 Sí que ha sido un momento corto. Nada, antes de presentar al siguiente ponente, recordad que podéis escribir vuestras preguntas en el chat de YouTube, que os pedimos que os pedís a los últimos minutos para que no se pierdan entre tantos comentarios. Y nada, que si queréis ver los streams de las charlas de ayer, lo tenéis en la página web de Spainwork.org, en la sección de programa, vídeos de días anteriores. Dicho esto, 5 de la tarde continuamos en este trackb, con una charla que nos lanza una pregunta que tal vez hayáis oído alguna vez, pero web pres es seguro o no. Y lo vamos a someter a juicio. Para ello, toma parte como fiscal y defensor el experto en seguridad web Néstor Angulo de Huguerte, que cuando escribió su bio decía que venía desde anarias, pero nos ha contado un pajarito que ha estado igual un poco de mudanza últimamente antes de confinarse. Viene a petición de la defensa y de la fiscalidad en contra y a favor del acusado defendido web pres. Declara poseer varios años de experiencia en primera línea de batalla con el acusado defendido, mientras trabaja en Sucuri Incorporated y en GoDaddy Security, y por tanto, expondrá los hechos y los alegatos. De la audiencia dependerá el juicio de valor sobre este acusado defendido web pres, que empiece la sesión. Muchas gracias, Juan. Buenas tardes. Es un placer estar aquí. Muchísimas gracias a la organización por haber confiado en la charla como esta. Por lo que veo, estas camisetas las desagoso. Están manteniendo bastante éxitos por lo que veo en algunos otros ponentes y tras la pedazo de charla que hemos tenido antes, vamos a ver qué tal va con esta. Normalmente los que me conocen saben que suelo tirar de charlas de seguridad, a veces con un poco más de términos técnicos y demás. Pero esta va a ser un poco más light. Vamos a plantear la típica pregunta, porque al final te soltan el rollo para proteger, para evitar, para tener cuidado con los hackers, malos y con los virus, los ransom y demás y tal. Pero al final nunca queda claro. Al final es web pres seguro o no. Entonces, bueno, vamos a ello. Lo primero, evidentemente, como todos, OKery, bienvenidos o irás ahí, porque OKery se usa más con la gente conocida de toda la vida y el Azure para toda la gente nueva, ¿no? Así que a todos, bienvenidos a la charla y a la work. Y espero que la vayas a disfrutar. Como antes me han presentado, soy el abego censor y fiscal de este caso. Soy una persona muy curiosa. Y llevo trabajando desde 2015 en la empresa Security Incorporated en aquel momento, cuando en 2017 se incorporó dentro de Godady, pues mediqué a varios roles. Entre ellos, pues gestión de SSL, desarrollo, de aplicaciones, etcétera. Y, bueno, sobre Sucuri Godady, yo no sé si más o menos lo conocéis, pero básicamente son, especialmente Sucuri, es una empresa de ciberseguridad y Godady, cuando lo compró, pues la incorpora a Godady Security. Y estos dos scanners que están al final, son los que yo les recomiendo siempre que uséis en vuestro tool belt, en vuestro cinturón de herramientas, para, si queréis, más o menos confiar en una página, ¿vale? Si hay check, les hace un escaneo rápido para ver un poco el nivel de seguridad que tiene esa página y performance puede ayudar a vuestra, para testear vuestra página con varios nodos alrededor del mundo para ver el rendimiento que tiene, etcétera. Bien, como podemos imaginar, nuestro acusado, el que se va a sentar en el banquillo del acusado va a ser, hasta me digo, warpers. Vamos a ver un poco en esta vista de hoy 7 de mayo. ¿Estás cuerpo seguro o no? Sin embargo, antes que nada, me encantaría saber vuestra opinión. Entonces, voy a hacer algo que no sé si lo han hecho antes, creo que no. Es algo experimental, ¿vale? A ver si, a ver qué tal sale. Voy a hacerles una encuesta a todos ustedes. Yo no sé si conocéis la herramienta kahoot, kahoot.it, pero le voy a pedir a todos que cojan vuestro móvil y o bien escanean este código que está en pantalla, o bien entre en kahoot.it. Y le voy a dar un ping, porque es la primera partalla que le va a salir el ping para el juego. Entonces, le voy a hacer una pregunta sobre esto, sobre si creen que es seguro o no. Lo único que necesito es que escaneen este código, o entren en esta página kahoot.it. Y ahora le voy a pasar el ping. Este sería el ping para el juego. 