En esta meetup online, nos acompaña David Pérez y Fernando Castillo. Abordaremos un asunto importante en todas nuestras instalaciones WordPress. En esta meetup. Abordamos las siguientes patas. 1º WordPress es seguro de forma general, 2º Seguridad en el Hosting, 3º Seguridad en las Contraseñas, 4º Evita Bruteforce en tu instalación WordPress, 5º Versiones de Core y Plugins y por últimos abordaremos unos consejos en el caso que nos hayan hackeado la web ¿Qué hacer?
Notas de la Charla
1º WordPress es seguro de forma general
- Estadística vulnerabilidades Core En este primer acercamiento a la seguridad en WordPress hablaremos de PROS y CONTRAS de WordPress, que le respalda y que puntos en contra tiene
- Wpscan y wpvulndb Fernando nos presentará dos herramientas súper efectivas a la hora de escanear nuestros sitios web, en busca de vulnerabilidades
- Sentido común. Lectura imprescindible para una introducción a conceptos básicos de seguridad, de manera oficial Codex de WordPress ( esta en la documentación, más abajo). WordPress sí es seguro, pero tiene vulnerabilidades
- ¿Soy realmente un objetivo? La seguridad de WP depende más bien de las prácticas en su gestión. Todos estamos en el objetivo de ataques tanto dirigidos como ataques aleatorios de BOT’s «Si estás en internet, eres un posible objetivo»
2º Seguridad en el Hosting
- Versión de PHP. Columna vertebral de su sitio WordPress. Actualización de PHP
- Cambiar el prefijo de las tablas de la BBDD wp_
- Virtualhost Compartido. La importancia de tener cada web con una IP distinta, en un hosting compartido estará nuestra web al igual que cientos o miles de webs más, por tanto si atacan una web, nuestra web puede verse afectada igualmente.
- Lets Encrypt (Candado Verde) Obligatorio en todas nuestras instalaciones WP.
3º Seguridad en las Contraseñas
- El Simil con un cepillo de dientes. No compartas tu contraseña
- Como curiosidad 123456 contraseña más común
- Sistema para clave robusta Utilizar frases tipo Acróstico. Yo aporto procedimientos en las contraseñas, sistema utilizando iniciales, colores, números, iniciales…
4º Evita Bruteforce en tu instalación WordPress
- wpscan.io y docker wpscan
- Diccionario Seclists
- Limitar intentos de sesión local, network y xmlrpc (Plugin iThemes)
- Esconder wp-admin (Plugin iThemes)
- Nombre de usuario y wordpress rest api (Plugin iThemes)
- Mensaje: Nombre de usuario/correo no existe
- 2FA (Plugin Two-Factor / 2FAS Light)
5º Versiones de Core y Plugins
- Readme.txt, Changelog.txt
- Comentarios en el código
- 404 Detection (Plugin iThemes)
- Actualizaciones automáticas (wp-config setting)
- https://firstsiteguide.com/tools/free-fsg/old-outdated-wordpress-plugins/ Cuidado con los plugins no actualizados, aunque tengan millones de descargas
6.- ¡Me han Hackeado!
- Backups Imprescindibles
- Cambios de ficheros (plugin ithemes)
- Webshell
- wpuploads, editor ficheros..
- Usuarios creados, Revisión/eliminar de plugins, temas y Usuarios creados
- Revisión/eliminar de plugins y temas
- Wordfence, sucuri
Documentación de la Charla
- https://firstsiteguide.com/tools/free-fsg/old-outdated-wordpress-plugins/
- https://codex.wordpress.org/es:Fortaleciendo_WordPress
- https://www.zdnet.com/article/reuters-was-using-old-wordpress-version-when-it-was-hacked/
- https://www.virustotal.com/gui/home/
- https://sitecheck.sucuri.net/
- wpvulndb.com
- wpscan.org
- http://hackme.casbeep.com/
Plugins Recomendados Seguridad WordPress
- https://wordpress.org/plugins/wps-hide-login/ Esconder el Wp-login
- https://wordpress.org/plugins/login-lockdown registra la dirección IP y la fecha y hora de cada intento fallido de inicio de sesión. Si se detecta más de un cierto número de intentos en un corto período de tiempo desde el mismo rango de IP, entonces la función de inicio de sesión se inhabilita para todas las solicitudes es compatible con el anterior
- https://wordpress.org/plugins/expire-user-passwords/ Reforzar la caducidad de las contraseñas
- https://es.wordpress.org/plugins/better-wp-security/
- https://es.wordpress.org/plugins/duplicator/
