SlideShare uma empresa Scribd logo

WordCamp Taller Seguridad WordPress

R
Ramón Salado Lucena

WordCamp Taller Seguridad WordPress 30/09/2016 por @ramon_salado y @juanjodomenech

Internet
1 de 23
Baixar para ler offline
Taller de Seguridad básica en WordPress #WCSevilla16 @OWASP_Sevilla
# WHOAMI Ramón Salado @ramon_salado Juan José Domenech @juanjodomenech #WCSevilla16 @OWASP_Sevilla
# OWASP Organización sin ánimo de lucro a nivel mundial, dedicada a mejorar la seguridad de las aplicaciones web Cualquiera puede participar en OWASP, todos sus proyectos y documentación están disponibles gratuitamente #WCSevilla16 @OWASP_Sevilla
# OWASP SEVILLA Organizamos un evento mensual abierto a todo el que quiera participar Proyectos: Divulgación sobre Seguridad y Traducción GUÍA DE TESTING 4 #WCSevilla16 @OWASP_Sevilla
# OWASP, PRINCIPALES PROYECTOS #WCSevilla16 @OWASP_Sevilla
# SEGURIDAD #WCSevilla16 @OWASP_Sevilla Equipos seguros Comunicaciones Seguras (wifi, vpn, …) Contraseñas robustas (doble factor, cambios periódicos, …) Precauciones BYOD y teletrabajo ¿Es WordPress inseguro? ¿Qué lo hace inseguro?
# SEGURIDAD WordPress INFRAESTRUCTURA DE RED CONFIGURACIÓN SERVIDOR INSTALACIÓN WORDPRESS HARDENING WORDPRESS #WCSevilla16 @OWASP_Sevilla
# SEGURIDAD WordPress Infraestructura de red ¿Compartido? ¿VPS? ¿Dedicado? ¿Con o sin soporte? Cifrado de discos ¡SSH y SFTP siempre! Backups ¡Últimas versiones! (Apache/NGINX, PHP, MySQL, ...) Logs y analizadores de tráfico #WCSevilla16 @OWASP_Sevilla
# SEGURIDAD WordPress Configuración del Servidor Utilizar directivas Allow y Deny para restringir accesos al servidor Deshabilitar listado de directorios y módulos innecesarios Permisos de los directorios “mínimos” WAF: Mod_Security Fortificar PHP y MySQL HTTP 1.1 / 2.0 y HTTPS #WCSevilla16 @OWASP_Sevilla $ sudo apt-get install libapache2-mod-security $ sudo a2enmod mod-security $ sudo /etc/init.d/apache2 force-reload
# SEGURIDAD WordPress Instalación de WordPress No utilizar usuario “admin” Fortificar contraseña No utilizar prefijos de tablas “wp_” Cuidado con robots.txt, readme.html ¡Personaliza todo! Permisos No abusar de plugins #WCSevilla16 @OWASP_Sevilla
# SEGURIDAD WordPress Hardening WordPress Core, themes y plugins actualizados Roles adecuados para cada uso Cambiar id del usuario 1 Alias distinto del nombre de usuario Ocultar wp-admin, wp-login, ... Control de comentarios No utilizar plugins de “dudosa procedencia” #WCSevilla16 @OWASP_Sevilla
# SEGURIDAD WordPress Hardening WordPress, con Plugins #WCSevilla16 @OWASP_Sevilla
# SEGURIDAD WordPress Hardening WordPress, con Plugins #WCSevilla16 @OWASP_Sevilla
# SEGURIDAD WordPress Hardening WordPress Configuración ‘default’ muy completa Incluye varios niveles preconfigurados Verifica core, themes y plugins con WordPress Cortafuegos para bloquear amenazas Limita intentos de login y uso de blacklist Visión en tiempo real de todo el tráfico #WCSevilla16 @OWASP_Sevilla
# SEGURIDAD WordPress Hardening WordPress WAF por plugin Gran motor de filtrado Protección XSS, SQLi, … Protege API XML-RPC #WCSevilla16 @OWASP_Sevilla
# SEGURIDAD WordPress Hardening WordPress Security Check Cambiar la ruta de /wp-admin Verifica los permisos de las carpetas WordPress Tweaks #WCSevilla16 @OWASP_Sevilla
# SEGURIDAD WordPress Hardening WordPress Escaneo en busca de malware en nuestra web Reforzar la seguridad de tu sitio Web CloudProxy ($)
# SEGURIDAD WordPress Hardening WordPress Doble factor de autenticación Bloquear acceso para inactividad Alertas de intentos de acceso #WCSevilla16 @OWASP_Sevilla
# SEGURIDAD WordPress Hardening WordPress Posibilidad de automatizar backups Archivos + Base de Datos Aloja en servicios externos (drive, dropbox, …) Archivos zip con password #WCSevilla16 @OWASP_Sevilla
# SEGURIDAD WordPress Hardening WordPress, Otros #WCSevilla16 @OWASP_Sevilla
# AUDITANDO WordPress Wpscan. Instalación Listar vulnerabilidades y enumeración de usuarios Ataque fuerza bruta Algunos ejemplos de la Guia Testing (ghdb, robots, xss, …) #WCSevilla16 @OWASP_Sevilla
#MALWARE #WCSevilla16 @OWASP_Sevilla eval, base64, ...
Taller de Seguridad básica en WordPress #WCSevilla16 @OWASP_Sevilla GRACIAS

