Seguridad y WordPress

Seguridad & Lidia Arroyo Vargas
WordPress [email protected]
Implementar y
Identificar los ataques Entender para que
configurar los plugins
que existen para sirve el archivo
ideales para mantener
WordPress “.htaccess”
la seguridad de tu sitio.
Objetivos
¿Es Seguro?
Plataforma CMS Blanco de los
con más usuarios Atacantes
Muy Seguro
¿Porqué debo tomar medidas de seguridad?
Posicionamiento Clientes
Ataques más
comunes
Ataques de Fuerza
Bruta
Programas
automáticos
Acceden al
administrador
Combinaciones
Posibles
¿Donde sucede?
Páginas Web que Primer usuario

no tienen un que intentan
limitador de Login. “admin”
Inyección de SQL
Los formularios
de Contacto
Campos para
comentarios
¿Cómo sucede?
Objetivo: Alterar el
Filtración de código funcionamiento del
intruso dentro de la programa y lograr que
BD. se ejecute el código
invasor.
Vulnerabilidad de los plugins y del tema
Antes de instalar
Calificación
• Verificarlo
primero
• No descargar
plugins de pago
que ofrezcan
totalmente gratis
en Internet. Cantidad de Versiones
Descargas comprobadas
Si ya tienes
plugins instalados
del repositorio
legal y libres de
infecciones
Entrar periódicamente y
mantenerlos actualizados.
•Servidores
Archivo de
configuración web basados
en Apache
¿Qué es el
.htaccess?
Permite
aplicar
•Mejor la
políticas de seguridad de
acceso a
directorios mi sitio web
Realizar
redirecciones
Nos permite
Restringir el acceso a
carpetas
Crear mensajes de
error personalizados
Medidas de Seguridad
para blindar mi
WordPress
1. Copias de
Seguridad.
• Tener respaldado
completamente tu
sitio
• Copia de seguridad
periódica y
automática.
Duplicator
• Mover, migrar o clonar un sitio
WordPress entre dominios o
alojamientos sin interrupciones
• Desplegar un sitio en producción en
localhost para su desarrollo
• Realizar una migración completa de
WordPress sin tener que luchar con
importaciones/exportaciones de scripts
sql.
https://es.wordpress.org/plugins/duplicator/
UpdraftPlus
• Copias de seguridad y su restauración.
• Permite seleccionar la periodicidad y
programar las copias de seguridad
• Seleccionar un almacenamiento externo
(Google Drive, Ftp, Dropbox….)
• Es rápido y consume menos recursos del
servidor.
https://es.wordpress.org/plugins/updraftplus/
2. Contraseña
• Clave/ password compleja

• 8-10 caracteres (letras
minúsculas,
mayúsculas, números y
símbolos)
Usar generadores
de externos de
contraseñas
Sitio con varios:
• Suscriptores
• Redactores
• Forzarlos a
generar
contraseñas
seguras:
https://es.wordpress.org/plugins/force-strong-passwords/
3. Ruta de Acceso al
Admin de WordPress
• Cambiar la ruta por defecto:

www.dominio.com/wp-admin
• Limitar los intentos de acceso
de login
• Bloquear acceso desde otros
países.
WPS Hide Login
• Permite cambiar la URL del Login
• Ajustes > Generales.
Ventajas:
• No hace cambios en la BD
• En caso de desactivarlo, la
configuración de WP será la misma
que antes.
https://es.wordpress.org/plugins/wps-hide-login/
+ Popular
• Sitio Web
4. Firewall y
Antivirus
+
Ataques
• Inserción
de Código
WordFence
• Antivirus: Motor de escaneo.
• Firewall: Motor de reglas.
• Motor de Cacheo, incrementa
entre 30 y 50 velocidad.
• Live Traffic *
• Blocked Ips *
*Versión premium
https://es.wordpress.org/plugins/wordfence/
5. Controlar o
bloquear el spam de
los comentarios.
Disable Comments
• Desabilitar globalmente los

comentarios:
• Páginas
• Entradas
• Archivos adjuntos.
• Elimina los campos

relacionados con los
comentarios.
Ajustes > Desactivar Comentarios
6. Formularios de
Contacto
Gravity Forms
• 30 campos de formulario.
• Admite notificaciones por
correo electrónico, envío de
archivos, y la opción de
guardar y continuar.
• Opción de limitar el número
de envíos a través de un
formulario.
https://www.gravityforms.com/
Contact Form 7
• Múltiples formularios de
contacto personalizados.
• Compatible con Ajax,
CAPTCHA, filtrado de Spam
de Akismet.
• Tiene reCAPTCHA (Google).
https://es.wordpress.org/plugins/contact-form-7/
7. Eliminar
archivos
innecesarios
Readme.html y Wp-config-
sample.php
8. Certificado SSL
Datos cifrados
de extremo a
extremo.
S = Secure
Utiliza XML para
estructurar datos.
HTML para la
transmisión de los
datos.
9. WordPress y el
XMLRPC.PHP
Permite que programas de escritorio
como Microsoft Word o Mozilla
Thunderbird se comuniquen con
nuestra instalación de WordPress.
¿Qué hace el Permite la comunicación mediante

pingbacks y trackbacks con otros blogs
XMLRPC en u otras instalaciones de WordPress.
WordPress?
Permite que funcionen ciertas funciones
del plugin Jetpack para WordPress que
tiene comunicación directa con los
servidores de Automattic.
• Frena el abuso del XML-RPC
en tu sitio
• Quita los métodos
pingback.ping y
pingback.extensions.getPin
gbacks de la interfaz XML-
RPC.
• También quita X-Pingback
de las cabeceras HTTP. Esto
evitará que algunos bots
traten de llegar a tu archivo
xmlrpc.php.
Disable XML-RPC Pingback
https://es.wordpress.org/plugins/disable-xml-rpc-pingback/
Más Importante
• Plugins
actualizados.
• Versión de
WordPress
actualizada.
Conclusión
1. Copias de Seguridad.
2. Contraseñas fuertes.
3. Proteger al administrador.
4. Firewall & Antivirus.
5. Comentarios Protegidos ó deshabilitados.
6. Formularios de Contacto protegidos.
7. Sin archivos innecesarios.
8. Certificado de Seguridad
9. XMLRCP.php protegido
10. Plugins y WordPress actualizado.

Seguridad y WordPress

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Seguridad y WordPress

Cargado por

Copyright:

Formatos disponibles

Seguridad & Lidia Arroyo Vargas

Páginas Web que Primer usuario

• Clave/ password compleja

• Cambiar la ruta por defecto:

• Desabilitar globalmente los

• Elimina los campos

¿Qué hace el Permite la comunicación mediante

También podría gustarte