 Bon dia a tothom, benvinguts, benvingudes. Buenos días a todos. Què us he de dir, de Javi Casares? Conagut per tothom a la Comunitat, des de fa molts anys. Lo tenemos en la Comunidad desde hace muchos años, creo que todo el mundo lo conoce. Es un referent en temas de seguretat, en temas de hosting. Actualment s'està dedicant a temes de documentació. Actualment és un dels representants de l'equip de hosting a nivell global. Uno de los representates del equipo de hosting a nivel global. Esto no hacía falta traducirlo, porque se entendía perfectamente. Y además es líder de la Advanced Admin Handbook. Li està dedicant-me uns esforços a això. L'Advance Admin Handbook és la documentació avançada de WordPress, que s'està fent tota nova, i s'està documentant tota nova. És tota una feinada que l'està treballant ell, i l'està liderant ell. Ja us dic que no cal gaire les presentacions amb Javi. Tot el mundo lo conoce, i avui ens parlarà de les vulnerabilitats de WordPress. Va a dir, que li vam demanar que fes una xerrada una mica més avançada del que ell tenia previst. El tenia previst a explicar aquella... Las cosas básicas y dijimos... ¡Javi, dale un poco de caña! O sigui que us donarà un poquito de caña. Com vosotros amb vosaltres, Javi Casares. Moltes gràcies, Núria. Hola a todos. Se me hace un poco raro estar hoy aquí, precisamente en Barcelona, porque todos los eventos anteriores que se han hecho en Barcelona han estado más en el sitio de Núria, en el otro lado, organizando y demás. Y es como mi primera Workup real en Barcelona. Entonces, es como que estoy un poco desituado. Además, está mi padre por aquí hoy. Es como todo muy raro, pues no es habitual. Y más después de 13 años yendo a eventos. Como se decía, Núria, soy uno de los representantes globales del equipo de hosting. Entre esas funciones está, por ejemplo, explicaros lo que os voy a explicar hoy, porque entra dentro o cae dentro del equipo de hosting. Hay una parte de la seguridad, no toda, pero parte de seguridad entra ahí. Y desde hace medio año también soy el responsable de la documentación avanzada de WordPress, que es un poco extraño. No es que la esté escribiendo yo, vale, soy responsable del proyecto. Pero también me ha hecho ver determinadas partes de WordPress que van muy relacionadas con lo que os voy a explicar hoy. E incluso es probable que parte de lo que venga explicado hoy lo acabemos metiendo en la documentación. Dentro de WordPress, todo lo que tiene que ver con seguridad empieza en el equipo de core. El equipo de core básicamente se encarga de desarrollar lo que conocéis de WordPress, el software base, y obviamente para ellos es muy importante el tema de seguridad. Cuando hay algún tipo de agujero de seguridad, los primeros que lo reciben son ellos. Sí que es verdad que el equipo de hosting nos obtenemos mucho peso en esto, sobre todo porque hay otra gran parte relacionada con lo de la seguridad, que es la parte del hosting, que es donde se aloja el tema es mantener todo al día. Como os decía, documentación tiene mucho peso, obviamente hay que informar de todo lo que tiene relacionado con seguridad a todos los niveles, desde una persona que simplemente utiliza un WordPress y hay que decirle, oye, tenéis que poner una contraseña segura, cosa que parece obvio, pero hay que recordarlo. Hasta el equipo de core, por ejemplo, tiene su propia documentación relacionada con seguridad, o la parte de plugins o temas que obviamente, si os dedicáis a desarrollar plugins, pues tenéis que saber qué herramientas hay para proteger a los usuarios. Y obviamente hay un equipo de seguridad dentro de WordPress. Es un equipo muy pequeño, no es un equipo público, Anna os enseñaba ahora una tabla con un montón de grupos. En ese grupo nunca aparece este equipo. Este equipo es como un poco secreto, no es muy público, pero es el que se encarga un poco de la seguridad a muchos niveles, desde la propia seguridad de la web de WordPress.org y de que cuando os descarguéis un plugin, no lleve virus y cosas de ese estilo, hasta la propia seguridad de todo lo que hacemos. Voy a un poco a situaros, ya hoy iba a dar una charla muy básica, o sea, la primera idea, pero bueno, me pidieron, haz una cosa en plan rara de estas que haces tú de tanto en tanto, entonces os voy a explicar un poco las vulnerabilidades que hay, voy a utilizar palabra rara. Si alguien me quiere parar muy