SlideShare una empresa de Scribd logo

Owasp 6 Seguridad en WordPress

R
Ramón Salado Lucena

El documento proporciona una guía sobre seguridad en WordPress, cubriendo temas como alojamiento seguro, instalación, hardening del servidor y WordPress con plugins, copias de seguridad, y auditoría. Recomienda mantener WordPress, themes y plugins actualizados, usar contraseñas robustas, ocultar información de versiones, y realizar copias de seguridad periódicas para proteger el sitio WordPress.

Internet
1 de 28
Descargado 14 veces
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
SEGURIDAD WORDPRESS BY OWASP #OWASPsevilla6@OWASP_Sevilla
#whoami Administración General del Estado Docente Master Social Media Universidad de Sevilla CoLeader OWASP Sevilla CiberCooperante de INCIBE 10 años de experiencia en Sistemas y Seguridad 5 años en Desarrollo y Seguridad en WordPress Ramón Salado @ramon_salado #OWASPsevilla6@OWASP_Sevilla
#OWASPsevilla6@OWASP_Sevilla
SEGURIDAD WORDPRESS BY OWASP • INTRODUCCIÓN A LA SEGURIDAD • ALOJAMIENTO • INSTALACIÓN Y PRIMEROS PASOS • SEGURIDAD DE DIRECTORIOS Y ARCHIVOS • HARDENING SERVIDOR • HARDENING CON PLUGINS • COPIAS DE SEGURIDAD • AUDITORÍA #OWASPsevilla6@OWASP_Sevilla
INTRODUCCIÓN • EQUIPOS SEGUROS • COMUNICACIONES SEGURAS (wifi, vpn, …) • CONTRASEÑAS ROBUSTAS (distintas, doble factor, cambios periódicos, …) • VERIFICAR PERMISOS DE APPS y API´S • BYOD Y TELETRABAJO • ¿ES WP INSEGURO? • ¿QUÉ LO HACE INSEGURO? #OWASPsevilla6@OWASP_Sevilla
ALOJAMIENTO • REPUTACIÓN DEL PROVEEDOR • TIPO DE ALOJAMIENTO (windows o linux, compartido, vps, …) • ESPACIO Y TRANSFERENCIA • SOPORTE • ELEMENTOS TÉCNICOS (cpanel, phpmyadmin, …) • SEGURIDAD #OWASPsevilla6@OWASP_Sevilla
INSTALACIÓN Y PRIMEROS PASOS • CORE, THEMES Y PLUGINS ACTUALIZADOS • NO USER “ADMIN” • UTILIZAR ALIAS DE USUARIO • CONTRASEÑAS FORTIFICADAS • ROLES ADECUADOS • PREFIJOS WP EN BB.DD • WP-ADMIN OCULTO • VERSIONES README • CONTROL DE COMENTARIOS • DESACTIVAR EDICIÓN EN BACK-END • EVITAR COMPLEMENTOS DE “DUDOSA PROCEDENCIA” #OWASPsevilla6@OWASP_Sevilla
ACTUALIZACIONES Un WordPress actualizado con plugins y themes actualizados protege nuestra web de posibles ataque por vulnerabilidades del code o de los complementos utilizados. INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
NO DEFAULT -Reducir exposición: Limitar el uso de perfiles con altos privilegios sólo a la propia administración del sitio. (Si sólo quieres publicar una entrada, puedes hacerlo con un usuario básico, no es necesario hacerlo desde ADMINISTRADOR) -Claves robustas y cambio periódico de éstas. (Panel de control, FTP, BD) -No instalar plugins ni themes “piratas”. TODOS incluyen malware y a la larga pueden causarte un gran perjuicio. -No abusar de plugins. Hacen más lenta la carga de la web y también más insegura. INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
NO DEFAULT Prefijos wp_ Usuario INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
NO DEFAULT id user =1 -> /?author=1 Utilización de Alias INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
VERSIÓN README Evitamos ofrecer información, dificultando cualquier ataque. INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