3173011. Entonces, venga. Anímense a todos los que tengan un móvil por ahí a mano, por favor, háganlo. Conectense a kahoot.it. Y, a ver, voy a poner esto. Muchas gracias. Venga, bien, ahí se están conectando. Muy bien, 3173011. Voy a darle unos segunditos más. Venga, a ver si vamos, vamos subiendo. Me alegro que se animen. Vamos a ver qué piensa aquí la audiencia, que al final eso es ustedes. Ustedes van a hacer quienes deciden si es seguro o no seguro WordPress. Y vamos a dar la respuesta al final, además. Si está Matt Muhlenberg por ahí que va a responder nuestras preguntas al final de hoy, pues a lo mejor le sirve también esto de azucate, a ver qué pensamos en la comunidad. Venga, unos 5 segundillos más. A ver, los que se conecten, ya vamos por 85. Venga. ¿Alguien más? Se atreve? 86, 88. Venga, a ver si llegamos a los 100. Unos segunditos, nada más. Venga, perfecto, 93. ¿Nadie más? 94. Uuu, cada falta en 5. Venga, 5 personas más que se animen. Cajut.it y ponen este código. Uy, uy, que se van, que entran, que se van, que entran, que se van, que entran. Bueno, yo creo que más o menos 97, 98, no vamos a hacer tampoco demasiado. 100, venga, ahí estamos. Palante. Bien, la pregunta del minión. ¿Es WordPress seguro? ¿Es WordPress seguro o no WordPress seguro? Entonces, elijan en vuestro móvil, en vuestra pantalla, la respuesta según lo que veis en pantalla. Si es sí, pues el rojo con el triángulo. Si es no, el rombo, el azul. Si no lo sé, el circulito y el cuadradito, todas las anteriores. A ver, venga, son 100 personas las que hay, hay 20 segundos para responder. Así que, 4, 3, 2, 1, uy, ahí estamos. Vale, vaya. Por lo que veo, la mayoría, por diferencia de más, piensa que sí es seguro. Bueno, pues vamos a la presentación. Muchas gracias por participar, chicos. La cuestión de aquí, vamos a evaluar. ¿Qué significa que WordPress sea seguro? Es decir, nosotros preguntamos, ¿es WordPress seguro? Bueno, pero, en fin, ¿qué significa que sea seguro? Vamos a ver algunos factores para considerar un CMS, en este caso WordPress, si es seguro o no, ¿de acuerdo? Lo primero es que la información y el contenido que está dentro de WordPress esté protegido, ¿vale? Esto significa que, al menos, tenga unas, digamos, medidas mínimas, ¿vale? Para asegurar que ese contenido está encryptado, está en base de datos con sus usuarios y contraseñas, que es las técnicas específicas que se usan de codificación y demás, pues, cumplen unos mínimos. También tenemos que evaluar si la información que nosotros incorporamos o que tenemos dentro de WordPress se comparte con terceros. También vamos a evaluar. En realidad, esta parte no la vamos a evaluar mucho. Simplemente vamos a hablar un poco de ellas si es difícil de penetrar en WordPress y si este, además, establece conexión segura con los clientes. También queremos ver si tiene una gestión adecuada de permisos y hieraquías. El mantenimiento es activo y frecuente y si tiene, además, un soporte efectivo y rápido. Estos son los factores que nosotros vamos a considerar para saber si un CMS o WordPress es seguro. Después los evaluaremos. Antes que nada, me gustaría hablar sobre la cadena de confianza. Es decir, nosotros tenemos WordPress, pero sabemos que WordPress lo podemos ampliar de muchísimas formas, añadiendo temas, plugins, widgets, incluso con nuestra, cambiando, ¿no? Haciendo headless, cambiando el front end con algo que hemos hecho nosotros por nuestra cuenta y usándolo de vaquen, etcétera. Hay muchas formas de utilizar WordPress. Pues cada una de estas formas que añadimos, incluso cada una de las plugins y temas son, digamos, más puertas y ventanas que añadimos a una fortaleza y como sabemos de un poco del arte de la guerra, ¿no? A más ventanas y a más puertas más difíciles de defender una fortaleza. Así que siempre tenemos que preguntarnos si ponemos 50 plugins y manteremos todos los efectos, todos los temas por defectos desde cuando establecimos una, nuestra, nuestro WordPress hace 5 años. Pues confías en todas esas personas