cortamente, si no, luego las preguntas hacemos. Las vulnerabilidades, normalmente, se organizan según el OWAS, es una terminología rara, pero básicamente, estos hacen un ranking cada X años con tipos de vulnerabilidades. Y en general, cuando hablamos de WordPress, del top ten, solemos centrarnos en cuatro que se comen el 80, 90% de las vulnerabilidades, en todos los sentidos. Ahora lo veremos. La primera es las inyecciones SQL. Esto es básicamente que WordPress funciona con una base de datos detrás y es simplemente que, por ejemplo, cuando rellenáis un formulario de usuario y contraseña, alguien ponga un dato que no toca, o haga una serie de cositas, y básicamente lo que queda es que ese ataque almacena información en la base de datos, donde se guardan vuestros contenidos, los por las páginas, pues ahí metemos basura y la dejamos. Y obviamente eso, luego, afecta a los usuarios. Ejemplo, esto ya para los más técnicos. Bueno, aquí veis, esto es un código normal, hay dos líneas de código. ¿Cuál es la diferencia? Si os fijáis, en la primera línea, en el idea del producto, el primero que hay es un GetID, o sea, el usuario en la URL pone ID igual a lo que sea, pero no está validado. Ahí podéis meter la mierda que queráis, que se la tragaría al sistema. Por ejemplo, con un pequeño arreglo que es Inval, en este caso, lo que haríamos es validar que eso que ponemos en el idea es un número, ya está. Como sabes que es un número, no te pueden meter ninguna cosa que mierda porque un número no te va a fastidiar nada. Otro tipo de vulnerabilidades, las XSS. Estas son las más importantes porque es lo que luego lo venemos con datos, pues son las zungas y es donde más agujeros de seguridad hay en cuenta. Estas básicamente, lo que te intentan colar, todo esto es muy resumido, pero lo que te intentan colar es basura en un formulario. Antes comentaba, por ejemplo, de almacenar a través d'un formulario la base de datos, esto, por ejemplo, cuando os mandan un formulario de contacto, aquí podrían meter mierda, podrían llegar a subir un fichero, un virus o cualquier cosa, si no estuviera bien hecho. Ponga un código, tampoco tiene más, y aquí estaría arreglado. Si os fijáis en la línea de mensaje, aquí directamente pone postmensaje, que es lo que cogería el formulario y lo recibiría, y con este lo que hacemos es convertir todo lo que es código HTML, lo reconvierte para que no se pueda ejecutar. Si alguien nos intenta meter un script, no se podría ejecutar. Tercer tipo de vulnerabilidad, que este es otro de los chungos y es de los habituales. Básicamente, este lo que permite es medio suplantar un poco la identidad. No es realmente así, pero por ejemplo, cuando estáis en el panel de administración, si no estuviera esto, cualquier persona que no estuviera logueada podría hacer cambios en el panel de administración. WordPress, esto para los que estéis un poco metidos o si queréis investigar, tiene una cosa que es muy habitual, que se llaman los nonces, los nonces, que básicamente lo que hacen es un sistema para validar que cuando se carga una pantalla, mete como un identificador, cuando se manda un formulario por ejemplo, le veis actualizar cualquier cosa, se valida que ese identificador es realmente el que lo ha ejecutado. Por lo tanto, no puede venir nadie de fuera a hacerlo. Os pongo otro ejemplo aquí. Veis un usuario, una contraseña, este es el caso más clásico, y aquí fijaos todo el follón que hay de líneas de validación para comprobar que realmente eres tú y que no es otra persona que se está haciendo pasar por ti. Y la cuarta, esto obviamente y más, teniendo la RGPD y teniendo todas las leyes que tenemos ahora, que es la exposición de datos sensibles. WordPress tiene un problema que es que se basa mucho en la confianza. Cualquier plugin puede acceder a cualquier parte de WordPress, lo que significa que un plugin puede, y esto lo estaréis viendo últimamente, por ejemplo, si cambiáis de yo hasta Ragnmaz o cambiáis de plugin, dice, oye, ¿quieres importar los datos de uno a otro? Porque prácticamente todo el sistema permite acceder a todos los datos de todo. Si un plugin se instalase de forma... o tenéis un plugin que pueda tener algún tipo de agujero de seguridad, podría coger todos los datos de la lista de usuarios, por ejemplo, y hacer que se puedan exportar o que se puedan listar. Un poco de datos, datos de los tres o cuatro últimos años. De