COMENTARIOS La moderación de comentarios reduce mucho el riesgo de sufrir inyecciones de código a través de los comentarios. INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
SEGURIDAD DE DIRECTORIOS Y ARCHIVOS ● RESTRICCIÓN DE ACCESO .htaccess (allow y deny) ● ACCESO A FICHEROS CON sFTP, VPN O TÚNELES SSH ● REVISAR PERMISOS DE CARPETAS Y FICHEROS ● INDEX.PHP VACÍO EN DIRECTORIOS CLAVE #OWASPsevilla6@OWASP_Sevilla #limitar el acceso por IP Order allow, deny Allow from XXX.XXX.XXX.XXX Deny from all
HARDENING SERVIDOR #OWASPsevilla6@OWASP_Sevilla ● APACHE, PHP Y MYSQL ACTUALIZADOS ● DESACTIVAR MÓDULOS INNECESARIOS ● OCULTAR VERSIONES ● WAF (mod_security) ● SSL
HARDENING SERVIDOR #OWASPsevilla6@OWASP_Sevilla
HARDENING WORDPRESS #OWASPsevilla6@OWASP_Sevilla
Es necesario que protejamos de ataques de fuerza bruta el acceso al panel de control, podemos hacerlo configurando las reglas del firewall que incluye Wordfence. Además nos ofrece un log, donde podemos ver todos los sucesos relativos a seguridad de nuestra web y alarmas. WORDFENCE • Configuración ‘default’ muy completa • Incluye varios niveles preconfigurados • Verifica core, themes y plugins con WP • Cortafuegos para bloquear amenazas • Limita intentos de login y uso de blacklist • Visión en tiempo real de todo el tráfico HARDENING CON PLUGINS #OWASPsevilla6@OWASP_Sevilla
ITHEMES SECURITY • Security Check • Cambiar la ruta de /wp-admin • Verifica los permisos de las carpetas • WordPress Tweaks HARDENING CON PLUGINS #OWASPsevilla6@OWASP_Sevilla
• Nos permite deshabilitar las cuentas en periodos de inactividad. • Sistema de doble factor de autenticación • Sistema español diseñado por Eleven Paths LATCH HARDENING CON PLUGINS #OWASPsevilla6@OWASP_Sevilla
SPLOGGERS: usuarios que se registran en blogs con el fin de publicar publicidad en estos #OWASPsevilla6@OWASP_Sevilla HARDENING CON PLUGINS
CloudFlare Prevención DOS / DDOS #OWASPsevilla6@OWASP_Sevilla HARDENING CON PLUGINS
SSL factor de posicionamiento en Google #OWASPsevilla6@OWASP_Sevilla HARDENING CON PLUGINS
COPIAS DE SEGURIDAD Plugins de Backups Es una parte esencial, nos permite programarlos y almacenarlos en la nube o en otro alojamiento. Si ocurre cualquier problema, basta con restaurar una copia anterior. Permite cifrado y automatización. #OWASPsevilla6@OWASP_Sevilla
CONTROL DE INDEXACIÓN DEL CONTENIDO # PoC http://localhost/wp-admin/admin-ajax.php?action=revolution-slider_show_image&img=../wp-config.php # DORK "Index of" /wp-content/plugins/revolution-slider/ Plugin Slider Revolution v < 4.1.4 @OWASP_Sevilla AUDITORÍA #OWASPsevilla6
wpscan, nikto, … #OWASPsevilla6@OWASP_Sevilla AUDITORÍA
WordPress Scanner, Nipper, … #OWASPsevilla6@OWASP_Sevilla AUDITORÍA
Análisis de Malware Wordpress https://sitecheck.sucuri.net/ #OWASPsevilla6@OWASP_Sevilla AUDITORÍA

Más contenido relacionado

PDF
Assaulting diameter IPX network
Alexandre De Oliveira
 
PPTX
Intro to OAuth2 and OpenID Connect
LiamWadman
 
PPTX
OpenID Connect for W3C Verifiable Credential Objects
Torsten Lodderstedt
 
PDF
REST API Authentication Methods.pdf
Rubersy Ramos García
 
PDF
OVS-NFV Tutorial
Open Networking Perú (Opennetsoft)
 
PPTX
Social Semantic Web on Facebook Open Graph protocol and Twitter Annotations
Myungjin Lee
 
PPTX
Sangoma SS7 Gateway Training
Empatiq İletişim Teknolojileri AŞ.
 