que han hecho todo ese código y cuánto confías, ¿no? Así que tengamos en cuenta que esa confianza al final es el punto más débil porque estamos delegando. Sin embargo, es necesario porque, evidentemente, no vamos a hacer nuestra página web desde cero. Esto para los que conocen mi charla, saben que es algo que suelo poner. Entender que seguridad no implica un todo, ¿no es seguro o no? Sino que tiene un porcentaje puesto que al final está la seguridad separada por capas, ¿no? Desde ti al dispositivo que usas, la conexión que estás utilizando, al sitio web donde te estás conectando, las creencias que utilizas, la seguridad del propio sitio, si está protegido con firewall y demás y tal. Si el server donde está es seguro, ¿no? Incluso lo mismo con la base de datos. Y las protecciones, pues, evidentemente, para las personas que aprendan para el dispositivo de los antivirus, para la conexión, puedes utilizar un certificado SSL como mínimo, la aparición del sitio web con un WAF, un firewall, un website application, ¿no? Un firewall solo específico para aplicaciones web. Si las contraseñas son fuertes y hay un, si tienen second factor authentication, un segundo factor de autenticación, si tienen monitor para, o sea, si están monitoreados para ver las entradas, las salidas, si están auditadas, ¿no? Realmente, si están actualizados, etcétera. O, perdón, ir al final, después de todo esto, de cubrir todas estas capas, hay que pensar que esto no es una vez, sino que además hay que mantenerlo continuamente. Vamos a dar hechos. Ahora saldría el abogado fiscal y presentaría los hechos, ¿no? Uno de ellos, por ejemplo, que no es que sea un hecho tal cual, sino es un comentario un poco que ejemplifica cómo nos sentimos en el mundo de la seguridad, es este señor que seguramente es un don nadie, ¿no? El director de Cisco, que seguramente no dice nada en este mundillo, que dice que solo hay dos tipos de empresas, ¿no? Aquellas que han sido hackeadas y aquellos que todavía no saben qué han sido hackeadas, ¿no? De alguna manera, esto ejemplifica bastante bien. Otra cosa también que tenemos que tener en cuenta es que, otro hecho, es que al final hay tantas amenazas que al final uno acaba por estersarse, ¿no? Muchos de gente, sobre todo aquellos que no tienen mucha experiencia o que no tienen muchos conocimientos, pues dicen, joven mucho, es que bajarme una aplicación, ya no sé si es que estoy compartiendo datos con no sé qué no sé cuántos, es que si ya me hago un sitio web, es que vienen los chinos y me están atacando contínuamente mi IP, con ataques de fuerza bruta, que siguen las contraseñas, que siguen esto, que siguen los otros, ¿no? O los típicos correos, phishing y demás. Bueno, sí, hay muchísimos factores. Para eso estamos gente como yo, como Tommy, como otra gente que ha estado también en esta, en esta work, también otras muchas, hablando un poco y echándolas una mano a ustedes para ayudarles a entender, ¿vale? Al final, el internet es eso que quiero usar y tengo que lidiar con todo esto y andar con mucho cuidado. Otros hechos que también me gusta siempre compartir con todo, ¿vale? Teníamos en cuenta que un hackeo normalmente no está orientado a un cliente, ¿vale? Casi nunca. Es raro el hecho de que hayan hackeado un sitio con la intención de hackear ese sitio específico, en vez de incorporarlo a una red y directamente explotar alguna navidad y les importa un carajo realmente qué hay en ese WordPress, en ese sitio web. Normalmente, la razón específica casi siempre es un control o mantenimiento deficientes. Y otra cosa que también es importante que aclare es que un certificado SSL no te protege tu sitio, ¿vale? Me he encontrado en otras work camps que la gente me dice, oiga, pero es que yo no sé si realmente vale la pena poner un certificado SSL, porque al final, bueno, cobran un montón de dinero y yo no veo que eso funcione para nada. Siempre doy dos razones, ¿no? La primera es, ¿a ti te gustaría que si estás contando datos privados a una persona, alguien se pusiera a escuchar lo que estás hablando? No, pues el certificado SSL ayuda a que eso no ocurra en crista la comunicación, con lo cual, si alguien está