Recomendados

Top 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaTop 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaRamón Salado Lucena
 
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPressOwasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPressRamón Salado Lucena
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressJuan José Domenech
 
Aplicar la seguridad en WordPress desde la selección de un hosting
Aplicar la seguridad en WordPress desde la selección de un hosting Aplicar la seguridad en WordPress desde la selección de un hosting
Aplicar la seguridad en WordPress desde la selección de un hosting José Conti Calveras
 
AnonimaTOR
AnonimaTORAnonimaTOR
AnonimaTORRamón Salado Lucena
 
Proyecto WordPressA - QuantiKa14
Proyecto WordPressA - QuantiKa14Proyecto WordPressA - QuantiKa14
Proyecto WordPressA - QuantiKa14QuantiKa14
 
WordPressA Security Plugin [HighSecCon III]
WordPressA Security Plugin [HighSecCon III]WordPressA Security Plugin [HighSecCon III]
WordPressA Security Plugin [HighSecCon III]QuantiKa14
 
WordCamp Sevilla 2016 - Creación de un plugin con subida a WordPress.org
WordCamp Sevilla 2016 - Creación de un plugin con subida a WordPress.orgWordCamp Sevilla 2016 - Creación de un plugin con subida a WordPress.org
WordCamp Sevilla 2016 - Creación de un plugin con subida a WordPress.orgRaúl Martínez
 

Recomendados

Top 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaTop 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaRamón Salado Lucena
 
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPressOwasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPressRamón Salado Lucena
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressJuan José Domenech
 
Aplicar la seguridad en WordPress desde la selección de un hosting
Aplicar la seguridad en WordPress desde la selección de un hosting Aplicar la seguridad en WordPress desde la selección de un hosting
Aplicar la seguridad en WordPress desde la selección de un hosting José Conti Calveras
 
AnonimaTOR
AnonimaTORAnonimaTOR
AnonimaTORRamón Salado Lucena
 
Proyecto WordPressA - QuantiKa14
Proyecto WordPressA - QuantiKa14Proyecto WordPressA - QuantiKa14
Proyecto WordPressA - QuantiKa14QuantiKa14
 
WordPressA Security Plugin [HighSecCon III]
WordPressA Security Plugin [HighSecCon III]WordPressA Security Plugin [HighSecCon III]
WordPressA Security Plugin [HighSecCon III]QuantiKa14
 
WordCamp Sevilla 2016 - Creación de un plugin con subida a WordPress.org
WordCamp Sevilla 2016 - Creación de un plugin con subida a WordPress.orgWordCamp Sevilla 2016 - Creación de un plugin con subida a WordPress.org
WordCamp Sevilla 2016 - Creación de un plugin con subida a WordPress.orgRaúl Martínez
 
Wordpressa - Hardening en Wordpress
Wordpressa - Hardening en WordpressWordpressa - Hardening en Wordpress
Wordpressa - Hardening en WordpressQuantiKa14
 
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebWebinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebSucuri
 
Owsap y web security
Owsap y web securityOwsap y web security
Owsap y web securityLuis Toscano
 