PDF
Kona Site Defender Product Brief - Multi-layered defense to protect websites ...
Akamai Technologies
 
Assaulting diameter IPX network
Alexandre De Oliveira
 
Intro to OAuth2 and OpenID Connect
LiamWadman
 
OpenID Connect for W3C Verifiable Credential Objects
Torsten Lodderstedt
 
REST API Authentication Methods.pdf
Rubersy Ramos García
 
OVS-NFV Tutorial
Open Networking Perú (Opennetsoft)
 
Social Semantic Web on Facebook Open Graph protocol and Twitter Annotations
Myungjin Lee
 
Sangoma SS7 Gateway Training
Empatiq İletişim Teknolojileri AŞ.
 
Kona Site Defender Product Brief - Multi-layered defense to protect websites ...
Akamai Technologies
 

La actualidad más candente (20)

PDF
SSH - Secure Shell
Peter R. Egli
 
PPTX
Hack and Slash: Secure Coding
Prathan Phongthiproek
 
PDF
OpenVPN as a WAN - pfSense Hangout October 2016
Netgate
 
PDF
정보시스템 하드웨어 규모산정 지침(2023.12)-한국정보통신기술협회 지침
sam Cyberspace
 
PDF
Primera capacitación en sdn para el proyecto Bella-T
Open Networking Perú (Opennetsoft)
 
ODP
OAuth2 - Introduction
Knoldus Inc.
 
PDF
FIDO UAF Specifications: Overview & Tutorial
FIDO Alliance
 
PDF
Windows-Server-2022-Courseware.pdf......
mahmoudeid911
 
PDF
Facebook & Twitter API
Fabrice Delhoste
 
PDF
Tutorial: IPv6-only transition with demo
APNIC
 
PPTX
What is active directory
Adeel Khurram
 
PPTX
OWASP
gehad hamdy
 
PPT
ip-basics.ppt
GioSanBuenaventura1
 
PPT
network essential ppt
Vikas Tiwari
 
PDF
Secure Coding for Java
Sébastien GIORIA
 
PPT
Implementing 802.1x Authentication
dkaya
 
PDF
Visio Diagram of a user SSO Flow
Mike Reams
 
PDF
초보자를 위한 네트워크/VLAN 기초
Open Source Consulting
 
PDF
HTTP Request Smuggling via higher HTTP versions
neexemil
 
PPTX
Connecting LoRa with FIWARE
fisuda
 
SSH - Secure Shell
Peter R. Egli
 
Hack and Slash: Secure Coding
Prathan Phongthiproek
 
OpenVPN as a WAN - pfSense Hangout October 2016
Netgate
 
정보시스템 하드웨어 규모산정 지침(2023.12)-한국정보통신기술협회 지침
sam Cyberspace
 
Primera capacitación en sdn para el proyecto Bella-T
Open Networking Perú (Opennetsoft)
 
OAuth2 - Introduction
Knoldus Inc.
 
FIDO UAF Specifications: Overview & Tutorial
FIDO Alliance
 
Windows-Server-2022-Courseware.pdf......
mahmoudeid911
 
Facebook & Twitter API
Fabrice Delhoste
 
Tutorial: IPv6-only transition with demo
APNIC
 
What is active directory
Adeel Khurram
 
OWASP
gehad hamdy
 
ip-basics.ppt
GioSanBuenaventura1
 
network essential ppt
Vikas Tiwari
 
Secure Coding for Java
Sébastien GIORIA
 
Implementing 802.1x Authentication
dkaya
 
Visio Diagram of a user SSO Flow
Mike Reams
 
초보자를 위한 네트워크/VLAN 기초
Open Source Consulting
 
HTTP Request Smuggling via higher HTTP versions
neexemil
 
Connecting LoRa with FIWARE
fisuda
 
Publicidad

Destacado (20)

