 Hola, hola. Hola, hola. Gracias a todos y muchísimas gracias por venir a la sesión de las 4 de la tarde, que siempre es más complicaditas. Y sobre todo también muchas gracias por venir a una charla de seguridad de alguien que no es un experto de seguridad. Porque ya se ha dicho Eva que yo no soy un experto de seguridad, yo soy un desarrollador. Yo soy un desarrollador de la web. Llevo dos cintitos con WordPress, hago toda la vida con la ver en la comunidad. Y como desarrollar web, pues también soy de todo. Soy de diseño hasta manifestación de sistemas. Y como parte de eso, aunque sea una especialidad, yo realmente en la seguridad informática siempre me la he tomado como necesidad. Como un conocimiento que tiene que tener todo el mundo, que está a menos de mi primer ordenador, y sobre todo que trata con datos de otros. Yo no voy a dar una charla de seguridad al uso. Voy a dar una charla sobre todo de la inspección. Yo voy sobre todo en la idea que es cargarme mitos. Sobre todo me quiero cargar estos tres mitos que son muy comunes, muy estetilos y muy peligrosos. Peligrosos para vosotros y peligrosos para WordPress como un programa. El primer que todo el mundo está convencido de que alguien le va a atacar. Es sobre todo lo que deciden, de todas maneras, y de eso probablemente. Yo tengo una tienda muy pequeña, a menos de no sé, yo no sé si irás a una Google, a mí no me voy a atacar a nadie. Yo sé que todo el mundo está convencido de que si a él le hackea en la web a aquel que va a seguir la cosa, que va a salir hasta la TV. Y por último, está el San Benito que ha deseado todos a alguna vez que es que es normal, es que WordPress no es todo. Vamos por parte, vamos por el primero. El primero es que sí que os van a atacar, pero no solamente os van a atacar, os van a saquear. Porque a día de hoy hay semejante cantidad de ataques en internet que es matemáticamente imposible o os ataques no, sino cientos de veces al día. Lo que pasa es que la mayoría de los casos los ataques me tienen en el siglo y no me cuentan. Cuando hablo de ataques hablo sobre todo de los cuatro ataques más comunes en internet. El primero son cualquier tipo de ataque basado en, perdón, son los ataques dirigidos, son los ataques en los que alguien va poquito. En los que tienes una persona que tiene interés en entrar en tu página, edificar tu página gusta un agujero de seguridad, se toma el tiempo de estudiarla eso lo más normal es que no os encuentres. Esos normalmente son tipos de ataques que se hacen a objetivos muy grandes. Porque alguien interés en entrar en tu página. El segundo son los cualquier ataque basado en esa aculación. Esto hay mucha gente que no nos enseña a qué conseguir una apuntada de puntos. Porque es cuando un sistema además de lo seguro, como para poder entrar en él el siguiente paso que hace la gente es inventácil. Es el típico que se hace para los gobiernos, para los nacidos políticos. Es cualquier tipo de ataque en el que en vez de intentar reventar un sitio, lo que haces es saturarlo de semejante cantidad de información, de comentario, de publicación o de lo que sea que se olvide no es capaz de no es capaz de no es capaz de procesarlo. Esto, como he dicho, es también para tipos de objetivos muy grandes. Vosotros también son muy raros que os encontréis directamente con él. Sin embargo, ha sido muy común que os lo sufráis porque este tipo de ataque también hace mucha infraestructura. La caída que hubo en el VH en principios de año que se cayó en el Internet con el ataque de renovación de servicio a la red local de VH. No voy a empezar a centrar las cosas en las que sí te hayas más común que os encontréis en la teoría. Como por ejemplo, los ataques basados en la interior social. Esto es cualquier tipo de ataque en el que en vez de intentar ir a por vuestro servidor, van a por vosotros. Se utilizan a vosotros como contaderías. Esto puede ser dos cosas. Puede ser programado el que yo te mande un e-mail haciéndome pasar con alguien que tú conoces o haciéndome creer que soy tu página web de pulsas de enlace para recuperar el contraseño, me la estás dando bien. Como también el engañarte para que ha pasado. Por ejemplo, descargate este plugin de pago que yo lo tengo gratuito. Y por último, están los que son con muchísimo los más comunes. Que son los ataques masivos, los ataques automatizados. Son los ataques en los que en vez de haber un en vez de haber una persona dirigiendo un ataque, es una persona dirigiendo una red de ordenadores que va que está haciendo un ataque global a una cantidad de determinado brutal de sitios. Para que hagas una idea de si conoces el