SlideShare a Scribd company logo

Hacking WordPress. El Arte de La Guerra.

Nestor Angulo de Ugarte
Nestor Angulo de Ugarte

Poniéndonos en la mente de nuestro enemigo y aplicando los preceptos del Arte de la Guerra, desentrañamos y desmitificamos cómo los sitios WordPress son atacados y lo fácil que puede ser para los sus no cuidan su seguridad. Charla presentada en la WordCamp Zaragoza 2020

Technology
1 of 74
Download to read offline
Hacking WordPress El Arte de la Guerra: En la mente de tu enemigo Néstor Angulo de Ugarte (@pharar)
Quién les habla • Un chico muy curioso … a veces más que un gato. • Ingeniero informático y consultor tecnológico • 2015: Analista de Seguridad @ Sucuri • 2017: ATS & Managed SSL @ GoDaddy Security • 2019: Interim Head Of IT @ GoDaddy Spain #WCZGZ - 2020 - Nestor Angulo (@pharar) 2
Sobre • Sucuri: Anaconda (No Securi / Security) • Website security • Fully remote (personas > 25 paises) • 2008: Fundación • 2017: Entra en la familia GoDaddy • Free scanners: • Sitecheck (sitecheck.sucuri.net) • Performance (performance.sucuri.net) #WCZGZ - 2020 - Nestor Angulo (@pharar)
#WCZGZ - 2020 - Nestor Angulo (@pharar) 4
Conceptos Algo de contexto
DISCLAIMER #WCZGZ - 2020 - Nestor Angulo (@pharar) Toda información sensible ha sido protegida o encriptada para preservar la privacidad. Cualquier similitud con la realidad es una coincidencia. Soy responsable de lo que digo, no de lo que interpretéis. Contenido con intención DIDÁCTICA, NO SE PROMUEVE ningún proceso de hacking de tipo ilegal. En caso de duda, preguntar siempre a vuestro EXPERTO de SEGURIDAD. 6
#WCZGZ - 2020 - Nestor Angulo (@pharar) 7
#WCZGZ - 2020 - Nestor Angulo (@pharar) 8
Malware #WCZGZ - 2020 - Nestor Angulo (@pharar) 9 Varios tipos: Backdoors, zero-day Exploits Troyanos, Fremium plugins Ransomware , Spyware Adware, Scareware … Software intencionadamente diseñado para causar daños a ordenadores, usuarios o redes de comunicaciones.
Definiciones • Vulnerabilidad • Error en el código o posibilidad de utilización malintencionada de un recurso que puede ser explotado para realizar actividad no autorizada en un sistema informático. • Exploit • Programa que aprovecha una vulnerabilidad • Backdoor • Malware que permite ejecución remota de código #WCZGZ - 2020 - Nestor Angulo (@pharar) 10
HACKER VS Ciberterrorista #WCZGZ - 2020 - Nestor Angulo (@pharar) 11 Hacker: Persona curiosa que le gusta ir más allá de los límites y convencionalismos. Ciberterrorista / Cracker: Hacker informático, cuyo objetivo es siempre enriquecerse en una situación juego de suma cero.
Tipos de Hacker • Black Hat Ciberterrorista, Ladrón, el chico malo. • Grey Hat White Hat Hacker que utiliza métodos ilegales. • White Hat Analista de seguridad, Hacker ético. #WCZGZ - 2020 - Nestor Angulo (@pharar) 12
Seguridad: Modelo por capas simplificado #WCZGZ - 2020 - Nestor Angulo (@pharar) 13 Capa Protección Tú, la capa más débil Conocimiento Tu dispositivo Antivirus Tu conexión SSL Tu sitio web WAF Tus credenciales Contraseñas fuertes, 2FA La seguridad de tu sitio monitor, plugins, updates La seguridad del server monitor, sysadmin, updates La base de datos monitor, sysadmin Tareas de mantenimiento
FACTS #WCZGZ - 2020 - Nestor Angulo (@pharar) 14 Un hackeo prácticamente nunca es orientado a un cliente (98% of cases) Casi siempre ocurre debido a un control y mantenimiento deficientes Un certificado SSL no es un escudo anti-hacking Los parches de seguridad y actualizaciones aparecen normalmente después de descubrirse la existencia de exploits Errare Humanum Est La Seguridad nunca garantiza (ni lo hará) un 100% de efectividad
FACTS Fuente: Website Hack Trend Report 2018 – sucuri.net #WCZGZ - 2020 - Nestor Angulo (@pharar) 15 … Y 1 de cada 3 sitios webs en Internet utiliza WordPress O 2 de cada 3 si hablamos de los sitios web que usan un CMS
El Arte de la Guerra En la mente de tu enemigo #WCZGZ - 2020 - Nestor Angulo (@pharar) 16
El Arte de la guerra 17 • Tratado chino sobre tácticas y estrategias en la Guerra (Sun Tzu) • Separado en 13 capítulos “Si conoces a tu enemigo y te conoces a ti, no puedes perder una batalla” “Toda batalla se basa en el engaño” ”La mayor victoria es vencer sin combatir”
Tu fortaleza 18 Usuarios Base de datos Contenido Infraestructura Bot Net Reputación #WCZGZ - 2020 - Nestor Angulo (@pharar)
Tu Muralla Antivirus Certificado SSL WAF Contraseñas Monitores y escáneres Actualizaciones Plugins y Temas 19 #WCZGZ - 2020 - Nestor Angulo (@pharar)
#WCZGZ - 2020 - Nestor Angulo (@pharar) 20
#WCZGZ - 2020 - Nestor Angulo (@pharar) 21
#WCZGZ - 2020 - Nestor Angulo (@pharar) 22
#WCZGZ - 2020 - Nestor Angulo (@pharar) 23
Las debilidades 24 • Tú eres el punto más débil • Puedes ser engañado • Contraseñas • Vulnerables a ataques de fuerza bruta • Restos • Ejemplo: Admin users, FTP users • Software desactualizado/vulnerable • Ej: Activados/desactivados plugins/temas • Conexiones no seguras (evitar puntos Wifi públicos) • Vulnerables a ataques Man-In-the-Middle #WCZGZ - 2020 - Nestor Angulo (@pharar)