PDF
Top 10 IoT OWASP, Hack&Beers Sevilla
Ramón Salado Lucena
 
PDF
AnonimaTOR
Ramón Salado Lucena
 
PDF
WordCamp Taller Seguridad WordPress
Ramón Salado Lucena
 
PDF
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
Internet Security Auditors
 
PDF
Plaquette3quarks
Asma BEN FREDJ
 
PPTX
Pptexamen
Chloe Gosselin
 
PDF
InformeFinal
Anastasia Belikow
 
ODP
Evolucion de la web
alex milan
 
PPT
M07 einsatz von pp einf pt2004
matschu
 
PPTX
Taller SEO - Analytics
Carlos Chacon
 
PPTX
Get narrative 2 - oral presentation
Despreaux Leonard
 
PDF
Le monde 20150702
Laura Feliu Martinez
 
PPTX
Synthese sur HTML
youtisha
 
PPTX
Perception de compétences technologiques de futurs enseignants en début de fo...
Prof_UQAM_TIC
 
PPTX
En toutes lettres - Exemple invitation
en-toutes-lettres
 
PPT
Presentation christian matthys Diocèses et Internet
ACPcef
 
ODP
La chandeleur
bibliofranciscoaguiar
 
PPTX
Guide de mise en place pour le web-to-store
PtiteRapporteuZ
 
PDF
150515 - FFBB Infos 047
ComiteBasketCalvados
 
PPT
Europa tour 2015
Bakka Karim
 
Top 10 IoT OWASP, Hack&Beers Sevilla
Ramón Salado Lucena
 
AnonimaTOR
Ramón Salado Lucena
 
WordCamp Taller Seguridad WordPress
Ramón Salado Lucena
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
Internet Security Auditors
 
Plaquette3quarks
Asma BEN FREDJ
 
Pptexamen
Chloe Gosselin
 
InformeFinal
Anastasia Belikow
 
Evolucion de la web
alex milan
 
M07 einsatz von pp einf pt2004
matschu
 
Taller SEO - Analytics
Carlos Chacon
 
Get narrative 2 - oral presentation
Despreaux Leonard
 
Le monde 20150702
Laura Feliu Martinez
 
Synthese sur HTML
youtisha
 
Perception de compétences technologiques de futurs enseignants en début de fo...
Prof_UQAM_TIC
 
En toutes lettres - Exemple invitation
en-toutes-lettres
 
Presentation christian matthys Diocèses et Internet
ACPcef
 
La chandeleur
bibliofranciscoaguiar
 
Guide de mise en place pour le web-to-store
PtiteRapporteuZ
 
150515 - FFBB Infos 047
ComiteBasketCalvados
 
Europa tour 2015
Bakka Karim
 
Publicidad

Similar a Owasp 6 Seguridad en WordPress (20)

PDF
WordCamp Taller Seguridad WordPress
Juan José Domenech
 
PDF
Bypassing waf advanced
limahack
 
PDF
Webinar - Seguridad en WordPress
Arsys
 
PDF
Web App Security, Ethical hacking for CodeCamp SDQ 5
Jose Gratereaux
 
PDF
10 Claves para mejorar la seguridad de tu WP
Iñaki Arenaza
 
PDF
Completo conferencia seguridad_web_software_libre_2015
Securinf.com Seguridad Informatica - Tecnoweb2.com
 