escuchando, no va a entender ni papá. Y, aparte, te ayuda a posicionarte en los buscadores más arriba, ¿por qué? Porque en tanto Google como otros buscadores han tomado decisiones en los últimos años para, digamos, reforzar o premiar a la, o incluso, digamos, castigar aquellos sitios que no utilizan un certificado SSL. Así que si lo hace ya por seguridad o lo haces porque piensas en tu SEO, es importante. Sin embargo, tengamos en cuenta que no es un escudo anti-hacking, es decir, eso no va a evitar que te jague en el sitio, ¿de acuerdo? Siempre hago la misma broma, pero es que es importante. Si tú te comunicas de manera segura con tu página, significa que nadie te va a poder escucharlo, pero si un ciberterrorista está hackeando tu sitio, pues lo vas a hackear de manera segura, ¿vale? Al final no es un escudo anti-hacking, pero ayuda a garantizar que la comunicación al menos es segura. Los parches de suría normalmente aparecen cuando ya se han descubierto que existen exploits, con lo cual antes apliquemos esos parches de seguridad, antes cubrimos agujeros que se están explotando activamente, tengamos en cuenta, además, y esto es una cuestión filosófica mía que siempre digo, que el humano falla, le daré manunés, una frase de latina, como el humano falla, pues nunca jamás, por definición, se podrá garantizar que la seguridad sea un 100% ni ahora ni nunca. ¿Por qué? Porque al final el software lo hace con manos y los humanos pueden fallar. Vale, en poco estos son los hechos que yo les he querido plantear hasta aquí. Vamos a intentar evaluar esos factores de seguridad que hablábamos antes. Por un lado, en la cadena de confianza que hablamos, pues, evidentemente, mientras más plugins, más temas, código en bebido y demás que tengamos integrado dentro de Wordpress, pues digamos, en más agentes intermedios estamos confiando. Confiando con que un programador de una de esas empresas falle y haga algo que no debe y se ha explotado, pues, todas las personas que están confiando en ellos caen, ¿vale? Aunque no lo sepan, bueno, no sé si lo saben. Pero, bueno, directamente Wordpress confía, por ejemplo, en Gravatar, que al final transmite de manera hacheada, pero transmite vuestro correo a la empresa de gravatar.com para obtener vuestro imagen. Google Fonts también, ustedes se descargan normalmente a la librería directamente de Google, igual que los emoji. Y ellos, en el momento que ustedes hacen una petición, evaluan vuestro navegador, vuestro dispositivo y demás para saber qué versión les manda, si es una versión que sea compatible con vuestro navegador y demás. Entonces, por tanto, todas estas llamadas que hay, normalmente integradas de per se en Wordpress, ya están transmitiendo la información a terceros. Son terceros de confianza, es decir, hay quien no confía hoy en día en Google, ¿no? O no. A ver, a ver. Bien, igual si utilizáis Analytics, si tenéis un Firewall, si tenéis un CDN, si usáis el hosting que usáis, todo eso son información que al final son empresas que tienen información vuestra de vuestro sitio, de vuestro comportamiento, ¿de acuerdo? A mí es importante esta gráfica, por ejemplo, extraída de empresas de seguridad, donde te plantean, tanto aquí como aquí, cuál es, digamos, el porcentaje de los hackeos, a qué, debido hoy por hoy, ¿vale? Como ven, más o menos, aproximadamente, más de la mitad de los hackeos vienen por plugins. Lo que significa que a más plugins tengas, más inseguro es tu sitio, ¿de acuerdo? Y mientras más plugins tienes, también, en más empresas confías y más posibilidades hay de que alguna falle. Con lo cual, siempre se recomienda reducir al mínimo el número de plugins los mínimos estrictos necesarios. Y no es que lo deshabilitéis, es que los elimineis, porque incluso deshabilitados se pueden hackear. En temas, ya vemos que hay pues un porcentaje un poquito más pequeño y después el core de WordPress que, aunque lo desarrolla la comunidad entera, inclusive automáticos, pues, también tiene sus, como tienen muchísimos programadores trabajando, también tiene su pluralidad. Pero normalmente esta es la distribución, normalmente, ¿qué suele suceder? El año pasado, en 2019, esta es una