Hacking WordPress. El Proceso #WCZGZ - 2020 - Nestor Angulo (@pharar) 25
Hacking WordPress. El Proceso 26 #WCZGZ-2020-NestorAngulo(@pharar) Vulnerabilidad -> Exploit Inyección Código Final Backdoor Spam / defacement BotNode Código final
Buscando la vulnerabilidad #WCZGZ - 2020 - Nestor Angulo (@pharar) 27
Google Hacking Database exploit-db.com/ google-hacking- database #WCZGZ - 2020 - Nestor Angulo (@pharar) 28
WPScan Vulnerability Database wpvulndb.com #WCZGZ - 2020 - Nestor Angulo (@pharar) 29
Ej1: Usando Google Hacking DB 30
Ej1: Usando Google Hacking DB 31
Ej2: Usando Google Hacking DB 32
Ej2: Usando Google Hacking DB 33
Ej3: Utilizando la WPVULNDB 34
Ej3: Utilizando la WPVULNDB 35
Ej3: Utilizando la WPVULNDB 36
Ej3: Utilizando laWPVULNDB • La WordPress REST API se activó por defecto en la version 4.7.0 y 4.7.1 • Venía con un bug (fallo) que permitía modificar cualquier Posts por visitantes • Se hizo un Disclosure (artículo de revelación) desde Sucuri conjunto con WordPress y los más importantes empresas de hosting del mundo. • Hubo cientos de miles de infectados que no actualizaron. 37
Ej3: Utilizando la WPVULNDB 38
Que pasaría si… #WCZGZ - 2020 - Nestor Angulo (@pharar) 39
Defacements #WCZGZ - 2020 - Nestor Angulo (@pharar) 40
Defacements #WCZGZ - 2020 - Nestor Angulo (@pharar) 41
Example 1: Galería de fotografía #WCZGZ - 2020 - Nestor Angulo (@pharar) 42
#WCZGZ - 2020 - Nestor Angulo (@pharar) 43
#WCZGZ - 2020 - Nestor Angulo (@pharar) 44
Example 2: Tienda on-line de comida #WCZGZ - 2020 - Nestor Angulo (@pharar) 45
#WCZGZ - 2020 - Nestor Angulo (@pharar) 46
#WCZGZ - 2020 - Nestor Angulo (@pharar) 47
#WCZGZ - 2020 - Nestor Angulo (@pharar) 48
Black Hat SEO #WCZGZ - 2020 - Nestor Angulo (@pharar) 49
#WCZGZ - 2020 - Nestor Angulo (@pharar) 50
#WCZGZ - 2020 - Nestor Angulo (@pharar) 51
#WCZGZ - 2020 - Nestor Angulo (@pharar) 52
#WCZGZ - 2020 - Nestor Angulo (@pharar) 53
DDoS Attacks / BotNets #WCZGZ - 2020 - Nestor Angulo (@pharar) 54
Normal, tending to calm #WCZGZ - 2020 - Nestor Angulo (@pharar) 55
#WCZGZ - 2020 - Nestor Angulo (@pharar) 56
#WCZGZ - 2020 - Nestor Angulo (@pharar) 57
Reactivas vs Proactivas Nuestras defensas #WCZGZ - 2020 - Nestor Angulo (@pharar) 58
Personajes en esta historia (si pasa algo) #WCZGZ - 2020 - Nestor Angulo (@pharar) 59 Tu sitio Dueño / Admins Desarrollador & Diseñador Usuarios/clientes Proveedor Hosting Agentes / C3 Soporte & Backups Experto en Seguridad Departamento interno Servicios externos
Medidas: Reactivas vs Proactivas #WCZGZ - 2020 - Nestor Angulo (@pharar) 60 Reactiva: Cuando ya ha pasado algo malo Mitigación de daños Proactiva: Antes de que pase lo malo Mitigación de riesgos
Medidas Reactivas #WCZGZ - 2020 - Nestor Angulo (@pharar) 61 Escanea tu sitio Status: Sitecheck.sucuri.net Blacklist: Virustotal.com CEC: Comprueba, Elimina y Cambia Actualiza Restaura una copia de seguridad
62 #WCZGZ-2020-NestorAngulo(@pharar)
Medidas Proactivas #WCZGZ - 2020 - Nestor Angulo (@pharar) 63 Reducir administradores, plugins y plantillas Copias de seguridad Actualizaciones Invertir en un buen Hosting y en Seguridad Web Application Firewall
A Más puertas, Más riesgo #WCZGZ - 2020 - Nestor Angulo (@pharar) 64 “Al César lo que es del César” Administración con el Admin, el resto, una cuenta limitada. A más administradores, plugins y temas, más riesgo (incluso deshabilitados) TODAS las contraseñas de usuarios deben ser únicas y fuertes (Si se puede con 2FA) Aplicado a todas las capas (wp-admin, [S]FTP, cPanel, db, …)
Actualizaciones 65 Source: Web Professional Security Survey 2019 – Sucuri.net
Recuerde invertir en #WCZGZ - 2020 - Nestor Angulo (@pharar) 66 SEGURIDAD HOSTING
Hosting (Alojamiento) #WCZGZ - 2020 - Nestor Angulo (@pharar) 67 PRIMERA CAPA DE LA DEFENSA DE VUESTRO SITIO EQUILIBRIO ENTRE PRECIO Y CARACTERÍSTICAS A CARGO DE LOS SERVICIOS, BASE DE DATOS Y MANTENIMIENTO DEL SERVIDOR
Alojamiento compartido vs Dedicado
#WCZGZ - 2020 - Nestor Angulo (@pharar) 69 Fuente: 2019 Sucuri survey to ecommerce owners.
WAF Tu perro de Guarda #WCZGZ - 2020 - Nestor Angulo (@pharar) 70 Filtra todo el Tráfico web Protege de ataques XSS, DDoS, … Parchea virtualmente una gran cantidad de vulnerabilidades conocidas Si incluye CDN, mejora la velocidad y rendimiento Herramienta de análisis forense Permite bloqueo manual
WAF Tu perro de Guarda #WCZGZ - 2020 - Nestor Angulo (@pharar) 71 Filtra todo el Tráfico web Protege de ataques XSS, DDoS, … Parchea virtualmente una gran cantidad de vulnerabilidades conocidas Si incluye CDN, mejora la velocidad y rendimiento Herramienta de análisis forense Permite bloqueo manual
#WCZGZ - 2020 - Nestor Angulo (@pharar) 72
#WCZGZ - 2020 - Nestor Angulo (@pharar) 73
¡GRACIAS! ¿PREGUNTAS? #WCZGZ - 2020 - Nestor Angulo (@pharar) 74 @pharar #WCZGZ 2020