plugin Warfens de este tipo de ataques detecta entre 2 millones y 2 millones y medio al día. Entonces, esto es que lo vais encontrar. Pero que si esto fuera una charla de seguridad normal, yo ahora lo que le pondría sería analizar cada uno y pues no podríamos saber contra medidas y podríamos ver no haber como se puede analizar cada uno. Pero es que a día de hoy nuestra realidad no es este. No podéis partir de esta realidad. Nuestra realidad es esto. En algún momento lo vais a comer. Esto es como decir que cuando estuvo muy bien no veas una acción de tráfico. Es que en algún momento vas a tener una acción de tráfico. Tu prioridad no tiene que ser decir cómo hacer para no tener una acción de tráfico porque es que lo vas a tener. Tu prioridad tiene que ser cómo reducir los daños cuando los tengas. En el caso de una página web pues muy de libros. Son cosas que estamos a la nariz de decirlo. El primero imprescindible es la copia de seguridad. Si el posible copia de seguridad fuera del servidor que se orienta al servidor no va a reventar la copia de seguridad. Suena muy lógico, es muy común. De verdad, si no tenés una copia de seguridad de nuestra web, cuando termines esta chava salir de aquí, levantarles. Pero vamos a la copia de seguridad. El siguiente es delicado. El siguiente es un enorme que se aplica a seguridad porque es que siempre tenés que tener tanto de información como sea necesario. Esto se entiende muy bien por el comercio electrónico. Este es el motivo por el que las tiendas online hacen muchísimo tiempo que no guardan el número de tarjetas de crédito. Guardan solamente el final de la tarjeta o el líder de transacción. Y esto entre otras cosas es porque vosotros por ley estáis obligados a que si sufrís una brecha de seguridad, si os roban datos estáis obligados por ley a unicáselo a todos los clientes. Según el tipo de información que tengáis en el servidor os podéis encontrar con tener que mandar los tipos de correas completamente distintos. El primero estoy seguro que se ha llegado una vez. Es el típico de Hola, Antonio, perdona que es que nos han robado la base de datos así que tu e-mail está comprometido y es posible que intentes mandar un correa que no se pasa por nosotros. Hace el favor de entrar en su cuenta y no pasen. Bueno, vale, no queda bonito pero va. El otro más puñetero el otro es el de Hola Antonio Mira, te importaría hacer el favor de dar debajo a la tarjeta de crédito con la que nos compraste la semana pasada este no lo ha probado, gracias Antonio otro rey porque no hay que mandar ese correo Bueno, muy relacionado con esto está también otra medida de seguridad muy básica que es aislar información limitar los permisos no hace falta ser administrador para todo tenés que conceder solamente tan pocos permisos como sea en el personal esto suena es muy sencillo, si tú tienes una ospeda en el que tienes 40 web te sacan los 40 si tienes 40 pedazos con una web si te sacan una te sacan una no hay lo mismo, hay que recuperar una web que recuperar una web estoy diciendo cosas muy básicas pero es que la realidad es que hay es muy normal el que tú te metas en 40 en una web te dicen que es muy fácil pero al final tiene un momento en el que te das cuenta de que tienes unos conocimientos una carecia de conocimiento importante en donde las te llaman ya ha dicho que yo no soy experto en seguridad que voy a citar un experto en seguridad que puede citar un experto en seguridad la mayoría de los ataques en los que han en la web porque no ha estado bien configurado él lo resume con la misma base y lo que conocéis al chacé es que no podéis saber y esto es una realidad vosotros tenés que asumir que siempre debes estar en ingenieridad de cosas que no vais a poder controlar pero sobre todo que hay muchas cosas en las que van a faltar unos conocimientos que no saben siquiera conocen eso como por ejemplo todo el mundo está a convencir lo que he dicho, porque si el chacé ha estado en la web la realidad es que en la mayor ocasión cuando el chacé no os vais a dar cuenta además es muy probable que os haya chacado o que tengáis la misma una web comentada y que no lo sepáis porque esto va con el mito del chacé a lo que la gente entiende por el chacé y con la que la gente entiende por un chacé la gente de la idea que tiene un chacé es la idea activa de yo me levanto por la mañana y a mí me encuentro con mi web y me encuentro con este esto va en la línea del primer tipo de ataque que he dicho antes esto normalmente es una prueba de fuerza una forma de decir aquí estoy yo he conseguido entrar en esta web y he conseguido cambiar el contenido esto es un mito