Informe amenazas a las bases de datos
Informe amenazas a las bases de datosInforme amenazas a las bases de datos
Informe amenazas a las bases de datosDanielFernandoRodrig4
 
WordCamp Barcelona 2016 - Plugins para TinyMCE
WordCamp Barcelona 2016 - Plugins para TinyMCEWordCamp Barcelona 2016 - Plugins para TinyMCE
WordCamp Barcelona 2016 - Plugins para TinyMCERaúl Martínez
 
Reventando WordPress
Reventando WordPressReventando WordPress
Reventando WordPressToni Escamilla Pardo
 
Uso del troyano cybergate
Uso del troyano cybergateUso del troyano cybergate
Uso del troyano cybergateTensor
 
Tutorial WI-FI
Tutorial WI-FITutorial WI-FI
Tutorial WI-FIAlexsander Arbieto
 
Seguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasSeguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasLucy Tomas
 
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013zekivazquez
 
Joomla*****BACKUP
Joomla*****BACKUPJoomla*****BACKUP
Joomla*****BACKUPKAROLAY LOPEZ YLASACA
 
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)RaGaZoMe
 
Hackear WordPress: Cómo evitarlo
Hackear WordPress: Cómo evitarloHackear WordPress: Cómo evitarlo
Hackear WordPress: Cómo evitarloDesarrollo de Medios y Sistemas - DMSTI
 
Netscape
NetscapeNetscape
NetscapeDrakkon133
 
PET Night - Seguridad en la pagina
PET Night - Seguridad en la paginaPET Night - Seguridad en la pagina
PET Night - Seguridad en la paginaTania Silva
 
Mozilla firefox vs internet
Mozilla firefox vs internetMozilla firefox vs internet
Mozilla firefox vs internetXime Villalba
 
Blinda tu WordPress y evitate disgustos
Blinda tu WordPress y evitate disgustosBlinda tu WordPress y evitate disgustos
Blinda tu WordPress y evitate disgustosCarlos Perez de Mendiola
 
El uso correcto de MySQLi
El uso correcto de MySQLi El uso correcto de MySQLi
El uso correcto de MySQLi Arsys
 
Aspectos sobre Java y seguridad
Aspectos sobre Java y seguridadAspectos sobre Java y seguridad
Aspectos sobre Java y seguridadFabiola López
 
Paul Romero
Paul RomeroPaul Romero
Paul RomeroPaulRomero37
 
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRISSeguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRISInternet Security Auditors
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Securinf.com Seguridad Informatica - Tecnoweb2.com
 

Mais conteúdo relacionado

Mais procurados

Wordpressa - Hardening en Wordpress
Wordpressa - Hardening en WordpressWordpressa - Hardening en Wordpress
Wordpressa - Hardening en WordpressQuantiKa14
 
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebWebinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebSucuri
 
Owsap y web security
Owsap y web securityOwsap y web security
Owsap y web securityLuis Toscano
 
Informe amenazas a las bases de datos
Informe amenazas a las bases de datosInforme amenazas a las bases de datos
Informe amenazas a las bases de datosDanielFernandoRodrig4
 
WordCamp Barcelona 2016 - Plugins para TinyMCE
WordCamp Barcelona 2016 - Plugins para TinyMCEWordCamp Barcelona 2016 - Plugins para TinyMCE
WordCamp Barcelona 2016 - Plugins para TinyMCERaúl Martínez
 
Uso del troyano cybergate
Uso del troyano cybergateUso del troyano cybergate
Uso del troyano cybergateTensor
 
Seguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasSeguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasLucy Tomas
 
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013zekivazquez
 
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)RaGaZoMe
 
PET Night - Seguridad en la pagina
PET Night - Seguridad en la paginaPET Night - Seguridad en la pagina
PET Night - Seguridad en la paginaTania Silva
 
Mozilla firefox vs internet
Mozilla firefox vs internetMozilla firefox vs internet
Mozilla firefox vs internetXime Villalba
 
El uso correcto de MySQLi
El uso correcto de MySQLi El uso correcto de MySQLi
El uso correcto de MySQLi Arsys
 
Aspectos sobre Java y seguridad
Aspectos sobre Java y seguridadAspectos sobre Java y seguridad
Aspectos sobre Java y seguridadFabiola López
 

Mais procurados (20)