Recommended

[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...
[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...
[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...Iván Portillo
 
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...Iván Portillo
 
Roberto Amado - Threat Hunting - Cazando grupos APT [rootedvlc2019]
Roberto Amado - Threat Hunting - Cazando grupos APT [rootedvlc2019]Roberto Amado - Threat Hunting - Cazando grupos APT [rootedvlc2019]
Roberto Amado - Threat Hunting - Cazando grupos APT [rootedvlc2019]RootedCON
 
[2020] FluCON - Explorando a tu adversario con OSINT - Iván Portillo
[2020] FluCON - Explorando a tu adversario con OSINT - Iván Portillo[2020] FluCON - Explorando a tu adversario con OSINT - Iván Portillo
[2020] FluCON - Explorando a tu adversario con OSINT - Iván PortilloIván Portillo
 
Hacking a sistemas CMS
Hacking a sistemas CMSHacking a sistemas CMS
Hacking a sistemas CMSzekivazquez
 
Paúl Santapau - Actualizando DevOps a SecDevOps [rooted2017]
Paúl Santapau - Actualizando DevOps a SecDevOps [rooted2017]Paúl Santapau - Actualizando DevOps a SecDevOps [rooted2017]
Paúl Santapau - Actualizando DevOps a SecDevOps [rooted2017]RootedCON
 