este año todavía no hay mucha cosa, pero he cogido los tres últimos años. Es un megamix un poco de varias fuentes, porque cada uno publica lo que quiere. Fijaos lo primero, o el dato más interesante, es el número de vulnerabilidades. Si os fijáis, cada año estamos creciendo exponencialmente en vulnerabilidades en WordPress. ¡Oh, WordPress es inseguro! No, precisamente es todo lo contrario. Que ahora se detecten más vulnerabilidades hace que WordPress sea mucho más seguro. Antes no se detectaban y quedaban ahí y no te enterabas de que estaban. Ahora hay muchas empresas analizando la seguridad de WordPress y eso ha hecho que se dispare el número de vulnerabilidades. Aquí tenéis un poco de las cuatro que os he explicado, los porcentajes habituales. Como os decía, lo que habitualmente hay más son el cross-script o el csrf. Hay otros tipos de vulnerabilidades, pero son bastante minoritarios, aunque no lo parezco, un 18 no es relativamente tanto por cómo se distribuyen. Aquí sí que tenemos algo importante. ¿Dónde están las vulnerabilidades? Cuando se habla de, ¿es WordPress seguro? Sí, WordPress es seguro. Tenéis ese 0,6. Hay que decir, 0,6 básicamente son dos vulnerabilidades que se han detectado en todo el año, 2, 3. Es muy mínimo. Y hay que decir que el proceso de detección de vulnerabilidades en WordPress, en este caso en el core, está muy estudiado, ¿vale? Como sabéis, cada vez que hay, a veces aparecen versiones menores y es donde se parchean. Cuando se detecta una vulnerabilidad, os aseguro que el equipo se pone manos a la obra para todo. Hay un secretismo impresionante antes de que salga una nueva versión y hasta el día antes o incluso horas antes no se sabe si esa versión es de seguridad, independientemente de otros parches que lleve. O sea, en ese sentido, todo bien. Si os fijáis, a nivel de temas y de plugins, tiene mucho sentido. Nuestros WordPress tenéis un tema funcionando, independientemente de que podáis tener algún 20-algo ahí siempre de vaca, pero al final temas, tenemos uno instalado. Pero plugins tenemos 20, 30, 100. Bien. Tengo... Puedo aseguraros que hay gente aquí en esta sala que tiene 100 plugins instalados. ¿Vale? Claro, simplemente por un tema de proporción podéis entender que donde la mayor parte de agujeros de seguridad están en los plugins. Cosa importante de esto. Sí que es verdad que el problema de los plugins es por un lado los plugins que están en el repo, por otro lado los plugins que compráis por ahí o que no están en el repositorio. Independientemente de eso, los plugins del repo solo se revisan la primera vez que se publican. ¿Vale? Esto no veo aquí las personas responsables de ello, pero va a cambiar. Los próximos, no digo meses, pero los próximos años, hay varios proyectos en los que no solo se va a analizar la seguridad cuando se suba un plugin la primera vez, sino que cada vez que haya una actualización se analizará, porque se ha muchos de los plugins, prácticamente la mayoría de los plugins que hay ahora en el repo, si tuvieran que pasar ese primer filtro no lo pasarían. Pero bueno, es muy interesante tener claro eso, donde la seguridad hace aguas es en la parte de plugins, cosa que no depende de la propia pura comunidad WordPress. Otra cosa importante, hasta qué punto, cuando hablamos de vulnerabilidades, hasta qué punto tenemos un problema de seguridad. Es bastante curioso porque las vulnerabilidades de WordPress no suelen ser bajas. Hay muy pocas vulnerabilidades de nivel bajo. Es raro que haya algún agujero sencillo. O sea, cuando hay agujeros de seguridad, nos ponemos la medalla de... Vale, la hemos liado para. Entonces, sí que es verdad también que en el otro extremo tampoco suele haber vulnerabilidades extremadamente críticas. Las hay... Esto es bastante conocido, a veces se ha visto un millón de sitios con WordPress, se van a ver afectados porque no sé qué plugin, que obviamente está instalado en un millón de sitios, tiene una vulnerabilidad. Luego explicaré un poco el tema del proceso de cómo funciona la vida útil de una vulnerabilidad. Pero no siempre hay que alarmarse si se toman ciertas precauciones. Más datos. Y aquí voy a ir soltando cosas, para un poco contextualizar. En 2020 el 90% de los WordPress han sido vulnerables en algún momento. Esta cifra es bastante curiosa porque prácticamente todos los WordPress son vulnerables siempre, en algún momento. Entonces, la