Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017...
Transcript of Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017...
![Page 1: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/1.jpg)
Seguridad en WordPressWPHardening
/ Daniel Maldonado @elcodigok
![Page 2: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/2.jpg)
![Page 3: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/3.jpg)
Daniel MaldonadoIng. en Computación, Analista de Sistemas y Técnico
Informático, SysAdmin, Certificado TecnologíasMikroTik, Consultor de Seguridad y Activista del
So�ware Libre
![Page 6: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/6.jpg)
27.9%de toda la web
![Page 7: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/7.jpg)
+49.800Plugins
![Page 8: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/8.jpg)
+18.000Themes
![Page 9: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/9.jpg)
111.000 base de datos de Wordpresspúblicas13/03/2014
![Page 10: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/10.jpg)
vulnerabilidad 0-day en el scriptTimThumb
25/06/2014
![Page 11: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/11.jpg)
Ataques de fuerza bruta en Wordpressutilizando XML-RPC
28/07/2014
![Page 12: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/12.jpg)
Exploit for stealing backups on WP siteswith WP-DB-Backup v2.2.4 plugin
22/11/2014
![Page 13: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/13.jpg)
06/12/2016 se publica WordPress 4.711/01/2017 v4.7.1 corrige 8 fallos de Seguridad.
26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.
06/03/2017 v4.7.3 corrige 6 fallos de Seguridad.
20/04/2017 v4.7.4.
![Page 14: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/14.jpg)
Seguridad Informática
![Page 15: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/15.jpg)
El Principio KISS... las cosas simples y fáciles de entender suelen tener
mejor aceptación que las complejas ...
![Page 16: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/16.jpg)
Leyes de FortificaciónMínimo Punto de Exposición (MPE)
Mínimo Privilegio Posible (MPP)
Defensa en Profundidad (DP)
![Page 17: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/17.jpg)
Configurar WordPress al extremo
![Page 18: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/18.jpg)
Configurar la Base de datos
llevarlo fuera del proyecto
define('DB_NAME', 'NombreBaseDeDatos'); define('DB_USER', 'UsuarioBaseDeDatos'); define('DB_PASSWORD', 'contrasena'); define('DB_HOST', 'localhost'); define('DB_CHARSET', 'utf8');
![Page 19: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/19.jpg)
Modificar el prefix de tablas$table_prefix = 'wph419_';
![Page 20: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/20.jpg)
Agregar un firewalllimitar conexiones en .htaccess
![Page 21: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/21.jpg)
Limitar la memoriadefine('WP_MEMORY_LIMIT', '64M');
![Page 22: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/22.jpg)
Descativar wp-cron.phpdefine('DISABLE_WP_CRON', false);
![Page 23: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/23.jpg)
Forzar el uso de Certificados SSLdefine('FORCE_SSL_LOGIN', true); define('FORCE_SSL_ADMIN', true);
![Page 24: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/24.jpg)
Cambiar los permisos enArchivos y Directorios
![Page 25: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/25.jpg)
Desactivar el Debugging modedefine('WP_DEBUG', false);
![Page 26: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/26.jpg)
Evitar la navegación porDirectorios
![Page 27: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/27.jpg)
Analizar código estático dePlugins y Themes
![Page 28: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/28.jpg)
Desactivar la edición de Plugins yThemes
define('DISALLOW_FILE_EDIT', true);
![Page 29: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/29.jpg)
Seguridad
![Page 30: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/30.jpg)
Evitar Fingerprinting
![Page 31: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/31.jpg)
Evitar Enumeración
![Page 32: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/32.jpg)
Reparar Full Path Disclosure
![Page 33: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/33.jpg)
Escaneo de Malware
![Page 34: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/34.jpg)
Inventario de librería
![Page 35: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/35.jpg)
Modificar archivos estáticos*.css y *.js
![Page 36: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/36.jpg)
Políticas de Actualización
![Page 37: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/37.jpg)
ActualizacionesCore de WordPress 4.7.4PluginsThemesComponente de los Themes
![Page 38: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/38.jpg)
Entorno de Producción yDesarrollo
![Page 39: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/39.jpg)
Ejecutar las Actualizaciones
![Page 40: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/40.jpg)