Hackers (blackhat) vs WordPress - Defenderse del anonimato WPCórdoba 2013
Hackers (blackhat) vs WordPress - Defenderse del anonimato WPCórdoba 2013Hackers (blackhat) vs WordPress - Defenderse del anonimato WPCórdoba 2013
Hackers (blackhat) vs WordPress - Defenderse del anonimato WPCórdoba 2013miguel_arroyo76
 
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]RootedCON
 

Recommended

[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...
[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...
[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...Iván Portillo
 
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...Iván Portillo
 
Roberto Amado - Threat Hunting - Cazando grupos APT [rootedvlc2019]
Roberto Amado - Threat Hunting - Cazando grupos APT [rootedvlc2019]Roberto Amado - Threat Hunting - Cazando grupos APT [rootedvlc2019]
Roberto Amado - Threat Hunting - Cazando grupos APT [rootedvlc2019]RootedCON
 
[2020] FluCON - Explorando a tu adversario con OSINT - Iván Portillo
[2020] FluCON - Explorando a tu adversario con OSINT - Iván Portillo[2020] FluCON - Explorando a tu adversario con OSINT - Iván Portillo
[2020] FluCON - Explorando a tu adversario con OSINT - Iván PortilloIván Portillo
 
Hacking a sistemas CMS
Hacking a sistemas CMSHacking a sistemas CMS
Hacking a sistemas CMSzekivazquez
 
Paúl Santapau - Actualizando DevOps a SecDevOps [rooted2017]
Paúl Santapau - Actualizando DevOps a SecDevOps [rooted2017]Paúl Santapau - Actualizando DevOps a SecDevOps [rooted2017]
Paúl Santapau - Actualizando DevOps a SecDevOps [rooted2017]RootedCON
 
Hackers (blackhat) vs WordPress - Defenderse del anonimato WPCórdoba 2013
Hackers (blackhat) vs WordPress - Defenderse del anonimato WPCórdoba 2013Hackers (blackhat) vs WordPress - Defenderse del anonimato WPCórdoba 2013
Hackers (blackhat) vs WordPress - Defenderse del anonimato WPCórdoba 2013miguel_arroyo76
 
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]RootedCON
 
Me han Hackeado... ¿Y ahora qué?
Me han Hackeado... ¿Y ahora qué?Me han Hackeado... ¿Y ahora qué?
Me han Hackeado... ¿Y ahora qué?Nestor Angulo de Ugarte
 
Backdoor: El Bueno, El Feo y el Malo
Backdoor: El Bueno, El Feo y el MaloBackdoor: El Bueno, El Feo y el Malo
Backdoor: El Bueno, El Feo y el MaloNestor Angulo de Ugarte
 
WordCamp Madrid CSI: El caso de las Backdoors
WordCamp Madrid CSI: El caso de las BackdoorsWordCamp Madrid CSI: El caso de las Backdoors
WordCamp Madrid CSI: El caso de las BackdoorsNestor Angulo de Ugarte
 
Limpiar Sitios Hackeados
Limpiar Sitios HackeadosLimpiar Sitios Hackeados
Limpiar Sitios HackeadosNestor Angulo de Ugarte
 
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcidoTotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcidoFrancisco Javier Barrena
 
NoCONName 2014 (Ncn2k14) Abraham Pasamar - Desmitificando el AntiVirus
NoCONName 2014 (Ncn2k14) Abraham Pasamar - Desmitificando el AntiVirusNoCONName 2014 (Ncn2k14) Abraham Pasamar - Desmitificando el AntiVirus
NoCONName 2014 (Ncn2k14) Abraham Pasamar - Desmitificando el AntiVirusINCIDE
 
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]RootedCON
 
Smart Grids y ciberseguridad
Smart Grids y ciberseguridadSmart Grids y ciberseguridad
Smart Grids y ciberseguridadFernando Tricas García
 
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataquesWelcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataquesFrancisco Javier Barrena
 
Eres más hackeable de lo que piensas
Eres más hackeable de lo que piensasEres más hackeable de lo que piensas
Eres más hackeable de lo que piensasRoberto Garcia Amoriz
 
Eres más hackeable de lo que crees
Eres más hackeable de lo que creesEres más hackeable de lo que crees
Eres más hackeable de lo que creesRober Garamo
 
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)Iván Portillo
 
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Francisco Javier Barrena
 
Navaja negra 2014_nn4ed_abraham_pasamar-desmitificando_el_anti_virus
Navaja negra 2014_nn4ed_abraham_pasamar-desmitificando_el_anti_virusNavaja negra 2014_nn4ed_abraham_pasamar-desmitificando_el_anti_virus
Navaja negra 2014_nn4ed_abraham_pasamar-desmitificando_el_anti_virusINCIDE
 