que está muy expectiva pero la realidad no es esta la realidad es que gráficas como estas en las que te dicen que lo más normal que te harán cuando te deshacan un sitio es que te ganan de ser que es eso, que te lo tiran realmente son enanasas porque solamente la mitad de la mapa de arriba son ataques en las que os hacen esa puñeta en primera instancia en el que alguien en un ataque en un paso en el que entra en nuestra web la segunda mitad de la mapa y todo lo demás entre un 80 y un 90 por tiempo son ataques ejecutarios porque a vosotros no os va a saquear que el faque es de la capucha esto es lo que es lo que es cuando buscas en foto estos faques ni con tapuchas ni con guantes a vosotros os va a saquear este tío este tío que es el que es más probable que saque una web está contratado para procesar los resultados una bunde que está lanzando un ataque masivo que cuando nos siga a encontrar esa bunde no sale de seguridad, se lo va a convicar a él él va a entrar va a entrar a instalar una puerta trasera en el momento que tiene instalada esa puerta trasera y le va a pasar a las credenciales de vuestro servidor a su jefe y saber lo que va a hacer su jefe con vuestra web la va a vender en la mayor caso lo que va a hacer es vender vuestro servidor esto es una tienda real que vende servidores comprometidos a vosotros nos van a vender un servidor dedicado de 24 filas con 14 dólares a vosotros en la mayor caso van a coger 500 web comprometidas incluido a la huesta y la van a vender por 10-12 dólares y ahora ese paquete de web comprometido lo más normal que pase es que la compre cualquier chaval que es una servicita feliz en la cara por ahí de luz ese chaval se va a descargar un panel de control lo va a subir en nuestra página web y va a instalar lo que le dará porque su prioridad no es nuestra página web su prioridad vuestros será lo que quiere es ahorrarse el dinero de tener que contratar servidores que saben que le van a dar la base porque lo que va a hacer va a ser lo que hemos dicho antes utilizarlo para mandar la espada para que va a subir el video de correo los días va a subir contenido legal para que sea la fecha del año pasado o día de hoy todo el gráfico prácticamente sería instalar criptomonedas lo más normal es que ahora los utilicen para utilizar la GPU de nuestro visitante para criptar con el consagro para minar criptomonedas lo he dicho, minar criptomonedas pero claro es que si yo lo conto ahora tan fácil y tan común y os estoy diciendo que esto pasa lo que va a pasar es que claro, es cuando ha hecho la gente que, joder, ¿qué WordPress no es seguro? no, WordPress sí que es seguro el core de WordPress es seguro que a veces son un agujero de seguridad se cierra normalmente notas el último que ha habido, no era grave por mucho que se le da mucho bombo uno era grave en menos de dos días había un patch y se está al auto automáticamente el problema es que una web con WordPress no solamente WordPress, WordPress es inútil pero es que las webs normalmente no se saquean por WordPress se saquean por otras cosas y la causa más común con diferencia son los plugins que es código que ha subido a alguien, que puede estar osoreto que podrá ser de seguridad también son mucho más comunes los ataques por favor, tabluta es que WordPress es en 10% es el core estaré diciendo que en 10% los ataques son del core o sea que WordPress no será tan seguro WordPress es seguro WordPress 497 es seguro el problema es que como patria software las versiones antiguas que la van encontrando no fueron de seguridad y la realidad es que el 83% de los sitios con WordPress no están utilizados y esas versiones osoritas no son de seguridad pero no solamente WordPress es que también en el 82.7% de los servidores, adiós, estas prácticas todavía utilizan versiones de PHP de la base 5 que no fueron de seguridad pero que además he dicho antes que os atacan o van a atacar por fuerza bruta pero es fuerza bruta no es probar contra señas abiertamente fuerza bruta es que en el momento que conozco los usuarios del sitio y se que WordPress lo primero que voy a hacer es que voy a utilizar o intentar utilizar las 500 contra señas más comunes estas 500 contra señas estas 500 contra señas abren uno de cada 10 sitios si vamos a ser usuarios si yo tengo una lista con un millón WordPress es probable 100.000 si tenés un usuario por el efecto por eso WordPress desde hace bastante tiempo obliga a quien no podéis utilizar el usuario a la fin desde la fin de la 4.7 creo que es cuando lo les dieron la solución para ésta para ésto es lo que es el uso antes no vais a poder evitarlo pero vais a poder reducirlo