Esto de la ciberseguridad está muy bien. Pero hablando en plata… ¿cómo y por dónde empiezo? Suena a chino.”
Esta es una de las cuestiones que me plantean siempre cuando se habla de este amplio campo en entornos WordPress. “¡Hay tantas cosas que tener en cuenta!”. Así que, ¡manos a la obra! Durante el proceso de instalación de un WordPress aplicaré todos y cada uno de los consejos que se suelen dar en las charlas de ciberseguridad con el objetivo de convertirlo en un proceso sencillo e intuitivo.
– Secciones
#Ciberseguridad. Disclaimer y conceptos importantes
Unos minutos de reflexión sobre conceptos relacionados con la ciberseguridad y el marco de esta charla.
- Ciberseguridad. Disclaimer.
- Hacker y ciberterrorista. Hacker vs analista.
- ¿Qué debemos proteger? Malware y datos.
- Seguridad por capas. Nuestra fortaleza.
- Seguridad fuerte VS seguridad paranoica.
# La instalación: un bebé llamado WordPress
Comenzaremos por el principio de todo. La gestación y proceso de instalación de un sitio WordPress, haciendo hincapié no en el proceso de instalación en sí, sino en los aspecto de seguridad que debemos ir planteándonos desde el inicio:
- Sobre el Hosting y los datos.
- La cadena de confianza.
- Contraseñas seguras. “admin123”.
- “¡Muchas USER/PASS! ¡No hay memoria que lo resista!”. Gestores y generadores de contraseñas.
- Un pequeño dios llamado “admin”.
# Síndrome de la hoja en blanco: ¿Y ahora qué?
Al igual que en proceso de generación de contenido, a la hora de tomar decisiones sobre la protección de nuestro sitio WordPress, nos encontramos inicialmente con la necesidad de una metodología para continuar con el proceso de securización. Esta es una posible checklist a tener en cuenta una vez tenemos nuestro sitio creado:
- Nuevos usuarios. Principio del mínimo privilegio.
- Plugins y temas free(mium). El arte de la guerra.
- .htaccess, ese gran desconocido.
- WAF, tu perrito de protección ideal.
- Plugins de seguridad y escáneres.
- SSL, o el arte de hablar en un entorno seguro con tu cliente/lector/objetivo.
# ¿Y ya está? Qué hacer a continuación…
El proceso de securización de un sitio WordPress está casi completo… ¿o no? En realidad, la seguridad es un proceso constante de adaptación y monitorización, y justo eso es lo que toca una vez nuestro sistema está funcionando y seguro:
- El valor de lo que aprecias cuando lo pierdes… Backups y actualizaciones.
- “Voy a echarle un ojo de vez en cuando”. Monitorización constante.
- Ataques DDoS y nuestro amigo WAF.
- Toolbelt de Escáneres.
This cybersecurity is very good. But speaking in silver … how and where do I start? It sounds like Chinese. «
This is one of the questions that always arise when talking about this broad field in WordPress environments. «There are so many things to keep in mind!» So get to work! During the process of installing a WordPress I will apply each and every one of the tips that are usually given in the cybersecurity talks with the aim of converting it into a simple and intuitive process.
– Sections
# Cybersecurity Disclaimer and important concepts
A few minutes of reflection on concepts related to cybersecurity and the framework of this talk.
- Cybersecurity Disclaimer.
- Hacker and cyberterrorist. Hacker vs. analyst.
- What should we protect? Malware and data.
- Security by layers. Our strength
- Strong security VS paranoid security.
# Installation: a baby called WordPress
We will begin at the beginning of everything. The gestation and installation process of a WordPress site, emphasizing not on the installation process itself, but on the security aspects that we should be considering from the beginning:
- About Hosting and data.
- The chain of trust.
- Secure passwords «Admin123».
- «Many USER / PASS! There is no memory to resist it! » Managers and generators of passwords.
- A little god called «admin»
# White sheet syndrome: Now what?
As in the process of generating content, when making decisions about the protection of our WordPress site, we initially found ourselves in need of a methodology to continue with the securization process. This is a possible checklist to take into account once we have our site created:
- New users. Principle of the minimum privilege.
- Plugins and free themes (mium). The Art of War.
- .htaccess, that great unknown.
- WAF, your ideal protection puppy.
- Security plugins and scanners.
- SSL, or the art of speaking in a secure environment with your client / reader / objective.
# And that’s it? What to do next …
The process of securing a WordPress site is almost complete … or not? Actually, security is a constant process of adaptation and monitoring, and that’s what it touches once our system is working and safe:
- The value of what you appreciate when you lose it … Backups and updates.
- «I’m going to keep an eye on him from time to time.» Constant monitoring
- DDoS attacks and our friend WAF.
- Scanners Toolbelt