Professional Documents
Culture Documents
Fuente: http://izquotes.com/quote/268149
Cmo de seguro es WP? (mayo
'16)
Fuente: https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=wordpress
Cmo de seguro es WP? (nov '16)
Fuente: https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=wordpress
Cmo de seguro es WP? (mayo
'16)
Fuente: http://www.cvedetails.com/product/4096/Wordpress-Wordpress.html?vendor_id=2337
Cmo de seguro es WP? (nov '16)
Fuente: http://www.cvedetails.com/product/4096/Wordpress-Wordpress.html?vendor_id=2337
Cmo de seguro puede ser WP?
Fuente: http://www.azquotes.com/quote/936355
Fuente:
https://blog.sucuri.net/2016/10/accounting-for-
defense-in-depth-in-website-security.html
Cmo de seguro puede ser WP?
Defensa en profundidad
Fuente: http://www.gestionconsult.es/blog/como-proteger-tu-privacidad-en-internet-iii-seguridad-perimetral/
Cmo de seguro puede ser WP?
Fuente: http://esolia.pro/en/security-and-convenience/
Contenidos
Cmo de seguro es WordPress?
Seguridad de la base de datos de WordPress.
Seguridad de las cuentas de usuario de WordPress.
Plugins de seguridad que nos pueden ayudar.
Las copias de seguridad, esas grandes desconocidas.
Seguridad del servidor web y del sistema operativo
del servidor.
Actualizaciones, actualizaciones, actualizaciones.
Como estar al da.
Una opcin a valorar: externalizacin de la gestin de
la seguidad.
Cuentas de MySQL y las tablas de
WP
No usar el usuario root de MySQL.
No usar: admin, Admin, administrator, Administrator,
administrador, Administrador o similares.
Utilizar contraseas difciles de adivinar
(https://xkcd.com/936/).
No asignar al usuario ms privilegios de los
necesarios, y slo en la base de datos de WordPress.
Si tienes mltiples sitios WordPress, usa un usuario
de MySQL diferente para cada uno de ellos.
Cuentas de MySQL y las tablas de
WP
No uses el prefijo wp_ para las tablas:
Contenidos
Cmo de seguro es WordPress?
Seguridad de la base de datos de WordPress.
Seguridad de las cuentas de usuario de WordPress.
Plugins de seguridad que nos pueden ayudar.
Las copias de seguridad, esas grandes desconocidas.
Seguridad del servidor web y del sistema operativo
del servidor.
Actualizaciones, actualizaciones, actualizaciones.
Como estar al da.
Una opcin a valorar: externalizacin de la gestin de
la seguidad.
Seguridad de las cuentas de
usuarios
No usar: admin, Admin, administrator,
Administrator, administrador, Administrador o
similares para el usuario (super)administrador.
Utilizar contraseas difciles de adivinar.
Los gestores de contraseas son tus amigos:
LastPass, 1Password, KeePass, KeePassX, etc.
Cmbiarlas regularmente! (y desde luego,
despus de cualquier problema de seguridad).
Seguridad de las cuentas de
usuarios
Limita el acceso al directorio /wp-admin
Se puede hacer por:
direcciones IP de origen
solicitando usuario y contrasea
o ambas cosas!
Se suele hacer en la configuracin del servidor
web (cPanel, fichero .htaccess, etc.)
Seguridad de las cuentas de
usuarios
Extra: Utilizar autenticacin de dos pasos o de
doble factor (2FA, o 2 Factor Authentication).
Algunos plugins existentes de 2FA para WP:
Google Authenticator - Two Factor Authentication:
https://wordpress.org/plugins/miniorange-2-
factor-authentication/
Clef Two-Factor Authentication:
https://wordpress.org/plugins/wpclef/
Shield WordPress Security:
https://wordpress.org/plugins/wp-simple-
firewall/
Seguridad de las cuentas de
usuarios
Ejemplo: Google Authenticator - Two Factor
Authentication (1/2)
Seguridad de las cuentas de
usuarios
Google Authenticator - Two Factor
Authentication (2/2)
Contenidos
Cmo de seguro es WordPress?
Seguridad de la base de datos de WordPress.
Seguridad de las cuentas de usuario de WordPress.
Plugins de seguridad que nos pueden ayudar.
Las copias de seguridad, esas grandes desconocidas.
