Este documento proporciona 10 claves para mejorar la seguridad de WordPress. Estas incluyen renombra y proteger la cuenta de administrador, usar contraseñas fuertes y autenticación de dos factores, instalar plugins de seguridad como Limit Login Attempts y Wordfence, hacer copias de seguridad automatizadas regularmente, mantener actualizado WordPress y el servidor, limitar el acceso a la zona de administración, y estar al día con las vulnerabilidades de seguridad. También recomienda externalizar la seguridad si no se pueden
How to use Redis with MuleSoft. A quick start presentation.
10 Claves para mejorar la seguridad de tu WP
1. 10 Claves para mejorar la
seguridad de tu WP
Iñaki Arenaza
Mondragon Unibertsitatea
iarenaza@mondragon.edu
@iarenaza
2. ¿Cómo de seguro es WP?
Fuente: https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=wordpress
3. ¿Cómo de seguro es WP?
Fuente: http://www.cvedetails.com/product/4096/Wordpress-Wordpress.html?vendor_id=2337
4. 10. Renombra la cuenta de
administrador y las tablas de WP
• No uses: admin, Admin, administrator,
Administrator, administrador, Administrador.
• No uses el prefijo wp_ para las tablas:
Fuente: http://aulacm.com/seguridad-y-proteger-wordpress/
5. 9. Utiliza contraseñas fuertes
• No sólo en WP: también en la base de datos, el
acceso al servidor, etc.
• Los gestores de contraseñas son tus amigos.
• Utiliza autenticación de dos pasos o de doble
factor (2FA)
• ¡Cámbialas regularmente!
6. 8. Plugins de seguridad para WP
• Limit Login Attempts
• Better WordPress Security
• Two-Factor Authentication (Google
Authenticator), Duo Two-Factor Authentication
• Wordfence Security, Sucuri Security,
NinjaFirewall WAF
• Y montones más...
7. 7. Copias de seguridad
• Copias de todo lo necesario: código WP, base
de datos, ficheros de WP, servidor web, sistema
operativo, etc.
• ¡Automatiza!
• Hacerlas es sólo la mitad del camino.
• Una copia de seguridad que no se puede (o no
se sabe) restaurar, no sirve para nada.
• ¡Restaura tus copias periódicamente!
8. 6. Securiza tu servidor web
• Configuración adecuada (usuario, permisos, etc.)
• Aprovecha las opciones de seguridad de los
ficheros .htacces (o equivalentes en tu servidor
web)
• ¡Protege tus ficheros .htaccess!
• ModSecurity: www.modsecurity.org
• Firewall que trabaje con ModSecurity.
• Plugins como NginxCp sobre Apache:
www.nginxcp.com
9. 5. Securiza tu servidor
• Sistema operativo actualizado.
• Configuración adecuada.
• Sistemas Linux: AppArmor, SELinux
• Sistemas Windows: Aplica las plantillas de
seguridad.
10. 4. Mantente actualizado
• Mantén WP actualizado: core, themes, plugins.
• Instala siempre desde las fuentes originales: no
aceptes regalos envenenados.
• Pero también tu servidor web, la base de datos,
el sistema operativo, etc.
11. 3. Protege el acceso a la zona
de administración
• Limita el acceso al directorio /wp-admin
• Se puede hacer por:
– direcciones IP de origen
– solicitando usuario y contraseña
– ¡o ambas cosas!
• Se suele hacer en la configuración del servidor
web (cPanel, fichero .htacces, etc.)
12. 2. Estate al día
• https://wordpress.org/news/category/security/
• https://wpvulndb.com/
• Plugin Vulnerabilities https://wordpress.org/
plugins/plugin-vulnerabilities/
• No Longer in Directory https://wordpress.org/
plugins/no-longer-in-directory/
• http://www.cvedetails.com/vendor/2337/Word
press.html
13. 1. Externaliza tu seguridad
• Si no puedes o no quieres hacer todo lo
anterior: externalízalo :-)
• Además de lo anterior puedes queres:
– Curación de temas y plugins a usar
– Monitorización de intentos de intrusión
– Informes de estado
– etc.