PDF
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS
ESET España
 
PDF
Implementación básica VMWare Data Protection 6
RaGaZoMe
 
DOC
Proyecto 6
Jose Luis Ruiz Perez
 
PDF
Proyecto WordPressA - QuantiKa14
QuantiKa14
 
PPTX
Pfsense: securizando tu infraestructura
Alex Casanova
 
PDF
Seguridad en WordPress, fundamentos y mejores prácticas
Lucy Tomas
 
DOCX
Manejo de software de seguridad en el equipo de computo!
nayeliirivera
 
DOCX
Manejo de software de seguridad en el equipo de computo!
gisell_diciembre
 
DOCX
Tarea del blog
nhallhely_rivera_180889
 
PDF
Presentación Web application firewall
Miguel Angel López Moyano
 
PDF
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Raúl Requero García
 
PDF
Consejos de seguridad con Alfresco
Toni de la Fuente
 
PPTX
Inyecciones sql para aprendices
Tensor
 
PDF
Wordpress como framework - DarioBF en WordCamp Barcelona
Darío BF
 
WordCamp Taller Seguridad WordPress
Juan José Domenech
 
Bypassing waf advanced
limahack
 
Webinar - Seguridad en WordPress
Arsys
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Jose Gratereaux
 
10 Claves para mejorar la seguridad de tu WP
Iñaki Arenaza
 
Completo conferencia seguridad_web_software_libre_2015
Securinf.com Seguridad Informatica - Tecnoweb2.com
 
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS
ESET España
 
Implementación básica VMWare Data Protection 6
RaGaZoMe
 
Proyecto 6
Jose Luis Ruiz Perez
 
Proyecto WordPressA - QuantiKa14
QuantiKa14
 
Pfsense: securizando tu infraestructura
Alex Casanova
 
Seguridad en WordPress, fundamentos y mejores prácticas
Lucy Tomas
 
Manejo de software de seguridad en el equipo de computo!
nayeliirivera
 
Manejo de software de seguridad en el equipo de computo!
gisell_diciembre
 
Tarea del blog
nhallhely_rivera_180889
 
Presentación Web application firewall
Miguel Angel López Moyano
 
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Raúl Requero García
 
Consejos de seguridad con Alfresco
Toni de la Fuente
 
Inyecciones sql para aprendices
Tensor
 
Wordpress como framework - DarioBF en WordCamp Barcelona
Darío BF
 

Último (14)

PPTX
PRESENTACION NIA 220 idhsahdjhJKSDHJKSHDJSHDJKHDJHSAJDHJKSAHDJkhjskdhasjdhasj...
GerardoRodriguez579394
 
PPTX
presentacion_energias_renovables_renovable_.pptx
k8y8pwmjpw
 
PPTX
FUNCIONES DE CLASSROOM EN EL FUNCIONAMIENTO ESCOLAR
san312208
 
PDF
Frases de Fidel Castro. Compilación Norelys Morales Aguilera
Norelys Morales Aguilera
 
PPTX
Evolución de la computadora ACTUALMENTE.pptx
CrisaldiNina
 
PPTX
Guia de power bi de cero a avanzado detallado
efpunivo62
 
PDF
Herramientaa de google google keep, maps.pdf
albinpalma13
 
PDF
LA INTELIGENCIA ARTIFICAL SU HISTORIA Y EL FUTURO
emiliosandovalparral
 
PPTX
Qué es Google Classroom Insertar SlideShare U 6.pptx
FloriselDelaFuente
 
PPT
laser seguridad a la salud humana de piel y vision en laser clase 4
RielAiv
 
PDF
CAPACITACIÓN MIPIG - MODELO INTEGRADO DE PLANEACIÓN Y GESTIÓN
CLAUDIAPATRICIASALAZ19
 
PPTX
Plantilla-Hardware-Informático-oficce.pptx
qdt06026
 
PDF
[Ebook gratuito] Introducción a la IA Generativa, Instalación y Configuración...
designfm2025
 
PPTX
Presentación de un estudio de empresa pp
BenYamin70
 
PRESENTACION NIA 220 idhsahdjhJKSDHJKSHDJSHDJKHDJHSAJDHJKSAHDJkhjskdhasjdhasj...
GerardoRodriguez579394
 
presentacion_energias_renovables_renovable_.pptx
k8y8pwmjpw
 
FUNCIONES DE CLASSROOM EN EL FUNCIONAMIENTO ESCOLAR
san312208
 
Frases de Fidel Castro. Compilación Norelys Morales Aguilera
Norelys Morales Aguilera
 