lista, digamos, de los plugins más hackeados o más utilizados como vector de infección en los sitios y sus instalaciones dentro del mundo WordPress. Por lo menos, el número que salía en aquel momento en el repositorio oficial de WordPress, como ven, Easy, WPS, MTP, que se usaba para redireccionar los correos de WordPress, es uno que se usaba mucho, unos 400,000 sitios, cuando se descubrió la vulnerabilidad, eran vulnerables a esto y era uno de los típicos plugins que todo el mundo utiliza, así como el FileManager o no sé, de los que están ahí, el GDPR Compliance o el Social Warfare, estos son bastante típicos y como ven, pues el año pasado están en el top de los plugins más hackeados. Esto de información viene de la empresa donde trabajo en Sucuri, que tenemos muchísimo trabajo y estas son un poco las estadísticas que extraemos. Por otro lado, factores de seguridad que hemos visto antes, mantenimiento y soporte. Sabemos que WordPress tiene un mantenimiento frecuente, tiene un roadmap, su código está abierto, con lo cual el modelo Bazar nos permite confiar en el hecho de que hay muchas personas en el mundo que pueden identificar los bugs rápidamente y además proporcionar fixes, proporcionar estos patches para arreglarlos. Además, el soporte lo da la comunidad WordPress, que mensa en el mundo y además es multidioma. Son una de las comunidades más grandes del mundo y, por ejemplo, en la española las preguntas apenas quedan respondidas normalmente siempre en el mismo día. Otro factor de seguridad como la jerarquía, es el acceso a los y el servicio a los y los y los permisos y conexión segura. WordPress tiene un sistema de roles contra el acceso, es ampliable y personalizarle por plugin y funciona correctamente a través de HTTPS. Bien, pero en contra sabemos que no es fuerza HTTPS desde el principio, lo cual para mí es un defecto. Evidentemente no todo el mundo tiene el certificado inicialmente y esto no debe ser así desde el principio, pero para mí es un punto negativo. Además, no es fácil activar el HTTPS en un sitio, o hacerlo manualmente, ¿vale? Y añadiría aquí, aunque no lo he añadido, que además los permisos internos de necesario dentro del hosting y demás y tal, no los chequean y los manejan y ni tiene, digamos, medida de hardening internas en Word, pues con lo cual no tiene muy en cuenta si el sistema está funcionando de manera óptima, protegida, ni tiene siquiera un indicador de si está más o menos protegido o indicadores que te digan de cosas para recomendarte. Y esas cosas se pueden ampliar mediante plug-in, pero no vienen por defecto. Bueno, sabemos que la información sencilla asegura por defecto, utiliza hashes para leil salts para las que empaguer y demás, no cede la información a terceros. Por lo menos eso es lo que pone en la página web de Wordpress, es decir, la información que recopila Wordpress.com o Atomatic no la comparten. Lo que sí que hemos visto es que por defecto ya confían en gravatar, en Mojiz y demás y tal, que de persilla transmiten información. No vamos de todas maneras a poner un punto negativo, pero sí que seamos conscientes de que la privacidad no es máxima en el momento que instalamos el Wordpress. Sabemos además que no fuerza uso de contraseñas fuertes, es verdad que sí que te pone un indicador, pero no la fuerza. Tú le puedes obligar a eso. No mete un second factor authentication por defecto. Y además, out of the box, bueno, lo que hablábamos, no protege la privacidad de manera estricta. Ya hay información que se está transmitiendo, a tanto a Wordpress, como a gravatar, en Mojiz, contenido bebido, etcétera. Si por ejemplo, si ustedes embeben un, cómo se llama esto, un video YouTube, pues tienen este problema. Y no proporciona soporte nativo GDPR. También out of the box tampoco ofrece ningún procedimiento de copia de seguridad o auditoría. Básicamente lo que hace es que puedas exportar, pero no hay ningún procedimiento de auditoría. Es un poco rápido para que todos, más o menos, estemos en la misma página. Sabemos que Wordpress, bueno, las infecciones han sido comparativamente con respecto al año pasado a este, pues siempre más en Wordpress. Sabemos además que la versión