wordcamp taller seguridad wordpress

Taller de Seguridad bsica en WordPress
#WCSevilla16 @OWASP_Sevilla

# WHOAMI
Ramn Salado
@ramon_salado
Juan Jos Domenech
@juanjodomenech

# OWASP
Organizacin sin nimo de lucro a nivel mundial, dedicada a mejorar la seguridad de las aplicaciones web
Cualquiera puede participar en OWASP, todos sus proyectos y documentacin estn disponibles gratuitamente

# OWASP SEVILLA
Organizamos un evento mensual abierto a todo el que quiera participar
Proyectos: Divulgacin sobre Seguridad y Traduccin GUA DE TESTING 4

# OWASP, PRINCIPALES PROYECTOS
https://www.owasp.org/index.php/File:Reverse_Engineering_Arsenals.pnghttp://www.securitydistro.com/https://www.owasp.org/images/4/4a/Banner_OWASP_Training_page.gif

# SEGURIDAD
Equipos seguros
Comunicaciones Seguras (wifi, vpn, )
Contraseas robustas (doble factor, cambios peridicos, )
Precauciones BYOD y teletrabajo
Es WordPress inseguro?
Qu lo hace inseguro?

# SEGURIDAD WordPress
INFRAESTRUCTURA DE RED
CONFIGURACIN SERVIDOR
INSTALACIN WORDPRESS
HARDENING WORDPRESS

Infraestructura de red Compartido? VPS? Dedicado? Con o sin soporte?
Cifrado de discos
SSH y SFTP siempre!
Backups
ltimas versiones! (Apache/NGINX, PHP, MySQL, ...)
Logs y analizadores de trfico

Configuracin del Servidor Utilizar directivas Allow y Deny para restringir accesos al servidor
Deshabilitar listado de directorios y mdulos innecesarios
Permisos de los directorios mnimos
WAF: Mod_Security
Fortificar PHP y MySQL
HTTP 1.1 / 2.0 y HTTPS
$ sudo apt-get install libapache2-mod-security
$ sudo a2enmod mod-security
$ sudo /etc/init.d/apache2 force-reload

Instalacin de WordPress No utilizar usuario admin
Fortificar contrasea
No utilizar prefijos de tablas wp_
Cuidado con robots.txt, readme.html
Personaliza todo!
Permisos
No abusar de plugins

Hardening WordPress Core, themes y plugins actualizados
Roles adecuados para cada uso
Cambiar id del usuario 1
Alias distinto del nombre de usuario
Ocultar wp-admin, wp-login, ...
Control de comentarios
No utilizar plugins de dudosa procedencia #WCSevilla16 @OWASP_Sevilla

Hardening WordPress, con Plugins

Hardening WordPress Configuracin default muy completa
Incluye varios niveles preconfigurados
Verifica core, themes y plugins con WordPress
Cortafuegos para bloquear amenazas
Limita intentos de login y uso de blacklist
Visin en tiempo real de todo el trfico

Hardening WordPress WAF por plugin
Gran motor de filtrado
Proteccin XSS, SQLi,
Protege API XML-RPC

Hardening WordPress Security Check
Cambiar la ruta de /wp-admin
Verifica los permisos de las carpetas
WordPress Tweaks

Hardening WordPress Escaneo en busca de malware en nuestra web
Reforzar la seguridad de tu sitio Web
CloudProxy ($)

Hardening WordPress Doble factor de autenticacin
Bloquear acceso para inactividad
Alertas de intentos de acceso

Hardening WordPress Posibilidad de automatizar backups
Archivos + Base de Datos
Aloja en servicios externos (drive, dropbox, )
Archivos zip con password

Hardening WordPress, Otros
https://www.google.es/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwiTtO_z2KzPAhWHiRoKHeSMAm4QjRwIBw&url=https://es.wordpress.org/plugins/wangguard/&psig=AFQjCNFpnNdaSN1L_sApcfzBSnR5_V7cbQ&ust=1474967670699208

# AUDITANDO WordPress Wpscan. Instalacin
Listar vulnerabilidades y enumeracin de usuarios
Ataque fuerza bruta
Algunos ejemplos de la Guia Testing (ghdb, robots, xss, )

#MALWARE
eval, base64, ...

Taller de Seguridad bsica en WordPress
GRACIAS

wordcamp taller seguridad wordpress

Internet

SEO Case Studies - WordCamp Irun 2018 En WordPress 571 Nuevas webs 204.000.000 Correos electrأ³nicos

Checklist Antidesastres WordPress - WordCamp Bilbao 2016 #WCBilbao

WordCamp Cantabria - Codigo mantenible con WordPress

Joomla y WordPress: juntos y revueltos - WordCamp Sevilla 2012

Taller Wordpress Nivel II

15.04 - C³mo alcanzar el ©xito. A/B Testing para WordPress (WordCamp Barcelona)

Taller de Iniciaci³n a WordPress

Taller personaliza tu Wordpress 1a Sesi³n

Taller de Wordpress

WordPress - 2020.spain. 5/8/2020 آ Mr.FoxTalbot أپlvaro Gأ³mez Velasco @mrfoxtalbot WordCamp Madrid

Evita construir un producto intil, suma UX a tu WordPress - WORDCAMP LIMA 2016

Sesi³n 1. Taller Wordpress CAMON Madrid

C³mo involucrarte (ms) con WordPress - WordCamp Bilbao 2016

WordPress Granollers ... Prأ³ximas meetups 06 de Mayo WordCamp Spain 2020 19 de Mayo Elige el mejor

Taller Para Aprender a Crear Themes Wordpress Desde Cero

WordCamp Santander 2016 : eCommerce y WordPress

Taller Basico sobre WordPress, Twitter y Facebook

15.04 - C³mo alcanzar el ©xito. ABTesting para WordPress (WordCamp Barcelona)

Taller bsico aprende wordpress con branzel 1era parte - U. Llima 12.09.14

10 consejos para mejorar la WPO en WordPress - Ponencia Wordcamp Alicante 2017