![Page 1: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/1.jpg)
PERO ENTONCES… ¿ES WORDPRESSSEGURO O NO?Por Néstor Angulo de Ugarte
![Page 2: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/2.jpg)
OKAERI!Irasshai!
#WCES - WordCamp España Online 2020 2
![Page 3: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/3.jpg)
#WCES - WordCamp España Online 2020 3
![Page 4: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/4.jpg)
ABOGADO DEFENSORYFISCAL DEL CASO
#WCES - WordCamp España Online 2020 4
![Page 5: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/5.jpg)
Néstor Angulo de Ugarte@pharar
■ Un chico muy curioso… a veces más que un gato.
■ Ingeniero informático y consultor tecnológico
■ Desde 2015:Analista de Seguridad @ Sucuri
■ Desde 2017:Advance Technical Support Managed SSL AnalystDeveloper in the WSS backend team@ GoDaddy Security
■ En 2019:Interim Head of IT @ GoDaddy Spain
#WCES - WordCamp España Online 2020 5
![Page 6: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/6.jpg)
Sobre
■ Sucuri: Anaconda(No Securi / Security)
■ Website security
■ Fully remote (> 25 paises)
■ 2008: Fundación
■ 2017: Entra en la familia GoDaddy
■ Free scanners: – Sitecheck
(sitecheck.sucuri.net)
– Performance (performance.sucuri.net)
#WCES - WordCamp España Online 2020 6
![Page 7: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/7.jpg)
EL ACUSADO
#WCES - WordCamp España Online 2020 7
![Page 8: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/8.jpg)
#WCES - WordCamp España Online 2020 8
![Page 9: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/9.jpg)
#WCES - WordCamp España Online 2020 9
![Page 10: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/10.jpg)
¿ES WORDPRESSSEGURO O NO?
Vista del 7 de Mayo de 2020
#WCES - WordCamp España Online 2020 10
![Page 11: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/11.jpg)
ANTES QUE NADA,
ENCUESTA AL JURADO
(¡Todos ustedes!)
#WCES - WordCamp España Online 2020 11
![Page 12: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/12.jpg)
kahoot.it#WCES - WordCamp España Online 2020 12
![Page 13: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/13.jpg)
FACTORES DE SEGURIDAD
#WCES - WordCamp España Online 2020 13
![Page 14: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/14.jpg)
¿Qué significa que un CMS es ”Seguro”?
#WCES - WordCamp España Online 2020 14
Información y contenidoprotegido
No comparte con terceros
Es difícilpenetrar y establece
conexion segura
Gestiónadecuada de permisos y jerarquías
Mantenimiento activo y
frecuenteSoporte efectivo
y rápido
![Page 15: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/15.jpg)
La Cadena de Confianza
#WCES - WordCamp España Online 2020 15
A más puertas y ventanas (plugins, temas, etc.), más difícil defender tu fortaleza
¿Confías en tus distribuidores? ¿Cuánto confías?
La confianza es nuestro punto más débil: delegas la responsabilidad en un tercero
Es necesaria
![Page 16: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/16.jpg)
Seguridad: Modelo por capas simplificado
16
Capa ProtecciónTú, la capa más débil ConocimientoTu dispositivo AntivirusTu conexión SSLTu sitio web WAFTus credenciales Contraseñas fuertes, 2FALa seguridad de tu sitio monitor, plugins, updatesLa seguridad del server monitor, sysadmin, updatesLa base de datos monitor, sysadmin
Tareas de mantenimiento
#WCES - WordCamp España Online 2020
![Page 17: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/17.jpg)
HECHOS
#WCES - WordCamp España Online 2020 17
![Page 18: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/18.jpg)
#WCES - WordCamp España Online 2020 18
![Page 19: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/19.jpg)
#WCES - WordCamp España Online 2020 19
![Page 20: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/20.jpg)
Hechos
#WCES - WordCamp España Online 2020 20
Un hackeoprácticamente nunca
es orientado a un cliente
Casi siempre ocurre debido a un control y
mantenimiento deficientes
Un certificado SSLno es un escudo
anti-hacking
Los parches de seguridad aparecen
normalmente después de
descubrir exploits
Errare Humanum EstLa Seguridad nuncagarantiza (ni lo hará)
un 100% de efectividad
![Page 21: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/21.jpg)
Factores de seguridad: Cadena de confianza
■ Plugins y temas
■ Código y contenido embebido
■ Gravatar, Google Fonts, emojis, etc.