de Wordpress, pues está bastante distribuida. La de la derecha es la de Wordpress.com. Como vemos, el 50% está en las últimas dos versiones. El resto está en una mirada de otras. También vemos que Wordpress no importa si está actualizado o no. También es bastante hackeado. El resto normalmente se hackean porque están desactualizadas. Y esto normalmente viene por el tema de los plugins. También sabemos que las actualizaciones no se están, las versiones de PHP, por ejemplo, no se están actualizando correctamente. Y que muchos de los administradores de sitios tampoco invierten demasiado en el tema de las actualizaciones. Como menos, más o menos la mitad dice que asugas posible, o sea, lo más antes posible, o que sean automáticamente. Bien, los resultados ya las hemos visto antes de lo que habéis contestado antes. 43, sí, 9, no, 12 no lo sé, y 11, todas las anteriores. Bien, llegué al momento. ¿Es Wordpress seguro? En mi opinión, me envase a estos hechos. Sí lo es, pero con reservas. Lo que quiero decir es que, al menos, AutoDeVox, es seguro. Tiene y no es que sea seguro. Es que tiene un porcentaje alto de seguridad. Porque en seguridad, como hemos visto hay tantas capas, lo debemos mover, digamos, en porcentajes. Entonces, si para ti un 90 o un 80% de seguridad no es suficiente, no es seguro. Si para ti ese nivel, si lo es, sería seguro. Entonces, ¿cuál es realmente el problema? Y es que es súper fácil, extremadamente sencillo, hacer un sitio inseguro con Wordpress. Si no sabes lo que estás haciendo cuando hagas un sitio con Wordpress, en el momento en que ya instala un amistro llamado Admin con contraseña sencilla, instala 40,000 plugins o plugins que no son oficiales o premium o descargados de sitios raros porque te quieres ahorrar la licencia, no proteger tu sitio utilizándose SDL, crees que el hosting balato existe perfecto, existe, o crees que la sobriedad es cosa de otras personas o de paranoicos y no de gente como yo y demás, o crees que ningún ferver te reíste, o te interesa tu sitio, ni tu contenido, pues bueno, esto aumenta el porcentaje de que tu sitio vaya a ser o disminuye el porcentaje de seguridad, aumenta el porcentaje de probabilidad de que tu sitio sea hackeado. Pues, señores, esto es todo y espero que les haya gustado. Pues estupendo, muchísimas gracias Néstor. Yo creo que la gente la ha quedado clarinete. Si es seguro, no es seguro. Tenemos alguna preguntilla en el chat. Recordad que podéis aterlas ahí, sino después estará Néstor en la sala de Zoom para seguir haciendo un networking y responder preguntas. Tamara Zambrana pregunta, ¿cuándo debemos usar un certificado SSL gratuito como ledson creep y cuándo deberíamos usar uno de pago, quizá en webs más grandes o que manejan datos más dedicados? A ver, la cuestión de usar un certificado que no sea de ledson creep, se basa sobre todo en varios factores. El primero es que cuando tú utilizas un certificado de ledson creep, no tienes una garantía de la empresa que está detrás para adestiguar que efectivamente todo se ocurre. Hay realmente una validación de tu dominio con respecto a que tú eres la persona que lo que tienes ese dominio. Se acabó. Si tú quieres de alguna manera a nivel de rebutación que tu organización esté certificada y que la digamos, hay un control, una auditoría, y hay un soporte detrás, y hay una empresa grande que realmente hay de garantía detrás de que esa certificación no solamente es correcta, sino que ese sitio de más dice ser lo que es y tiene su contenido, ya tiene escrita uno de pago. Normalmente yo solo recomiendo como un SSL de ledson creep lo suelo usar para bootstrapping, ¿no? Para lo que es el inicio de tu sitio web o si es un sitio web muy sencillo, informativo y demás y tal, con ledson creep va bien. Si ya quieres de alguna manera garantizar una organización detrás, ya debes irte a uno de pago. Y si ya es una gran corporación y demás y tal, y sobre todo si buscas un poco el tema también de reputación, también ya te recomiendo ir a uno de pago. Perfecto. Otra preguntilla, Alberto dice, ¿no crees que el repositorio de plugins de WordPress necesita más control? ¿Debería haber ramas de