Seguridad en WordPress ¿S A B E S LO Q U E E S TÁ N H AC I E N D O C O N T U W E B A H O R A ?

M A R C ELO PE DR A / / A M P M HO ST ING .C O M.AR / / © 20 1 8 B Y M A R C E LO P E D R A

Importancia de la seguridad en WordPress (¿Por qué querrían atacar sitios WordPress?) • El 30% de sitios de Internet usa WordPress • El 3% son tiendas WooCommerce

• Más del 30% tienen WP desactualizado (WP < 4.9 + PHP < 5.6 ) Son objetivos porque…

• Software Popular = variedad de escenarios • Software Desactualizado = vulnerable • Variedad x Vulnerabilidad = YUMMY! A M PM H OSTIN G.COM.A R // ©20 18 BY M A R CE LO PE DR A

Cómo encuentra un bot sitios vulnerables (Sólo hay que saber googlear) Google dorks = menú a la carta: • Buscan versiones de plugins y temas vulnerables • Buscan versiones de WordPress / WooCommerce vulnerables • Buscan URLs de login (tip: eliminar widget Meta en páginas 404) • Buscan archivos que no deberían ser visibles (.sql, .zip, backups) • _ Buscan toda vulnerabilidad que permita subir archivos al servidor_ Catálogos y listas online: • Clasificados públicos profesionales / comercios / marketing (BuiltWith.com)

A M PM H OSTIN G.COM.A R // ©20 18 BY M A R CE LO PE DR A

Cómo deciden si vale la pena piratearte (Sólo hay que saber googlear) • Usando Google dorks:

• Usando listas online como BuiltWith.com:

A M PM H OSTIN G.COM.A R // ©20 18 BY M A R CE LO PE DR A

Qué hacen con un sitio vulnerado (Lo ponen a trabajar) • Reemplazar el contenido con propaganda terrorista o de piratas • Enviar spam • Spam de SEO a Google • Reenviar el tráfico a webs maliciosas • Sumarlo a una botnet: infectar sitios, atacar servidores • Usarlo para infectar a los visitantes • Montar una red de phishing (bancos, PayPal, redes sociales, etc.) • Minar criptomonedas • Robar datos de clientes: emails para spam, tarjetas para phishing

A M PM H OSTIN G.COM.A R // ©20 18 BY M A R CE LO PE DR A

Síntomas que revelan un ataque (Anomalías inesperadas) 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11.

Si cambia tu contraseña o aparecen usuarios de la nada Si faltan carpetas/archivos del sitio (o aparecen nuevos!) Si el sitio no carga bien o muestra errores (sin haber cambiado nada!) Si el sitio muestra contenidos o publicidad que no instaló uno mismo Si hay gran cantidad de intentos fallidos de login (si miramos los logs) Si hay picos de visitas de países que no sean audiencia normal del sitio Si aparecen resultados extraños al buscarlo en Google con “site:” Si el dominio repentinamente aparece en listas negras de spam Si presentan errores de conexiones externas en la Consola del navegador Si no pasan un escaneo: Sucuri Sitecheck, VirusTotal, Google SafeBrowsing Si no pasa un test de integridad de archivos

A M PM H OSTIN G.COM.A R // ©20 18 BY M A R CE LO PE DR A

Los costos de haber sido atacado (Y por qué no deberías dejar que ocurra) • Pérdida de ventas por tener el sitio caído • Pérdida de confianza de tus clientes si ven tu sitio desfigurado

• Costo a pagarle a un profesional por la limpieza • Papelón en Google si bloquean el dominio • Mejora el SEO de la competencia • Potencial baneo permanente en AdWords • Potencial baneo del dominio en listas negras por spam

A M PM H OSTIN G.COM.A R // ©20 18 BY M A R CE LO PE DR A

Cómo limpiar un sitio infectado (Lo que todos esperaban) 1. Escanear con: Sucuri Sitecheck, VirusTotal, Google SafeBrowsing 2. Bloquear acceso al sitio comprometido mientras se limpia

3. Reemplazar TODOS los archivos del sitio. Actualizar no basta! 4. Restaurar la base de datos desde un backup “limpio”

5. Cambiar todas las contraseñas 6. Hacer backup completo y almacenar externamente 7. Implementar medidas de seguridad preventiva A M PM H OSTIN G.COM.A R // ©20 18 BY M A R CE LO PE DR A

Cómo evitar ataques a tu sitio web (Parte 1 de 42) 1. No dejar WordPress / plugins / temas (ni PHP + MySQL) sin actualizar 2. No instalar ni comprar plugins / temas desactualizados o mal calificados 3. No descargar plugins / temas nulled 4. No dejar instalados plugins / temas en desuso (activos o no) 5. Mejorar contraseñas WP/FTP/MySQL/Panel (y guardar de forma segura) 6. No mantener el usuario “admin” 7. Bloquear ataques de login por fuerza bruta 8. Desactivar el registro de usuarios 9. Ocultar URL de login de WordPress 10. Impedir ejecución pública de PHP en carpetas uploads, plugins y themes A M PM H OSTIN G.COM.A R // ©20 18 BY M A R CE LO PE DR A

Cómo evitar ataques a tu sitio web (Parte 2 de… sólo bromeaba) 11. Bloquear XML-RPC, reenviar 404s, desactivar editor de plugins/temas 12. Ocultar páginas de autor si no son necesarias 13. No dejar a la vista archivos readme.html, .sql, backups, “php.php”… 14. Permisos de sólo lectura en wp-config.php, .htaccess e index.php 15. Monitorear cambios de archivos 16. Usar HTTPS y Cloudflare (disuade a muchos bots) 17. Proteger, ocultar o eliminar sitios WordPress de prueba 18. Usar login con doble factor de autenticación o reCaptcha 19. Backups frecuentes y completos en Google Drive, Dropbox, etc._ 20. Usar plugins de seguridad (iThemes Security, WordFence, Sucuri)_ A M PM H OSTIN G.COM.A R // ©20 18 BY M A R CE LO PE DR A

Plugins recomendados (Elegir uno de cada clase. No usar todos juntos!) _ Seguridad _ • iThemes Security: brinda la protección gratuita más completa con filtros .htaccess • WordFence / Sucuri: tienen buenos scanners, pero gratis = incompleto

_ Backups _ • Updraft Plus: backups a espacios externos. Restaurables con un click • BackWPup: backups completos a espacios externos. No apto novatos • Duplicator / AIO WP Migration / XCloner: ideales para migrar sitios _Funcionalidad _ • WP Disable: permite desactivar funciones nativas pero innecesarias de WordPress • Integrity Checker: ideal para verificar la integridad de WordPress

A M PM H OSTIN G.COM.A R // ©20 18 BY M A R CE LO PE DR A

De regalo: Tutorial gratuito Cómo proteger mi sitio WordPress con iThemes Security

https://bit.ly/protegerwp

¡¡¡ MUCHAS GRACIAS !!! MARCELO PEDRA AMPMHOSTING.COM.AR