Wordpressa - Hardening en Wordpress
Wordpressa - Hardening en WordpressWordpressa - Hardening en Wordpress
Wordpressa - Hardening en Wordpress
 
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebWebinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
 
Owsap y web security
Owsap y web securityOwsap y web security
Owsap y web security
 
Informe amenazas a las bases de datos
Informe amenazas a las bases de datosInforme amenazas a las bases de datos
Informe amenazas a las bases de datos
 
WordCamp Barcelona 2016 - Plugins para TinyMCE
WordCamp Barcelona 2016 - Plugins para TinyMCEWordCamp Barcelona 2016 - Plugins para TinyMCE
WordCamp Barcelona 2016 - Plugins para TinyMCE
 
Reventando WordPress
Reventando WordPressReventando WordPress
Reventando WordPress
 
Uso del troyano cybergate
Uso del troyano cybergateUso del troyano cybergate
Uso del troyano cybergate
 
Tutorial WI-FI
Tutorial WI-FITutorial WI-FI
Tutorial WI-FI
 
Seguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasSeguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticas
 
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
 
Joomla*****BACKUP
Joomla*****BACKUPJoomla*****BACKUP
Joomla*****BACKUP
 
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
 
Hackear WordPress: Cómo evitarlo
Hackear WordPress: Cómo evitarloHackear WordPress: Cómo evitarlo
Hackear WordPress: Cómo evitarlo
 
Netscape
NetscapeNetscape
Netscape
 
PET Night - Seguridad en la pagina
PET Night - Seguridad en la paginaPET Night - Seguridad en la pagina
PET Night - Seguridad en la pagina
 
Mozilla firefox vs internet
Mozilla firefox vs internetMozilla firefox vs internet
Mozilla firefox vs internet
 
Blinda tu WordPress y evitate disgustos
Blinda tu WordPress y evitate disgustosBlinda tu WordPress y evitate disgustos
Blinda tu WordPress y evitate disgustos
 
El uso correcto de MySQLi
El uso correcto de MySQLi El uso correcto de MySQLi
El uso correcto de MySQLi
 
Aspectos sobre Java y seguridad
Aspectos sobre Java y seguridadAspectos sobre Java y seguridad
Aspectos sobre Java y seguridad
 
Paul Romero
Paul RomeroPaul Romero
Paul Romero
 

Semelhante a WordCamp Taller Seguridad WordPress

Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRISSeguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRISInternet Security Auditors
 
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Alonso Caballero
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASPzekivazquez
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendicesTensor
 
Betabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPBetabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPzekivazquez
 
Webinar Gratuito: Vulnerabilidades en CMS Web
Webinar Gratuito: Vulnerabilidades en CMS WebWebinar Gratuito: Vulnerabilidades en CMS Web
Webinar Gratuito: Vulnerabilidades en CMS WebAlonso Caballero
 
Open Web Application Security Project OWASP
Open Web Application Security Project OWASPOpen Web Application Security Project OWASP
Open Web Application Security Project OWASPEdwardZarate2
 
Webinar Gratuito "Explotación CMSs Web"
Webinar Gratuito "Explotación CMSs Web"Webinar Gratuito "Explotación CMSs Web"
Webinar Gratuito "Explotación CMSs Web"Alonso Caballero
 
Hacking & Hardening Drupal
Hacking & Hardening DrupalHacking & Hardening Drupal
Hacking & Hardening Drupalzekivazquez
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Tensor
 
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESSWHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESSESET España
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Jose Gratereaux
 
Guía para mejorar la seguridad en WordPress
Guía para mejorar la seguridad en WordPressGuía para mejorar la seguridad en WordPress
Guía para mejorar la seguridad en WordPresswebempresa.com
 
Inyecciones SQL para Aprendices
Inyecciones SQL para AprendicesInyecciones SQL para Aprendices
Inyecciones SQL para AprendicesTensor
 
Seguridad de las aplicaciones web con Spring Security 3.x
Seguridad de las aplicaciones web con Spring Security 3.xSeguridad de las aplicaciones web con Spring Security 3.x
Seguridad de las aplicaciones web con Spring Security 3.xFernando Redondo Ramírez
 
In seguridad de aplicaciones web
In seguridad de aplicaciones webIn seguridad de aplicaciones web
In seguridad de aplicaciones webSaul Mamani
 