■ Analytics, Firewall, CDN, Hosting. Etc.
#WCES - WordCamp España Online 2020 21
![Page 22: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/22.jpg)
#WCES - WordCamp España Online 2020 22
![Page 23: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/23.jpg)
Factores de seguridad:Mantenimiento y soporte■ El mantenimiento de
WordPress es frecuente ytiene roadmap
■ Código abierto, así que cualquiera puede proponermejoras o arreglar bugs (millones de potencialesprogramadores). ModeloBazar.
■ El soporte lo da la comunidadWordPress, funciona como un foro y es multiidioma
■ Es una de las comunidadestecnológicas más grandes del mundo
■ En algunas comunidades, como la Española, el forotiene un retardo medio de unas horas apenas.
#WCES - WordCamp España Online 2020 23
![Page 24: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/24.jpg)
Factores de seguridad:Jerarquía, permisos y conexión segura
WordPress tiene sistema de roles y control de acceso.
Es ampliable por plugin
Funciona correctamente a traves de HTTPS
No fuerza HTTPS por defecto ni se puede configurar fácilmente, senecesita un plugin o/y cambios a mano para forzarlo.
#WCES - WordCamp España Online 2020 24
![Page 25: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/25.jpg)
Factores de seguridad:Información, privacidad y cesión a terceros
La información sensible se asegura por defecto.
No cede información a terceros.
”Out of the box” no protege la privacidad de manera muy estricta:Gravatar, emojis, WordPress, contenido embebido, etc.No proporciona soporte nativo GDPR, aviso de cookies, CCPA, etc.
”Out of the box” no posee ningún procedimiento de copia de seguridad o auditoria
#WCES - WordCamp España Online 2020 25
![Page 26: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/26.jpg)
Fuente: Website Website Threat Research Report 2019– sucuri.net
■ … Y 1 de cada 3 sitios webs enInternet utilizaWordPress
■ O 2 de cada 3 sihablamos de los sitios web que usan un CMS
#WCES - WordCamp España Online 2020 26
![Page 27: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/27.jpg)
#WCES - WordCamp España Online 2020 27
Fuente: Website Website Threat Research Report 2019– sucuri.net
Fuente: Wordpress version distribution at May 2020– wordpress.org
![Page 28: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/28.jpg)
#WCES - WordCamp España Online 2020 28
Fuente: Website Website Threat Research Report 2019– sucuri.net
![Page 29: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/29.jpg)
Actualizaciones
Fuentes: Web Professional Security Survey 2019 (Sucuri.net)PHP versions distribution May 2020 (wordpress.org)
#WCES - WordCamp España Online 2020 29
![Page 30: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/30.jpg)
RESULTADOS
#WCES - WordCamp España Online 2020 30
![Page 31: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/31.jpg)
SENTENCIA
#WCES - WordCamp España Online 2020 31
![Page 32: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/32.jpg)
¿Es WordPress
seguro?
#WCES - WordCamp España Online 2020 32
![Page 33: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/33.jpg)
¿Es WordPress
seguro?
#WCES - WordCamp España Online 2020 33
SI
Al menos todo lo que se puede ser ”out of the box”
![Page 34: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/34.jpg)
ENTONCES, ¿CUÁL ES EL PROBLEMA?
Es EXTREMADAMENTE sencillo hacerun sitio INSEGURO con WordPress
![Page 35: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/35.jpg)
Ejemplo■ Añadir un usuario administrador llamado “admin”■ Contraseñas sencillas o tipo ”admin123”■ Instalar plugins no oficiales o freemium o descargados de sitios de dudosa
reputación■ No proteger tu sitio usando conexión segura HTTPS■ Creer que existe el hosting barato perfecto■ Creer que la seguridad es cosas de paranoicos o que se encarga “otro”■ Creer que a ningún ciberterrorista le interesa tu sitio ni su contenido■ Creer que hay gente que regala sus plugins, temas y funcionalidades de
manera altruista.■ …
#WCES - WordCamp España Online 2020 35
![Page 36: PERO ENTONCES… ¿ES WORDPRESS SEGURO O NO€¦ · WordPress es frecuente y tiene roadmap Código abierto, así que cualquiera puede proponer mejoras o arreglar bugs (millones de](https://reader036.vdocuments.co/reader036/viewer/2022071117/600346d58114aa096541596f/html5/thumbnails/36.jpg)
¡MIL GRACIAS!
¿Preguntas?
#WCES - WordCamp España Online 2020 36
Néstor Angulo de Ugarte (@pharar)