Documentar las ActualizaciónFecha y Hora de ActualizaciónResponsable de la ActualizaciónComponentes ActualizadosNuevas Versiones
![Page 41: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/41.jpg)
WPHardening
![Page 42: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/42.jpg)
WPHardeningHerramienta de línea de comando *UNIXEscrita en Lenguaje Python 2.7Licencia GPLv3Automatización de CambiosGenerador de ArchivoVersión estable v1.5
![Page 43: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/43.jpg)
v1.6
![Page 44: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/44.jpg)
WPHardening1. Validación de Proyecto WordPress2. Asignación de Permisos3. Eliminación de Componentes4. Creación de robots.txt5. Eliminación de Fingerprinting6. Búsqueda de librerías TimThumb7. Generador de Archivo de Configuración8. Eliminación de Versión9. Plugins de Seguridad
10. Creación de archivos Index11. Escaneo de Malware
![Page 45: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/45.jpg)
WPHardening v1.61. Compresión *.css y *.js2. Asignación de Usuario y Grupos3. Enumeración de malware4. Integración con Travis CI5. Compatibilidad con versiones anteriores6. Codigo fuente normalizado a PEP87. Creación de Archivo LOG8. Implementación de 6G Firewall9. Desactivar REST API
![Page 46: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/46.jpg)
Como obtener WPHardening$ git clone https://github.com/elcodigok/wphardening.git
![Page 47: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/47.jpg)
DEMO
![Page 48: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/48.jpg)
Chequear un Proyecto enWordPress
$ ./wphardening.py -d /home/path/wordpress -v
![Page 49: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/49.jpg)
Cambiar permisos en Archivos yDirectorios
$ ./wphardening.py -d /home/path/wordpress --chmod -v
![Page 50: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/50.jpg)
Eliminar Archivos que no seutilizan
$ ./wphardening.py -d /home/path/wordpress --remove -v
![Page 51: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/51.jpg)
Generador de Archivo Robots.txt$ ./wphardening.py -d /home/path/wordpress --robots -v
![Page 52: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/52.jpg)
Remover todos los Fingerprinting$ ./wphardening.py -d /home/path/wordpress --fingerprinting -v
![Page 53: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/53.jpg)
Chequear librería TimThumb$ ./wphardening.py -d /home/path/wordpress --timthumb -v
![Page 54: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/54.jpg)
Creación de Archivos Index$ ./wphardening.py -d /home/path/wordpress --indexes -v
![Page 55: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/55.jpg)
Descarga de PluginsRecomendados
$ ./wphardening.py -d /home/path/wordpress --plugins
![Page 56: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/56.jpg)
Generador del Archivo wp-config.php
$ ./wphardening.py -d /home/path/wordpress --wp-config
![Page 57: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/57.jpg)
Eliminación de Versión deWordPress
$ ./wphardening.py -d /home/path/wordpress --delete-version -v
![Page 58: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/58.jpg)
Combinando todas las opciones$ ./wphardening.py -d /home/user/wordpress -c -r -f -t --wp-config --
![Page 59: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/59.jpg)
Mecanismo de Monitoreo
![Page 60: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/60.jpg)
Análisis Cualitativo yCuantitativo
![Page 61: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/61.jpg)
Control de Versiones
![Page 62: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/62.jpg)
Adoptar metodologías de
Desarrollo
![Page 63: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/63.jpg)
Entornos de Prueba y
Entornos de Producción
![Page 64: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/64.jpg)
BACKUPS... el 47% de las empresas nunca realiza copias
de seguridad de sus datos ...
![Page 65: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/65.jpg)
Conclusiones.
![Page 66: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/66.jpg)
Revisar las Configuraciones
![Page 67: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/67.jpg)
Ejecutar las Actualizaciones
![Page 68: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/68.jpg)
Plan de Backup
![Page 69: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/69.jpg)
Está TODO por hacer
![Page 70: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/70.jpg)
I + DInvestigación + desarrollo
![Page 72: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/72.jpg)
Buscar ...Niveles de Seguridad Aceptables
![Page 74: Seguridad en WordPress WPHardening - owasp.org · 06/12/2016 se publica WordPress 4.7 11/01/2017 v4.7.1 corrige 8 fallos de Seguridad. 26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.](https://reader034.fdocuments.us/reader034/viewer/2022042300/5ecab9e14737b473d609d5a2/html5/thumbnails/74.jpg)
Instalación en 5'Instalación Segura en 7'