Evolución de la computadora ACTUALMENTE.pptx
CrisaldiNina
 
Guia de power bi de cero a avanzado detallado
efpunivo62
 
Herramientaa de google google keep, maps.pdf
albinpalma13
 
LA INTELIGENCIA ARTIFICAL SU HISTORIA Y EL FUTURO
emiliosandovalparral
 
Qué es Google Classroom Insertar SlideShare U 6.pptx
FloriselDelaFuente
 
laser seguridad a la salud humana de piel y vision en laser clase 4
RielAiv
 
CAPACITACIÓN MIPIG - MODELO INTEGRADO DE PLANEACIÓN Y GESTIÓN
CLAUDIAPATRICIASALAZ19
 
Plantilla-Hardware-Informático-oficce.pptx
qdt06026
 
[Ebook gratuito] Introducción a la IA Generativa, Instalación y Configuración...
designfm2025
 
Presentación de un estudio de empresa pp
BenYamin70
 

Owasp 6 Seguridad en WordPress

  • 1. SEGURIDAD WORDPRESS BY OWASP #OWASPsevilla6@OWASP_Sevilla
  • 2. #whoami Administración General del Estado Docente Master Social Media Universidad de Sevilla CoLeader OWASP Sevilla CiberCooperante de INCIBE 10 años de experiencia en Sistemas y Seguridad 5 años en Desarrollo y Seguridad en WordPress Ramón Salado @ramon_salado #OWASPsevilla6@OWASP_Sevilla
  • 4. SEGURIDAD WORDPRESS BY OWASP • INTRODUCCIÓN A LA SEGURIDAD • ALOJAMIENTO • INSTALACIÓN Y PRIMEROS PASOS • SEGURIDAD DE DIRECTORIOS Y ARCHIVOS • HARDENING SERVIDOR • HARDENING CON PLUGINS • COPIAS DE SEGURIDAD • AUDITORÍA #OWASPsevilla6@OWASP_Sevilla
  • 5. INTRODUCCIÓN • EQUIPOS SEGUROS • COMUNICACIONES SEGURAS (wifi, vpn, …) • CONTRASEÑAS ROBUSTAS (distintas, doble factor, cambios periódicos, …) • VERIFICAR PERMISOS DE APPS y API´S • BYOD Y TELETRABAJO • ¿ES WP INSEGURO? • ¿QUÉ LO HACE INSEGURO? #OWASPsevilla6@OWASP_Sevilla
  • 6. ALOJAMIENTO • REPUTACIÓN DEL PROVEEDOR • TIPO DE ALOJAMIENTO (windows o linux, compartido, vps, …) • ESPACIO Y TRANSFERENCIA • SOPORTE • ELEMENTOS TÉCNICOS (cpanel, phpmyadmin, …) • SEGURIDAD #OWASPsevilla6@OWASP_Sevilla
  • 7. INSTALACIÓN Y PRIMEROS PASOS • CORE, THEMES Y PLUGINS ACTUALIZADOS • NO USER “ADMIN” • UTILIZAR ALIAS DE USUARIO • CONTRASEÑAS FORTIFICADAS • ROLES ADECUADOS • PREFIJOS WP EN BB.DD • WP-ADMIN OCULTO • VERSIONES README • CONTROL DE COMENTARIOS • DESACTIVAR EDICIÓN EN BACK-END • EVITAR COMPLEMENTOS DE “DUDOSA PROCEDENCIA” #OWASPsevilla6@OWASP_Sevilla
  • 8. ACTUALIZACIONES Un WordPress actualizado con plugins y themes actualizados protege nuestra web de posibles ataque por vulnerabilidades del code o de los complementos utilizados. INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
  • 9. NO DEFAULT -Reducir exposición: Limitar el uso de perfiles con altos privilegios sólo a la propia administración del sitio. (Si sólo quieres publicar una entrada, puedes hacerlo con un usuario básico, no es necesario hacerlo desde ADMINISTRADOR) -Claves robustas y cambio periódico de éstas. (Panel de control, FTP, BD) -No instalar plugins ni themes “piratas”. TODOS incluyen malware y a la larga pueden causarte un gran perjuicio. -No abusar de plugins. Hacen más lenta la carga de la web y también más insegura. INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