Alta seguridad para clusters críticos
Alta seguridad para clusters críticosAlta seguridad para clusters críticos
Alta seguridad para clusters críticosJaime Restrepo
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraInternet Security Auditors
 
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Cristián Rojas, MSc., CSSLP
 
Crackers: Tecnicas y Tacticas
Crackers: Tecnicas y Tacticas Crackers: Tecnicas y Tacticas
Crackers: Tecnicas y Tacticas Edwin R. Grullon Aybar
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datosjosecuartas
 
Desarrollo de software y criptografía, ¿cómo proteger los datos en nuestras a...
Desarrollo de software y criptografía, ¿cómo proteger los datos en nuestras a...Desarrollo de software y criptografía, ¿cómo proteger los datos en nuestras a...
Desarrollo de software y criptografía, ¿cómo proteger los datos en nuestras a...Software Guru
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 

More Related Content

Similar to Hacking WordPress. El Arte de La Guerra.

WordCamp Madrid CSI: El caso de las Backdoors
WordCamp Madrid CSI: El caso de las BackdoorsWordCamp Madrid CSI: El caso de las Backdoors
WordCamp Madrid CSI: El caso de las BackdoorsNestor Angulo de Ugarte
 
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcidoTotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcidoFrancisco Javier Barrena
 
NoCONName 2014 (Ncn2k14) Abraham Pasamar - Desmitificando el AntiVirus
NoCONName 2014 (Ncn2k14) Abraham Pasamar - Desmitificando el AntiVirusNoCONName 2014 (Ncn2k14) Abraham Pasamar - Desmitificando el AntiVirus
NoCONName 2014 (Ncn2k14) Abraham Pasamar - Desmitificando el AntiVirusINCIDE
 
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]RootedCON
 
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataquesWelcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataquesFrancisco Javier Barrena
 
Eres más hackeable de lo que piensas
Eres más hackeable de lo que piensasEres más hackeable de lo que piensas
Eres más hackeable de lo que piensasRoberto Garcia Amoriz
 
Eres más hackeable de lo que crees
Eres más hackeable de lo que creesEres más hackeable de lo que crees
Eres más hackeable de lo que creesRober Garamo
 
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)Iván Portillo
 
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Francisco Javier Barrena
 
Navaja negra 2014_nn4ed_abraham_pasamar-desmitificando_el_anti_virus
Navaja negra 2014_nn4ed_abraham_pasamar-desmitificando_el_anti_virusNavaja negra 2014_nn4ed_abraham_pasamar-desmitificando_el_anti_virus
Navaja negra 2014_nn4ed_abraham_pasamar-desmitificando_el_anti_virusINCIDE
 
Alta seguridad para clusters críticos
Alta seguridad para clusters críticosAlta seguridad para clusters críticos
Alta seguridad para clusters críticosJaime Restrepo
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraInternet Security Auditors
 
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Cristián Rojas, MSc., CSSLP
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datosjosecuartas
 
Desarrollo de software y criptografía, ¿cómo proteger los datos en nuestras a...
Desarrollo de software y criptografía, ¿cómo proteger los datos en nuestras a...Desarrollo de software y criptografía, ¿cómo proteger los datos en nuestras a...
Desarrollo de software y criptografía, ¿cómo proteger los datos en nuestras a...Software Guru
 

Similar to Hacking WordPress. El Arte de La Guerra. (20)

Me han Hackeado... ¿Y ahora qué?
Me han Hackeado... ¿Y ahora qué?Me han Hackeado... ¿Y ahora qué?
Me han Hackeado... ¿Y ahora qué?
 
Backdoor: El Bueno, El Feo y el Malo
Backdoor: El Bueno, El Feo y el MaloBackdoor: El Bueno, El Feo y el Malo
Backdoor: El Bueno, El Feo y el Malo
 
WordCamp Madrid CSI: El caso de las Backdoors
WordCamp Madrid CSI: El caso de las BackdoorsWordCamp Madrid CSI: El caso de las Backdoors
WordCamp Madrid CSI: El caso de las Backdoors
 
Limpiar Sitios Hackeados
Limpiar Sitios HackeadosLimpiar Sitios Hackeados
Limpiar Sitios Hackeados
 
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcidoTotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
 
NoCONName 2014 (Ncn2k14) Abraham Pasamar - Desmitificando el AntiVirus
NoCONName 2014 (Ncn2k14) Abraham Pasamar - Desmitificando el AntiVirusNoCONName 2014 (Ncn2k14) Abraham Pasamar - Desmitificando el AntiVirus
NoCONName 2014 (Ncn2k14) Abraham Pasamar - Desmitificando el AntiVirus
 
