la seguridad en wordpress de la a a la z

@josecontichttp://www.joseconti.com

Seguridad en WordPress de la A a la Z

Meetup WordPress Barcelona


Usad el hashtag para Twitter

#wpbarcelona





La inmensa mayoría de veces no sabremos que nos han hackeado

Estaremos dentro de una botnet






Dónde actuar

Selección de hosting Durante la instalación

En la estructura Con plugins

Mantenimiento Estar al dia




Selección de Hosting


La selección de un hosting es el primer arma que tenemos

para protegernos

@josecontichttp://www.joseconti.comMeetup WordPress Barcelona






Un hosting que no esté bien preparado y configurado

significa que nos hackearan







suPHP o mod_ruid2 Jailed Shell

Si tenéis que dar permisos a directorios y/o archivos Cambiad de Hosting







Los permisos siempre deben ser

750 o 755 > directorios 644 o 640 > archivos

wp-config puede tener 600







Si tenéis que dar permisos a directorios y/o archivos Cambiad de Hosting






Nombre de base de datos complejo Usuario base de datos complejo

Contraseña base de datos compleja Nunca dejar prefijo wp_

Usuario WordPress de dos o más palabras Contraseña compleja (WordPress ahora nos ofrece una)






El usuario administrador que hemos creado será temporal. Crearemos uno nuevo en el momento

en que accedamos a WordPress por primera vez.

Eliminaremos los permisos de administrador al usuario creado durante la instalación.




Cómo proteger WordPress y como limpiar una instalación hackeada.

En la estructura

WordCamp Barcelona 2015

Mover wp-config.php al directorio superior Permisos correctos de archivos y directorios

Siempre tener rellenado los Security Keys Posibilidad de mover wp-content

Posibilidad de mover directorio plugins Posibilidad de mover directorio themes Posibilidad de mover directorio uploads






Mover directorio wp-content

define( 'WP_CONTENT_DIR', dirname(__FILE__) . '/directorio/wp-content' ); define( 'WP_CONTENT_URL', ‘http://ejemplo.com/directorio/wp-content' );






Mover directorio plugins

define( 'WP_PLUGIN_DIR', dirname(__FILE__) . '/wp-content/plugins' ); define( 'WP_PLUGIN_URL', ‘http://ejemplo.com/wp-content/plugins' ); define( 'PLUGINDIR', dirname(__FILE__) . '/wp-content/plugins' );






Mover directorio themes

No se puede mover, ya que está en el core

$theme_root = WP_CONTENT_DIR . '/themes';

Pero se puede añadir nuevos directorios para themes:

<?php register_theme_directory( $directory ) ?>






Mover directorio uploads

define( 'UPLOADS', 'wp-content/uploads' );






.htaccess

Solo permitir algunos archivos en wp-content Poner un .htaccess dentro de wp-content

# Bloquear acceso a todos los archivos excepto a los siguientes Order deny,allow Deny from all <Files ~ ".(xml|css|js|jpe?g|png|gif|pdf|docx|rtf|odf|zip|rar)$"> Allow from all </Files>






.htaccess

Bloquear acceso a wp-includes # Bloquear archivos y directorios <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] </IfModule>






.htaccess

Aceptar solo a ciertas IPs acceder a wp-admin Se requiere IP estática

# Limitar acceso a wp-admin a estas IPs <Limit GET POST PUT> order deny,allow deny from all allow from 000.000.000.000 allow from DIRECCION_IP_2 </Limit>






.htaccess Proteger wp-config.php y todos los .htaccess

# Denegar acceso a wp-config.php <files wp-config.php> order allow,deny deny from all </files>

# Denegar acceso a todos los archivos .htaccess <files ~ "^.*\.([Hh][Tt][Aa])"> order allow,deny deny from all satisfy all </files>






.htaccess

Escondiendo nuestra versión de WordPress

Proteger readme.html y license.txt ( ¿y xmlrpc.php? #Proteger readme.html y license.txt <FilesMatch "^(readme.html|license.txt)"> Order allow,deny Deny from all Satisfy All </FilesMatch>






functions.php (o plugin propio)

Escondiendo nuestra versión de WordPress

function tusitio_eliminar_version() { return ''; } add_filter('the_generator', 'tusitio_eliminar_version');






.htaccess Protegerse del hotlinking

# Previene el hotlinking mostrando otra imagen. RewriteEngine on RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?tusitio.com [NC] RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?otrositiotuyo.com [NC] RewriteRule \.(jpg|jpeg|png|gif)$ http://i.imgur.com/MlQAH71.jpg [NC,R,L]






wp-config.php

No mostrar errores en pantalla

error_reporting( 0 );@ini_set( 'display_errors', 0 );






wp-config.php

No permitir editar archivos

define( 'DISALLOW_FILE_EDIT', true );






Forzar SSL para el admin Si tenemos certificado

define('FORCE_SSL_LOGIN', true); define('FORCE_SSL_ADMIN', true);






SSL gratuito y fiable

Let’s Encrypt https://letsencrypt.org

Pero necesitas de un hosting que te lo ofrezca






Forzar el SSL, es importantes si nos conectamos con conexiones públicas y no usamos un VPN





Backup


Es el primer plugin que se debe instalar.

BackWPup BackupBuddy

o incluso Duplicator





Protección


Los plugins de protección, añadirán una capa en nuestro WordPress

Wordfence Security iThemes Security

Login Security Solution BulletProof Security

Anti-Malware Security and Brute-Force Firewall





Control


Los plugins de control nos ayudaran a controlar nuestro WordPress

Wordfence Security Antivirus





Themes


Nunca descargar themes (o plugins) que no estén en sitios de confianza

Nunca descargar themes (o plugins) de pago desdesitios que los ofrece de forma gratuita





Themes


Si instalas contenido dummy en tu theme, elimínalo después

Puedes acabar en la blacklist de Google





Mantenimiento


Imprescindible mantener todo actualizado.

Themes Plugins

WordPress (Todas las menores)

SO, PHP, MySQL, Apache, Nginx, etc.





Mantenimiento


No os olvidéis de los plugins y themes premium que no ofrecen actualizaciones gratuitas.





Estar al día


Hay que estar al día de todo.

Seguiremos cuentas de Twitter Blogs de seguridad

Blogs sobre WordPress Blogs oficiales






Muchas gracias a todos

José Conti

www.joseconti.com

@josecontic



la seguridad en wordpress de la a a la z

Internet