muchísimo y eso es lo que están basados todas estas checklists que ves por todo lado que no lo haces se ha quedado de seguridad actualizarlo todo es que se actualiza todo ese rompe que si actualizan esos rompes que se han hecho utilizar contra señas seguras utilizar un puñetero que está de contra señas por favor pues es gratis y limitar el permiso si tenés que darle un usuario que tenés que dar un usuario para que me haga contenido en nuestra web para decirle a alguien que no es un editor es lo mismo que eso para todo y luego ya una vez que ya has cubierto todo eso que con eso te vas a quitar el 90% de los ataques entonces ya los ponemos si queréis hacer la fila entonces ya nos ponemos a hablar de configuración, de plugin de seguridad de cómo hacer trucos para enganar a las mujeres aquí si os da cuenta la película me ha cambiado bastante he empezado con los tres mitos de que a mí no me van a atacar de que si me saquean si me saquean el drag y de que vos pres no hay seguro llegaste a punto y ya está claro que es un asesino que la realidad es mucho más sencilla mucho más asalto la realidad es que vos preses seguro pero cuando vos preses seguro en algún momento me van a atacar la web así que mi prioridad tiene que ser hacer que sea lo menos posible que me saquen y los casos que me saquen que provoque lo menos más imposible y solamente con que habéis escuchado ya llega hasta aquí por lo menos hayáis escuchado este reaccionamiento ya es un poco más probable que no caigas en los errores y los que son muy cómodes caras con eso vais a hacer que vosotros seas más seguro pero también que vos vos preses más seguro como un entorno como cumbiar por esto he empezado dando la charla de la práctis empezando a echar la charla dando la práctis pero es que solamente por eso de que estéis aquí tengo que volver a darlo una pregunta el micrófono ¿Quién llega a tu casa? tengo toda la gente que está bien casada no, yo soy muy chico yo a mí me gustan mucho pero lo funcionan muy bien para largos pequeños golfes e inseguricis, buri y aparte todo lo que te detrás lo que fallece o sea que puedas tener por delante de tu web es, juro que le vas a quitar a tu fabrico para toda tu corriente seguridad ya sea a meter clover ya sea a meter un fabrico en el servidor cualquier cosa que le quiten ¿Qué método utilizas para averiguar qué tipo de virus has entrado como has entrado en tu web y si te utilizas un tipo de páginas o herramientas para localizar ese producto ese virus me da igual, también me da igual como va a encontrar que yo sé, yo tengo una cultura haciendo el servidor o bueno, yo que sé que tenga que tenga pinta, de que me ha entrado el servidor por ejemplo, en un punto de vista espránico y tiene un metasploit y vea que tengo el servidor la misma tiene de igual porque cuando te saque lo normal va a ser que te toquen o el core o los plugins o los temas de igual yo tengo que copiar la seguridad en el momento que Google me santa y es un critico de ¿Ah, es sincero que puede ser? lo borró todo, recuperó Google el Pconter recuperó a hacer el datos y está bueno, digamos que por un lado está WordPress los plugins y en viendo, bueno, me lo ha comentado también el servidor ¿Qué tipo de o qué empresa de alojamiento es lo que tu recomiendas a nivel de seguridad? porque por ejemplo, juego empresa que impacta mucho con su publicidad además, ellos me han llegado a comentar por ejemplo, el plugin WordPress como que no era necesaria entre gomillas porque su servidor es una máquina ya que hace la opción de de este plugin ¿Qué está mi problema? El problema es que su impresión es lo que hace entonces su prioridad es que estábamos en lo que cosa posible y cualquier cosa que tú, en tu web pequeñita que está en un compartido, me da más recursos de la cuenta, lo que está haciendo es que lo que es lo que está diciendo es todo lo que hay que hacer con el servidor eso es lo que me esté derrubando el web empresa no está hecho para eso sabe que van por ejemplo una capa de seguridad muy buena pero eso no se ha esperado según para qué cosas tú vas a ver si te vas a un a un delicado que te gusta tu la vida uno voy a un conviven el problema que tienes es que te vas a tener que buscar tu la vida ahí ya entra el papel de que no habéis estado de sistema que si ya hay que pedirse esa primera capa de desvulgar luego la resta partida ahí va adentro y eso es una buena parte de tu vida bueno, ya vamos a tener que ir acabando pues si no lo aquí podríamos ayer enterársela tenemos 5 minutos por si queréis cambiar de sala los que vienen para acá y demás y tengo palabras como canso anilo nos vemos en el próximo vídeo