Seguridad Básica y Hacking Ético

Esta tarde he tenido la oportunidad de dar una charla en el grupo de meetup de WordPress Madrid junto con Eric Zeidan sobre Seguridad Básica en WordPress y Hacking Ético.

En esta ocasión agradecemos a SiteGround que nos haya acogido en sus oficinas, donde hemos disfrutado y (espero) aprendido algo más sobre la importancia de la seguridad en cualquier instalación de WordPress.

Hemos empezado charlando sobre la seguridad en internet en general y en WordPress en particular, viendo estudios sobre cuales son los focos de los ataques sobre el CMS más utilizado del mercado:

focos ataques seguridad

Como muestra esta infografía un 41% de ataques son relativos al hosting, un 29% por vulnerabilidades en temas, un 22% en plugins y un 8% por el uso de contraseñas débiles.

Bajo la máxima de No des pistas a un atacante malintencionado hemos visto:

  • El usuario de la base de datos sólo debe tener permisos para esa base de datos
  • Cambia el prefijo de la base de datos
  • Establece Keys y Salts de Seguridad para fortalecer tus cookies
  • Usa nombres de usuario y contraseñas seguras. Hay estudios que indican que suelen usarse con frecuencia contraseñas débiles. Puedes medir cómo es de segura tu contraseña con herramientas como esta
  • Lo primero de todo es programar un sistema de Back Up. Será tu colchón de seguridad si el día de mañana atacan tu sitio
  • “Esconde” el Author, ya que de lo contrario estaremos dando el 50% de la información a un posible atacante
  • Usa https, hoy en día hay certificados gratuitos como Let’s Encrypt.
  • Protege el acceso a wp-admin y wp-login.php mediante .htaccess y .htpasswd
  • Permisos de archivos (644) y carpetas (755)
  • Añade cabeceras de seguridad
  • Desactiva el editor de archivos de WordPress
  • Mantén siempre WordPress, Plugins y Temas actualizados

 

pablo lopez

La charla continuó con Eric hablándonos sobre el Hacking ético y los conceptos Hacker y Cracker. Hacking ético es una forma de referirse al acto de una persona usar sus conocimientos de informática y seguridad para realizar pruebas en redes y encontrar vulnerabilidades, para luego reportarlas y que se tomen medidas, sin hacer daño.

Continuó enseñándonos cómo con una herramienta como WP Scan podemos intentar obtener información sensible y entrar en una instalación de WordPress desprotegida.

Puedes descargarte la charla aquí.

Si te ha gustado, valora este artículo para mejorar la calidad del blog o compártelo en Redes Sociales…
1 Star2 Stars3 Stars4 Stars5 Stars (2 votos, valoración 5,00 sobre 5) Loading...

Web Hosting