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
 
Smart Grids y ciberseguridad
Smart Grids y ciberseguridadSmart Grids y ciberseguridad
Smart Grids y ciberseguridad
 
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataquesWelcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
 
Eres más hackeable de lo que piensas
Eres más hackeable de lo que piensasEres más hackeable de lo que piensas
Eres más hackeable de lo que piensas
 
Eres más hackeable de lo que crees
Eres más hackeable de lo que creesEres más hackeable de lo que crees
Eres más hackeable de lo que crees
 
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
 
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
 
Navaja negra 2014_nn4ed_abraham_pasamar-desmitificando_el_anti_virus
Navaja negra 2014_nn4ed_abraham_pasamar-desmitificando_el_anti_virusNavaja negra 2014_nn4ed_abraham_pasamar-desmitificando_el_anti_virus
Navaja negra 2014_nn4ed_abraham_pasamar-desmitificando_el_anti_virus
 
Alta seguridad para clusters críticos
Alta seguridad para clusters críticosAlta seguridad para clusters críticos
Alta seguridad para clusters críticos
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
 
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
 
Crackers: Tecnicas y Tacticas
Crackers: Tecnicas y Tacticas Crackers: Tecnicas y Tacticas
Crackers: Tecnicas y Tacticas
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datos
 
Desarrollo de software y criptografía, ¿cómo proteger los datos en nuestras a...
Desarrollo de software y criptografía, ¿cómo proteger los datos en nuestras a...Desarrollo de software y criptografía, ¿cómo proteger los datos en nuestras a...
Desarrollo de software y criptografía, ¿cómo proteger los datos en nuestras a...
 

Recently uploaded

guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 

Recently uploaded (10)

guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 

Hacking WordPress. El Arte de La Guerra.