  • 10. NO DEFAULT Prefijos wp_ Usuario INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
  • 11. NO DEFAULT id user =1 -> /?author=1 Utilización de Alias INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
  • 12. VERSIÓN README Evitamos ofrecer información, dificultando cualquier ataque. INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
  • 13. COMENTARIOS La moderación de comentarios reduce mucho el riesgo de sufrir inyecciones de código a través de los comentarios. INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
  • 14. SEGURIDAD DE DIRECTORIOS Y ARCHIVOS ● RESTRICCIÓN DE ACCESO .htaccess (allow y deny) ● ACCESO A FICHEROS CON sFTP, VPN O TÚNELES SSH ● REVISAR PERMISOS DE CARPETAS Y FICHEROS ● INDEX.PHP VACÍO EN DIRECTORIOS CLAVE #OWASPsevilla6@OWASP_Sevilla #limitar el acceso por IP Order allow, deny Allow from XXX.XXX.XXX.XXX Deny from all
  • 15. HARDENING SERVIDOR #OWASPsevilla6@OWASP_Sevilla ● APACHE, PHP Y MYSQL ACTUALIZADOS ● DESACTIVAR MÓDULOS INNECESARIOS ● OCULTAR VERSIONES ● WAF (mod_security) ● SSL
  • 18. Es necesario que protejamos de ataques de fuerza bruta el acceso al panel de control, podemos hacerlo configurando las reglas del firewall que incluye Wordfence. Además nos ofrece un log, donde podemos ver todos los sucesos relativos a seguridad de nuestra web y alarmas. WORDFENCE • Configuración ‘default’ muy completa • Incluye varios niveles preconfigurados • Verifica core, themes y plugins con WP • Cortafuegos para bloquear amenazas • Limita intentos de login y uso de blacklist • Visión en tiempo real de todo el tráfico HARDENING CON PLUGINS #OWASPsevilla6@OWASP_Sevilla
  • 19. ITHEMES SECURITY • Security Check • Cambiar la ruta de /wp-admin • Verifica los permisos de las carpetas • WordPress Tweaks HARDENING CON PLUGINS #OWASPsevilla6@OWASP_Sevilla
  • 20. • Nos permite deshabilitar las cuentas en periodos de inactividad. • Sistema de doble factor de autenticación • Sistema español diseñado por Eleven Paths LATCH HARDENING CON PLUGINS #OWASPsevilla6@OWASP_Sevilla
  • 21. SPLOGGERS: usuarios que se registran en blogs con el fin de publicar publicidad en estos #OWASPsevilla6@OWASP_Sevilla HARDENING CON PLUGINS
  • 22. CloudFlare Prevención DOS / DDOS #OWASPsevilla6@OWASP_Sevilla HARDENING CON PLUGINS
  • 23. SSL factor de posicionamiento en Google #OWASPsevilla6@OWASP_Sevilla HARDENING CON PLUGINS
  • 24. COPIAS DE SEGURIDAD Plugins de Backups Es una parte esencial, nos permite programarlos y almacenarlos en la nube o en otro alojamiento. Si ocurre cualquier problema, basta con restaurar una copia anterior. Permite cifrado y automatización. #OWASPsevilla6@OWASP_Sevilla
  • 25. CONTROL DE INDEXACIÓN DEL CONTENIDO # PoC http://localhost/wp-admin/admin-ajax.php?action=revolution-slider_show_image&img=../wp-config.php # DORK "Index of" /wp-content/plugins/revolution-slider/ Plugin Slider Revolution v < 4.1.4 @OWASP_Sevilla AUDITORÍA #OWASPsevilla6
  • 27. WordPress Scanner, Nipper, … #OWASPsevilla6@OWASP_Sevilla AUDITORÍA
  • 28. Análisis de Malware Wordpress https://sitecheck.sucuri.net/ #OWASPsevilla6@OWASP_Sevilla AUDITORÍA