Seguridad del servidor web y del sistema operativo
del servidor.
Actualizaciones, actualizaciones, actualizaciones.
Como estar al da.
Una opcin a valorar: externalizacin de la gestin de
la seguidad.
Plugins de seguridad que nos pueden
ayudar.
Limit Login Attempts: https://wordpress.org/plugins/wp-limit-
login-attempts/
iThemes Security (antes Better WP Security):
https://wordpress.org/plugins/better-wp-security/
Wordfence Security:
https://wordpress.org/plugins/wordfence/
Sucuri Security: https://wordpress.org/plugins/sucuri-
scanner/
NinjaFirewall WAF:
https://wordpress.org/plugins/ninjafirewall/
Excepto el primero, todos ofrecen funcionalidades muy
similares.
Contenidos
Cmo de seguro es WordPress?
Seguridad de la base de datos de WordPress.
Seguridad de las cuentas de usuario de WordPress.
Plugins de seguridad que nos pueden ayudar.
Las copias de seguridad, esas grandes desconocidas.
Seguridad del servidor web y del sistema operativo
del servidor.
Actualizaciones, actualizaciones, actualizaciones.
Como estar al da.
Una opcin a valorar: externalizacin de la gestin de
la seguidad.
Las copias de seguridad, esas grandes
desconocidas.
Copias de todo lo necesario: cdigo WP, base
de datos, ficheros de WP, servidor web,
sistema operativo, etc.
Automatiza!
Hacerlas es slo la mitad del camino.
Una copia de seguridad que no se puede (o no
se sabe) restaurar, no sirve para nada.
Restaura tus copias peridicamente!
Las copias de seguridad, esas grandes
desconocidas.
Algunos plugins de copias de seguridad:
VaultPress
BackupBuddy
BackWPup Free
BackUpWordPress
UpdraftPlus
Duplicator
WP-DB-Backup
WordPress Backup to Dropbox
Las copias de seguridad, esas grandes
desconocidas.
Cul es el mejor? Como siempre, depende de
a quien preguntemos:
https://www.designbombs.com/best-backup-
plugins-wordpress/
https://themetrust.com/wordpress-backup-
plugins/
http://www.wpbeginner.com/plugins/7-best-
wordpress-backup-plugins-compared-pros-and-
cons/
Las copias de seguridad, esas grandes
desconocidas.
Ejemplo: WordPress Backup to Dropbox
Las copias de seguridad, esas grandes
desconocidas.
Ejemplo: WordPress Backup to Dropbox
Las copias de seguridad, esas grandes
desconocidas.
Ejemplo: WordPress Backup to Dropbox
Las copias de seguridad, esas grandes
desconocidas.
Ejemplo: WordPress Backup to Dropbox
Las copias de seguridad, esas grandes
desconocidas.
Ejemplo: WordPress Backup to Dropbox
Las copias de seguridad, esas grandes
desconocidas.
Ejemplo: WordPress Backup to Dropbox
Las copias de seguridad, esas grandes
desconocidas.
Ejemplo: WordPress Backup to Dropbox
Contenidos
Cmo de seguro es WordPress?
Seguridad de la base de datos de WordPress.
Seguridad de las cuentas de usuario de WordPress.
Plugins de seguridad que nos pueden ayudar.
Las copias de seguridad, esas grandes desconocidas.
Seguridad del servidor web y del sistema operativo
del servidor.
Actualizaciones, actualizaciones, actualizaciones.
Como estar al da.
Una opcin a valorar: externalizacin de la gestin de
la seguidad.
Seguridad del servidor web y del sistema
operativo del servidor.
Configuracin adecuada (usuario con privilegios
mnimos, permisos adecuados en carpetas, etc.)
Aprovechar las opciones de seguridad de los ficheros
.htacces (o equivalentes en tu servidor web).
Protege tus ficheros .htaccess!
Usar Web Application Firewall (WAF): ModSecurity
(www.modsecurity.org)
Usar un cortafuegos que trabaje con ModSecurity.
Plugins como NginxCp sobre Cpanel, si usas Nginx em
vez de Apache: www.nginxcp.com
Como editar los ficheros .htaccess en Cpanel
Fuente: http://portal.hostingdepago.com/knowledgebase/34/Como-editar-el-htaccess-desde-cpanel.html
Modsecurity