Webinar Gratuito: "JavaScript para Hacking Web"
Webinar Gratuito: "JavaScript para Hacking Web"Webinar Gratuito: "JavaScript para Hacking Web"
Webinar Gratuito: "JavaScript para Hacking Web"Alonso Caballero
 
Hack like a pro with custom VPS - Najava Negra 2019
Hack like a pro with custom VPS - Najava Negra 2019Hack like a pro with custom VPS - Najava Negra 2019
Hack like a pro with custom VPS - Najava Negra 2019Alejandro Quesada
 

Semelhante a WordCamp Taller Seguridad WordPress (20)

Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRISSeguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015
 
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASP
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendices
 
Betabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPBetabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASP
 
Webinar Gratuito: Vulnerabilidades en CMS Web
Webinar Gratuito: Vulnerabilidades en CMS WebWebinar Gratuito: Vulnerabilidades en CMS Web
Webinar Gratuito: Vulnerabilidades en CMS Web
 
Open Web Application Security Project OWASP
Open Web Application Security Project OWASPOpen Web Application Security Project OWASP
Open Web Application Security Project OWASP
 
Webinar Gratuito "Explotación CMSs Web"
Webinar Gratuito "Explotación CMSs Web"Webinar Gratuito "Explotación CMSs Web"
Webinar Gratuito "Explotación CMSs Web"
 
Hacking & Hardening Drupal
Hacking & Hardening DrupalHacking & Hardening Drupal
Hacking & Hardening Drupal
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1
 
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESSWHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5
 
Guía para mejorar la seguridad en WordPress
Guía para mejorar la seguridad en WordPressGuía para mejorar la seguridad en WordPress
Guía para mejorar la seguridad en WordPress
 
Inyecciones SQL para Aprendices
Inyecciones SQL para AprendicesInyecciones SQL para Aprendices
Inyecciones SQL para Aprendices
 
Seguridad de las aplicaciones web con Spring Security 3.x
Seguridad de las aplicaciones web con Spring Security 3.xSeguridad de las aplicaciones web con Spring Security 3.x
Seguridad de las aplicaciones web con Spring Security 3.x
 
In seguridad de aplicaciones web
In seguridad de aplicaciones webIn seguridad de aplicaciones web
In seguridad de aplicaciones web
 
Webinar Gratuito: "JavaScript para Hacking Web"
Webinar Gratuito: "JavaScript para Hacking Web"Webinar Gratuito: "JavaScript para Hacking Web"
Webinar Gratuito: "JavaScript para Hacking Web"
 
Hack like a pro with custom VPS - Najava Negra 2019
Hack like a pro with custom VPS - Najava Negra 2019Hack like a pro with custom VPS - Najava Negra 2019
Hack like a pro with custom VPS - Najava Negra 2019
 

Último

PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjjPPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjjNachisRamos
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdfedwinmelgarschlink2
 
Unidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucionesUnidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucioneschorantina325
 
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdfTIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdfLUZMARIAAYALALOPEZ
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdflauradbernals
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digitalNayaniJulietaRamosRa
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señorkkte210207
 

Último (7)

PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjjPPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf
 
Unidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucionesUnidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disoluciones
 
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdfTIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdf
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digital
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
 