  • 1. Hacking WordPress El Arte de la Guerra: En la mente de tu enemigo Néstor Angulo de Ugarte (@pharar)
  • 2. Quién les habla • Un chico muy curioso … a veces más que un gato. • Ingeniero informático y consultor tecnológico • 2015: Analista de Seguridad @ Sucuri • 2017: ATS & Managed SSL @ GoDaddy Security • 2019: Interim Head Of IT @ GoDaddy Spain #WCZGZ - 2020 - Nestor Angulo (@pharar) 2
  • 3. Sobre • Sucuri: Anaconda (No Securi / Security) • Website security • Fully remote (personas > 25 paises) • 2008: Fundación • 2017: Entra en la familia GoDaddy • Free scanners: • Sitecheck (sitecheck.sucuri.net) • Performance (performance.sucuri.net) #WCZGZ - 2020 - Nestor Angulo (@pharar)
  • 4. #WCZGZ - 2020 - Nestor Angulo (@pharar) 4
  • 5. Conceptos Algo de contexto
  • 6. DISCLAIMER #WCZGZ - 2020 - Nestor Angulo (@pharar) Toda información sensible ha sido protegida o encriptada para preservar la privacidad. Cualquier similitud con la realidad es una coincidencia. Soy responsable de lo que digo, no de lo que interpretéis. Contenido con intención DIDÁCTICA, NO SE PROMUEVE ningún proceso de hacking de tipo ilegal. En caso de duda, preguntar siempre a vuestro EXPERTO de SEGURIDAD. 6
  • 7. #WCZGZ - 2020 - Nestor Angulo (@pharar) 7
  • 8. #WCZGZ - 2020 - Nestor Angulo (@pharar) 8
  • 9. Malware #WCZGZ - 2020 - Nestor Angulo (@pharar) 9 Varios tipos: Backdoors, zero-day Exploits Troyanos, Fremium plugins Ransomware , Spyware Adware, Scareware … Software intencionadamente diseñado para causar daños a ordenadores, usuarios o redes de comunicaciones.
  • 10. Definiciones • Vulnerabilidad • Error en el código o posibilidad de utilización malintencionada de un recurso que puede ser explotado para realizar actividad no autorizada en un sistema informático. • Exploit • Programa que aprovecha una vulnerabilidad • Backdoor • Malware que permite ejecución remota de código #WCZGZ - 2020 - Nestor Angulo (@pharar) 10
  • 11. HACKER VS Ciberterrorista #WCZGZ - 2020 - Nestor Angulo (@pharar) 11 Hacker: Persona curiosa que le gusta ir más allá de los límites y convencionalismos. Ciberterrorista / Cracker: Hacker informático, cuyo objetivo es siempre enriquecerse en una situación juego de suma cero.
  • 12. Tipos de Hacker • Black Hat Ciberterrorista, Ladrón, el chico malo. • Grey Hat White Hat Hacker que utiliza métodos ilegales. • White Hat Analista de seguridad, Hacker ético. #WCZGZ - 2020 - Nestor Angulo (@pharar) 12
  • 13. Seguridad: Modelo por capas simplificado #WCZGZ - 2020 - Nestor Angulo (@pharar) 13 Capa Protección Tú, la capa más débil Conocimiento Tu dispositivo Antivirus Tu conexión SSL Tu sitio web WAF Tus credenciales Contraseñas fuertes, 2FA La seguridad de tu sitio monitor, plugins, updates La seguridad del server monitor, sysadmin, updates La base de datos monitor, sysadmin Tareas de mantenimiento
  • 14. FACTS #WCZGZ - 2020 - Nestor Angulo (@pharar) 14 Un hackeo prácticamente nunca es orientado a un cliente (98% of cases) Casi siempre ocurre debido a un control y mantenimiento deficientes Un certificado SSL no es un escudo anti-hacking Los parches de seguridad y actualizaciones aparecen normalmente después de descubrirse la existencia de exploits Errare Humanum Est La Seguridad nunca garantiza (ni lo hará) un 100% de efectividad
  • 15. FACTS Fuente: Website Hack Trend Report 2018 – sucuri.net #WCZGZ - 2020 - Nestor Angulo (@pharar) 15 … Y 1 de cada 3 sitios webs en Internet utiliza WordPress O 2 de cada 3 si hablamos de los sitios web que usan un CMS
  • 16. El Arte de la Guerra En la mente de tu enemigo #WCZGZ - 2020 - Nestor Angulo (@pharar) 16
  • 17. El Arte de la guerra 17 • Tratado chino sobre tácticas y estrategias en la Guerra (Sun Tzu) • Separado en 13 capítulos “Si conoces a tu enemigo y te conoces a ti, no puedes perder una batalla” “Toda batalla se basa en el engaño” ”La mayor victoria es vencer sin combatir”
  • 18. Tu fortaleza 18 Usuarios Base de datos Contenido Infraestructura Bot Net Reputación #WCZGZ - 2020 - Nestor Angulo (@pharar)
  • 19. Tu Muralla Antivirus Certificado SSL WAF Contraseñas Monitores y escáneres Actualizaciones Plugins y Temas 19 #WCZGZ - 2020 - Nestor Angulo (@pharar)
  • 20. #WCZGZ - 2020 - Nestor Angulo (@pharar) 20
  • 21. #WCZGZ - 2020 - Nestor Angulo (@pharar) 21
  • 22. #WCZGZ - 2020 - Nestor Angulo (@pharar) 22
  • 23. #WCZGZ - 2020 - Nestor Angulo (@pharar) 23
  • 24. Las debilidades 24 • Tú eres el punto más débil • Puedes ser engañado • Contraseñas • Vulnerables a ataques de fuerza bruta • Restos • Ejemplo: Admin users, FTP users • Software desactualizado/vulnerable • Ej: Activados/desactivados plugins/temas • Conexiones no seguras (evitar puntos Wifi públicos) • Vulnerables a ataques Man-In-the-Middle #WCZGZ - 2020 - Nestor Angulo (@pharar)
