10 Claves para mejorar la seguridad de tu WP Iñaki Arenaza Mondragon Unibertsitatea [email protected] @iarenaza
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
10 Claves para mejorar la seguridad de tu WP
Iñaki ArenazaMondragon Unibertsitatea
[email protected]@iarenaza
¿Cómo de seguro es WP?
Fuente: https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=wordpress
¿Cómo de seguro es WP?
Fuente: http://www.cvedetails.com/product/4096/Wordpress-Wordpress.html?vendor_id=2337
10. Renombra la cuenta de administrador y las tablas de WP
• No uses: admin, Admin, administrator, Administrator, administrador, Administrador.
• No uses el prefijo wp_ para las tablas:
Fuente: http://aulacm.com/seguridad-y-proteger-wordpress/
9. Utiliza contraseñas fuertes
• No sólo en WP: también en la base de datos, el acceso al servidor, etc.
• Los gestores de contraseñas son tus amigos.• Utiliza autenticación de dos pasos o de doble
factor (2FA)• ¡Cámbialas regularmente!
8. Plugins de seguridad para WP
• Limit Login Attempts• Better WordPress Security• Two-Factor Authentication (Google
Authenticator), Duo Two-Factor Authentication• Wordfence Security, Sucuri Security,
NinjaFirewall WAF• Y montones más...
7. Copias de seguridad
• Copias de todo lo necesario: código WP, base de datos, ficheros de WP, servidor web, sistema operativo, etc.
• ¡Automatiza!• Hacerlas es sólo la mitad del camino.• Una copia de seguridad que no se puede (o no
se sabe) restaurar, no sirve para nada.• ¡Restaura tus copias periódicamente!
6. Securiza tu servidor web
• Configuración adecuada (usuario, permisos, etc.)• Aprovecha las opciones de seguridad de los
ficheros .htacces (o equivalentes en tu servidor web)
• ¡Protege tus ficheros .htaccess!• ModSecurity: www.modsecurity.org• Firewall que trabaje con ModSecurity.• Plugins como NginxCp sobre Apache:
www.nginxcp.com
5. Securiza tu servidor
• Sistema operativo actualizado.• Configuración adecuada.• Sistemas Linux: AppArmor, SELinux• Sistemas Windows: Aplica las plantillas de
seguridad.
4. Mantente actualizado
• Mantén WP actualizado: core, themes, plugins.• Instala siempre desde las fuentes originales: no
aceptes regalos envenenados.• Pero también tu servidor web, la base de datos,
el sistema operativo, etc.
3. Protege el acceso a la zona de administración
• Limita el acceso al directorio /wp-admin• Se puede hacer por:
– direcciones IP de origen– solicitando usuario y contraseña– ¡o ambas cosas!
• Se suele hacer en la configuración del servidor web (cPanel, fichero .htacces, etc.)
2. Estate al día
• https://wordpress.org/news/category/security/• https://wpvulndb.com/• Plugin Vulnerabilities https://wordpress.org/
plugins/plugin-vulnerabilities/• No Longer in Directory https://wordpress.org/
plugins/no-longer-in-directory/ • http://www.cvedetails.com/vendor/2337/Word
press.html
1. Externaliza tu seguridad
• Si no puedes o no quieres hacer todo lo anterior: externalízalo :-)
• Además de lo anterior puedes queres:– Curación de temas y plugins a usar– Monitorización de intentos de intrusión– Informes de estado– etc.
Eskerrik askoMuchas gracias
Related Documents