WordCamp Taller Seguridad WordPress

  • 1. Taller de Seguridad básica en WordPress #WCSevilla16 @OWASP_Sevilla
  • 2. # WHOAMI Ramón Salado @ramon_salado Juan José Domenech @juanjodomenech #WCSevilla16 @OWASP_Sevilla
  • 3. # OWASP Organización sin ánimo de lucro a nivel mundial, dedicada a mejorar la seguridad de las aplicaciones web Cualquiera puede participar en OWASP, todos sus proyectos y documentación están disponibles gratuitamente #WCSevilla16 @OWASP_Sevilla
  • 4. # OWASP SEVILLA Organizamos un evento mensual abierto a todo el que quiera participar Proyectos: Divulgación sobre Seguridad y Traducción GUÍA DE TESTING 4 #WCSevilla16 @OWASP_Sevilla
  • 5. # OWASP, PRINCIPALES PROYECTOS #WCSevilla16 @OWASP_Sevilla
  • 6. # SEGURIDAD #WCSevilla16 @OWASP_Sevilla Equipos seguros Comunicaciones Seguras (wifi, vpn, …) Contraseñas robustas (doble factor, cambios periódicos, …) Precauciones BYOD y teletrabajo ¿Es WordPress inseguro? ¿Qué lo hace inseguro?
  • 7. # SEGURIDAD WordPress INFRAESTRUCTURA DE RED CONFIGURACIÓN SERVIDOR INSTALACIÓN WORDPRESS HARDENING WORDPRESS #WCSevilla16 @OWASP_Sevilla
  • 8. # SEGURIDAD WordPress Infraestructura de red ¿Compartido? ¿VPS? ¿Dedicado? ¿Con o sin soporte? Cifrado de discos ¡SSH y SFTP siempre! Backups ¡Últimas versiones! (Apache/NGINX, PHP, MySQL, ...) Logs y analizadores de tráfico #WCSevilla16 @OWASP_Sevilla
  • 9. # SEGURIDAD WordPress Configuración del Servidor Utilizar directivas Allow y Deny para restringir accesos al servidor Deshabilitar listado de directorios y módulos innecesarios Permisos de los directorios “mínimos” WAF: Mod_Security Fortificar PHP y MySQL HTTP 1.1 / 2.0 y HTTPS #WCSevilla16 @OWASP_Sevilla $ sudo apt-get install libapache2-mod-security $ sudo a2enmod mod-security $ sudo /etc/init.d/apache2 force-reload
  • 10. # SEGURIDAD WordPress Instalación de WordPress No utilizar usuario “admin” Fortificar contraseña No utilizar prefijos de tablas “wp_” Cuidado con robots.txt, readme.html ¡Personaliza todo! Permisos No abusar de plugins #WCSevilla16 @OWASP_Sevilla
  • 11. # SEGURIDAD WordPress Hardening WordPress Core, themes y plugins actualizados Roles adecuados para cada uso Cambiar id del usuario 1 Alias distinto del nombre de usuario Ocultar wp-admin, wp-login, ... Control de comentarios No utilizar plugins de “dudosa procedencia” #WCSevilla16 @OWASP_Sevilla
  • 12. # SEGURIDAD WordPress Hardening WordPress, con Plugins #WCSevilla16 @OWASP_Sevilla
  • 13. # SEGURIDAD WordPress Hardening WordPress, con Plugins #WCSevilla16 @OWASP_Sevilla
  • 14. # SEGURIDAD WordPress Hardening WordPress Configuración ‘default’ muy completa Incluye varios niveles preconfigurados Verifica core, themes y plugins con WordPress Cortafuegos para bloquear amenazas Limita intentos de login y uso de blacklist Visión en tiempo real de todo el tráfico #WCSevilla16 @OWASP_Sevilla
  • 15. # SEGURIDAD WordPress Hardening WordPress WAF por plugin Gran motor de filtrado Protección XSS, SQLi, … Protege API XML-RPC #WCSevilla16 @OWASP_Sevilla
  • 16. # SEGURIDAD WordPress Hardening WordPress Security Check Cambiar la ruta de /wp-admin Verifica los permisos de las carpetas WordPress Tweaks #WCSevilla16 @OWASP_Sevilla
  • 17. # SEGURIDAD WordPress Hardening WordPress Escaneo en busca de malware en nuestra web Reforzar la seguridad de tu sitio Web CloudProxy ($)
  • 18. # SEGURIDAD WordPress Hardening WordPress Doble factor de autenticación Bloquear acceso para inactividad Alertas de intentos de acceso #WCSevilla16 @OWASP_Sevilla
  • 19. # SEGURIDAD WordPress Hardening WordPress Posibilidad de automatizar backups Archivos + Base de Datos Aloja en servicios externos (drive, dropbox, …) Archivos zip con password #WCSevilla16 @OWASP_Sevilla
  • 20. # SEGURIDAD WordPress Hardening WordPress, Otros #WCSevilla16 @OWASP_Sevilla
  • 21. # AUDITANDO WordPress Wpscan. Instalación Listar vulnerabilidades y enumeración de usuarios Ataque fuerza bruta Algunos ejemplos de la Guia Testing (ghdb, robots, xss, …) #WCSevilla16 @OWASP_Sevilla
  • 23. Taller de Seguridad básica en WordPress #WCSevilla16 @OWASP_Sevilla GRACIAS