  • 25. Hacking WordPress. El Proceso #WCZGZ - 2020 - Nestor Angulo (@pharar) 25
  • 26. Hacking WordPress. El Proceso 26 #WCZGZ-2020-NestorAngulo(@pharar) Vulnerabilidad -> Exploit Inyección Código Final Backdoor Spam / defacement BotNode Código final
  • 27. Buscando la vulnerabilidad #WCZGZ - 2020 - Nestor Angulo (@pharar) 27
  • 37. Ej3: Utilizando laWPVULNDB • La WordPress REST API se activó por defecto en la version 4.7.0 y 4.7.1 • Venía con un bug (fallo) que permitía modificar cualquier Posts por visitantes • Se hizo un Disclosure (artículo de revelación) desde Sucuri conjunto con WordPress y los más importantes empresas de hosting del mundo. • Hubo cientos de miles de infectados que no actualizaron. 37
  • 39. Que pasaría si… #WCZGZ - 2020 - Nestor Angulo (@pharar) 39
  • 40. Defacements #WCZGZ - 2020 - Nestor Angulo (@pharar) 40
  • 41. Defacements #WCZGZ - 2020 - Nestor Angulo (@pharar) 41
  • 42. Example 1: Galería de fotografía #WCZGZ - 2020 - Nestor Angulo (@pharar) 42
  • 43. #WCZGZ - 2020 - Nestor Angulo (@pharar) 43
  • 44. #WCZGZ - 2020 - Nestor Angulo (@pharar) 44
  • 45. Example 2: Tienda on-line de comida #WCZGZ - 2020 - Nestor Angulo (@pharar) 45
  • 46. #WCZGZ - 2020 - Nestor Angulo (@pharar) 46
  • 47. #WCZGZ - 2020 - Nestor Angulo (@pharar) 47
  • 48. #WCZGZ - 2020 - Nestor Angulo (@pharar) 48
  • 49. Black Hat SEO #WCZGZ - 2020 - Nestor Angulo (@pharar) 49
  • 50. #WCZGZ - 2020 - Nestor Angulo (@pharar) 50
  • 51. #WCZGZ - 2020 - Nestor Angulo (@pharar) 51
  • 52. #WCZGZ - 2020 - Nestor Angulo (@pharar) 52
  • 53. #WCZGZ - 2020 - Nestor Angulo (@pharar) 53
  • 54. DDoS Attacks / BotNets #WCZGZ - 2020 - Nestor Angulo (@pharar) 54
  • 55. Normal, tending to calm #WCZGZ - 2020 - Nestor Angulo (@pharar) 55
  • 56. #WCZGZ - 2020 - Nestor Angulo (@pharar) 56
  • 57. #WCZGZ - 2020 - Nestor Angulo (@pharar) 57
  • 58. Reactivas vs Proactivas Nuestras defensas #WCZGZ - 2020 - Nestor Angulo (@pharar) 58
  • 59. Personajes en esta historia (si pasa algo) #WCZGZ - 2020 - Nestor Angulo (@pharar) 59 Tu sitio Dueño / Admins Desarrollador & Diseñador Usuarios/clientes Proveedor Hosting Agentes / C3 Soporte & Backups Experto en Seguridad Departamento interno Servicios externos
  • 60. Medidas: Reactivas vs Proactivas #WCZGZ - 2020 - Nestor Angulo (@pharar) 60 Reactiva: Cuando ya ha pasado algo malo Mitigación de daños Proactiva: Antes de que pase lo malo Mitigación de riesgos
  • 61. Medidas Reactivas #WCZGZ - 2020 - Nestor Angulo (@pharar) 61 Escanea tu sitio Status: Sitecheck.sucuri.net Blacklist: Virustotal.com CEC: Comprueba, Elimina y Cambia Actualiza Restaura una copia de seguridad
  • 63. Medidas Proactivas #WCZGZ - 2020 - Nestor Angulo (@pharar) 63 Reducir administradores, plugins y plantillas Copias de seguridad Actualizaciones Invertir en un buen Hosting y en Seguridad Web Application Firewall
  • 64. A Más puertas, Más riesgo #WCZGZ - 2020 - Nestor Angulo (@pharar) 64 “Al César lo que es del César” Administración con el Admin, el resto, una cuenta limitada. A más administradores, plugins y temas, más riesgo (incluso deshabilitados) TODAS las contraseñas de usuarios deben ser únicas y fuertes (Si se puede con 2FA) Aplicado a todas las capas (wp-admin, [S]FTP, cPanel, db, …)
  • 66. Recuerde invertir en #WCZGZ - 2020 - Nestor Angulo (@pharar) 66 SEGURIDAD HOSTING
  • 67. Hosting (Alojamiento) #WCZGZ - 2020 - Nestor Angulo (@pharar) 67 PRIMERA CAPA DE LA DEFENSA DE VUESTRO SITIO EQUILIBRIO ENTRE PRECIO Y CARACTERÍSTICAS A CARGO DE LOS SERVICIOS, BASE DE DATOS Y MANTENIMIENTO DEL SERVIDOR
  • 69. #WCZGZ - 2020 - Nestor Angulo (@pharar) 69 Fuente: 2019 Sucuri survey to ecommerce owners.
  • 70. WAF Tu perro de Guarda #WCZGZ - 2020 - Nestor Angulo (@pharar) 70 Filtra todo el Tráfico web Protege de ataques XSS, DDoS, … Parchea virtualmente una gran cantidad de vulnerabilidades conocidas Si incluye CDN, mejora la velocidad y rendimiento Herramienta de análisis forense Permite bloqueo manual
  • 71. WAF Tu perro de Guarda #WCZGZ - 2020 - Nestor Angulo (@pharar) 71 Filtra todo el Tráfico web Protege de ataques XSS, DDoS, … Parchea virtualmente una gran cantidad de vulnerabilidades conocidas Si incluye CDN, mejora la velocidad y rendimiento Herramienta de análisis forense Permite bloqueo manual
  • 72. #WCZGZ - 2020 - Nestor Angulo (@pharar) 72
  • 73. #WCZGZ - 2020 - Nestor Angulo (@pharar) 73
  • 74. ¡GRACIAS! ¿PREGUNTAS? #WCZGZ - 2020 - Nestor Angulo (@pharar) 74 @pharar #WCZGZ 2020