permitir inyecciones de código. Se puede desactivar el protocolo en wp-config.php ➤ … y desde .htaccess add_filter('xmlrpc_enabled', '__return_false'); <Files xmlrpc.php> Order Deny,Allow Deny from all </Files> #desayunoSiteGround
  • 39. 10. ANULA LA VULNERABILIDAD XML-RPC ➤ Solución SiteGround: A través del WAF (Web Application Firewall) integrado aplica reglas mod_security por defecto para evitarlo. #desayunoSiteGround
  • 40. 11. SI NO LO USAS BÓRRALO ➤ En WordPress es común instalar muchos plugins y temas para probarlos, pero tenerlos instalados aunque no estén activos es fuente de posibles ataques que aprovechen vulnerabilidades no solucionadas. Si no lo usas bórralo ➤ TRUCO: WordPress instala 3 temas por defecto, borra los que no uses salvo uno, que se activará en caso de problemas con el tema activo #desayunoSiteGround
  • 41. 12. ACTUALIZA, ACTUALIZA, ACTUALIZA ➤ Mantén actualizado WordPress, plugins y temas a la última versión desde el actualizado automático integrado. ➤ TRUCO: WordPress actualiza en segundo plano las versiones menores pero puedes activar también el resto desde wp-config.php #desayunoSiteGround
  • 42. 11. ACTUALIZA, ACTUALIZA, ACTUALIZA ➤ TRUCO: Activar actualizaciones mayores y de desarrollo en segundo plano desde wp-config.php ➤ TRUCO: Activar actualizaciones en segundo plano de plugins mediante filtros ➤ TRUCO: Activar actualizaciones en segundo plano de temas mediante filtros define( 'WP_AUTO_UPDATE_CORE', true ); add_filter( 'auto_update_plugin', '__return_true' ); add_filter( 'auto_update_theme', '__return_true' ); #desayunoSiteGround
  • 43. 11. ACTUALIZA, ACTUALIZA, ACTUALIZA ➤ Solución SiteGround: Herramienta WP Auto Update para activar actualizaciones completas en segundo plano, también de plugins (Nota: SiteGround hace backup justo antes de actualizar) #desayunoSiteGround
  • 44. 11. ACTUALIZA, ACTUALIZA, ACTUALIZA ➤ Solución SiteGround: Herramienta WP Auto Update para activar actualizaciones completas en segundo plano, también de plugins (Nota: SiteGround hace backup justo antes de actualizar) #desayunoSiteGround
  • 45. 12. BACKUPS ➤ Da igual las medidas que apliquemos, siempre deberíamos tener una copia de seguridad de respaldo en caso de desastre ➤ TRUCO: Usa plugins de tareas de backup como backWPup #desayunoSiteGround
  • 46. 12. BACKUPS ➤ Solución SiteGround: Guarda 30 copias de seguridad diarias que puedes restaurar en cualquier momento #desayunoSiteGround
  • 47. 13. VERSIONES PHP ➤ Solución SiteGround: Herramienta para elegir y cambiar para cada instalación de WordPress la versión de PHP ➤ NOTA: Usa siempre la última versión estable y segura compatible con tus aplicaciones #desayunoSiteGround
  • 48. 14. WAF INTEGRADO ➤ Solución SiteGround: Además de reglas mod_security por defecto, incluye CloudFlare gratuito en cada cuenta el cual contiene ajustes de seguridad incluidos: ✓ 5 niveles de seguridad desde offline a “me están atacando” ✓ Ofuscación de emails ✓ Siempre online #desayunoSiteGround
  • 49. 14. WAF INTEGRADO ➤ Solución SiteGround: Además de reglas mod_security por defecto, incluye CloudFlare gratuito en cada cuenta el cual contiene ajustes de seguridad incluidos: ✓ 5 niveles de seguridad desde offline a “me están atacando” ✓ Ofuscación de emails ✓ Siempre online #desayunoSiteGround
  • 50. 15. MOD_SECURITY ➤ Soluciones SiteGround ➡ Cuando se detecta cualquier vulnerabilidad se aplican nuevas reglas de escritura en mod_security sin esperar a que los desarrolladores emitan un parche que la soluciones. ➡ Búsqueda activa y permanente de patrones de hackeo y aplicación de nuevas reglas para mod_security cuando se detecta alguno. ➡ Si un desarrollador decide usar mod_security para escribir sus propias reglas deben mantenerse actualizadas. #desayunoSiteGround
  • 51. 16. SOFTWARE DE SERVIDOR ACTUALIZADO ➤ Solución SiteGround: Siempre se instalan y ejecutan versiones estables y seguras de Apache y PHP, configuradas con la estabilidad y la seguridad como objetivo. ➤ NOTA: Los symlinks incorrectos pueden generar exploits #desayunoSiteGround
  • 52. 17. ACCESO RESTRINGIDO A SSH ➤ Solución SiteGround: Los planes de hosting de SiteGround no permiten accesos root a SSH. El acceso shell SSH está restringido a tu cuenta de usuario para evitar accesos remotos potencialmente peligrosos. #desayunoSiteGround
  • 53. 18. PROTECCIÓN CONTRA MALWARE ➤ Solución SiteGround: En los servidores de SiteGround se utiliza el servicio de detección de Sucuri para identificar las infecciones del malware en su primera etapa, antes de que se activen los exploits #desayunoSiteGround
  • 54. 19. MONITORIZACIÓN DE SERVIDORES ➤ Soluciones SiteGround: ➡ Para protección ante ataques DDOS SiteGround utiliza herramientas especiales de protección de hardware en sus servidores, revisiones periódicas de IPs y, en caso de detección, se detienen los ataques. ➡ Para protección ante ataques de fuerza bruta SiteGround utiliza un potente sistema de prevención de intrusiones denominado 1H Hawk, que identifica si alguien está tratando de realizar un ataque de este tipo sobre cualquiera de tus contraseñas (FTP, email, etc.) y desactiva el acceso de las IPs atacantes en tiempo real. #desayunoSiteGround
  • 55. 19. MONITORIZACIÓN DE SERVIDORES ➤ Solución SiteGround: Desde tu panel de SiteGround tienes la herramienta gratuita de denegación de IPs para denegar acceso a cualquier IP atacante o sospechosa #desayunoSiteGround
  • 56. 20. AISLAMIENTO DE CUENTAS Y PROCESOS ➤ Solución SiteGround: Si gestionas múltiples sitios, propios o de clientes, puedes aislar los sitios utilizando procesos chroot ya que SiteGround usa aislamiento chroot. SiteGround también puede aislar aplicaciones web completas de otras. #desayunoSiteGround