testing, estable, etcétera? Bueno, yo de ahí no sabría darte una respuesta más correcta. Realmente ahora se están haciendo varios esfuerzos. Creo que hay un proyecto que de alguna manera hace un testeo de digamos de lo bueno y seguro que puede ser tu plugin o tu tema en base al código. Pero normalmente todo lo que son las ramas de testing, estable y demás y tal suelen estar en los repositorios de los propios programadores, de los plugins y demás. Entonces, si realmente tú quieres probar ese tipo de cosas, lo más fácil es que directamente accedas al vendor de la empresa que está detrás, que desarrolla ese plugin o ese tema y pregúntes o mires a ver si ellos ofrecen ya de alguna manera acceso al repositorio y pueda ver, o puedes incluso incorporarte a un programa de testing, de beta testing y demás y tal para probar nuevas relíces y demás. Ahí ya va a depender mucho de las empresas que desarrollan esos plugins y tal. Al final, WordPress lo que quiere es tener una especie de bazar en el que la gente pone su código. Es verdad que no hay un control súper estricto, pero se está trabajando en eso. Muy bien. Voy a aprovechar ya que tengo aquí el poder de las preguntas para hacerte yo una de mi... Has comentado varias cosas que no tiene WordPress, el tema de copia seguridad, el tema de la RGPD, lo de forzar SSL. ¿Cuál crees que sería la... Como si tú pudieras añadir una cosa para aumentar la seguridad a nivel global, ¿qué crees que podría ser? ¿Qué practicante todo eso que he dicho? Digo, directamente lo necesito. Para mí sería obligatorio. Es decir, forzar un second factor authentication. Es verdad que es complicado si tú de primeras, cuando creas un WordPress, no tienes ya la infraestructura de envío de correos, envío para SMS y demás y tal preparada. El HTTPS es lo mismo. Si tú ya no tienes certificado, forzarlo de principio. Es complicado. Pero sí que sería interesante que al menos fuera tan fácil como yo que sé, como creo que empresta. Tienes una parte en la configuración que es darle habitable HTTPS. Pan directamente tabilita a la página y te la... Incluso le puedes decir forzar o no forzar. De manera que tú, si ves que no funciona con el certificado por la razón que sea, pues en la página no se cae. Utiliza la versión no segura. Quizás desde mi punto de vista, lo más típico que... Lo que a mí más me ayudaría, si fuera un usuario que no tengo muy claro tema de seguridad y demás, es que al menos me saliera una especie de auditor interno que me indicara, oye, tienes un tanto por ciento de seguridad en tu sitio. Recuerda que debes quitar el ritmín. Que debes intentar ofuscar o ocultar el WP Admin. No usar Admin como un usuario de administrador o tal. O sea, que te vaya dando tips de manera que tú, igual que en el YoHaseo, te va diciendo qué cosas puedes ir mejorando para que tu SEO sea mejor. Pues lo mismo pero con la seguridad. Eso lo hacen, por ejemplo, en el... ¿Cómo se llama este...? Que no sepan, él es la competencia. Flex. Flex. Empresas tienen un auditor, que es como un búho, cuando te vas a ver, cuando tienes la versión de administrador, que te va indicando pues eso. Cositas tips para mejorar la seguridad de tu sitio, en base a cómo está configurado en ese momento. Un auditor para mí sería lo mejor de cara a todo el mundo. Pues nada, a ver si te escuchan o nos tenemos que poner a ello un poco entre todos. Hay bastantes más preguntas, muchas preguntas sobre certificados, muchas preguntas sobre plugins, sobre seguridad básica, seguridad a la oestia. No tenemos tiempo ahora para ello, pero en esto se va a ir al Zoom. Recordad que tenéis los enlaces a las salas de networking con los ponentes en el email que os mandamos el pasado martes. Así que allí va a estar y podéis continuar resolviendo todos estos problemillas. Y nada, muchas gracias Néstor por estar con nosotros. Y gracias a todos. Muchas gracias, gracias a ustedes y a disfrutar. Nos vemos ahora. Muy bien. Ahora recordados que a partir de ahora llega unos bloques de charlas cortas en este track B, que empezará Marina Broca hablando sobre RGPD y en el track A estará Lua Louro hablando de sitios rarunos de membresía. Así que mucha calidad, no os lo perdáis.