seguridad es algo que tenemos que tener asumida, pero también tenemos que asumir que no hay nada seguro. A la casa no es segura por muchas llaves, por muchas cosas. Viene alguien, le pega un petardazo y le porta abajo. Entonces, por mucha seguridad que haya y esto pasa también en las webs. Esto sí que es más preocupante y esto sí que me lleva a una de las cosas que, por ejemplo, es mi trabajo del día a día. Un más de un 40% de los sitios siempre es vulnerable. Es decir, no hay mucha concienciación de la gente con todo el tema de mantenimientos y es muy importante mantener los WordPress. En un caso extremo que digáis es que el cliente no me paga, es que monté esto a un colega y se lo voy a dejar ahí. WordPress, desde hace unas cuantas versiones, tiene la posibilidad de autoactualizar absolutamente todo. En el caso extremo de que sepáis que un WordPress no lo vais a mantener, activad eso. Y en algún momento se rompe algo, ya os vendrán. Pero es mejor tener todo seguro y que se rompa en algún momento porque pasa algo, que no tener algo ahí inseguro que lo que permite es que eso sea una bomba de relojería porque, al final, afectará otras cosas. Puede afectar a otras webs del hosting. Puede afectar a que se están fastidiando otros sistemas. Más cosas. Lo que decía antes, más del casi el cien por cien, es que es muy ínfimo, todas las vulnerabilidades son fuera del core de WordPress. Cuando la pregunta clásica es ¿Es WordPress seguro? Sí, el zip de WordPress es seguro. Hay mucha gente mirando eso, empresas tipo Google y demás que están mirando eso. El problema es que no se pueden analizar los más de 60.000 plugins en tiempo real. Cada día se actualicen miles de plugins. No podemos estar pendientes de eso. Ya digo, por ahora. Con temas de inteligencia artificial se están planteando cositas. Pero está guay. Y esta cifra también es bastante preocupante porque casi un tercio de los plugins no tienen parche. Un tercio de las vulnerabilidades en plugins siguen sin parchear. Es un problema. Es un problema porque los equipos o las empresas que se dedican a ayudar a parchear o las típicas empresas las que ponía abajo antes el problema que tienen es que no pueden llegar a contactar con los desarrolladores porque ese plugin ya está abandonado porque no hay una forma fácil de contactar. Entonces es muy interesante que si hacéis plugins y esto me ha pasado, tengo algún plugin que he dicho, oye, este plugin que no ha de ser más. Manda su mail, pluginsarrobawardpress.org oye, quítate este plugin del repo. Quien lo tenga lo va a tener pero no quiero que más personas se lo instalen. ¿Por qué? Porque yo no voy a mantenerlo. No dejeis, si tenéis plugins abandonados pedid que los eliminen. Si alguien quiere o ponéis un mensaje oye, si alguien se quiere encargar o lo que sea, que me lo diga y se le hace el traspas. O sea, gente que está cediendo plugins. O sea, que no hay ningún problema. Ya os digo, bastante preocupante estas cifras aunque va mejor. Luego, más cosas. En 2021 hubo un gran agujero de seguridad en WordPress y no fue por culpa de WordPress que es otra de las grandes ventajas que tiene WordPress que es que se tuvieron que parchear 21 versiones de WordPress precisamente porque una librería externa la que permite mandar los mails tenía un agujero de seguridad. El equipo de seguridad parcheó 21 versiones de WordPress 21 versiones, son muchas versiones. ¿Qué más cosas? En 2021 hubo un par de plugins bueno, hubo varios. Uno tenía más de 3 millones de instalaciones y tuvo un agujero de seguridad que fueron el All In Guanceo i el Fast Escache. Dos plugins que seguramente os sonarán porque están en el top 100 de plugins más instalados. Para que veáis que a cualquiera le puede pasar o sea, aquí hay gente potente de atrás que lleva muchos años o sea un tattoo confías en estos dos plugins pongo la mano en el fuego. ¿Que shit happens? Sí, a veces las cosas pasan. Más cositas y voy acabando. En 2022 o sea, aquí a la vuelta de la esquina 5 page builders tuvieron vulnerabilidades ¿Vale? Si alguien le queda otra razón para no usar Gutenberg, aquí tenés dos de ellas fueron en Elementor que es el segundo plugin más instalado de WordPress. Sí que hay que reconocer o sea, para mí uno de los problemas es que uno de ellos, una de las vulnerabilidades tenía 8,8 sobre 10 en posibilidad de ser hackeado. O sea, durante mucho tiempo imaginás la gente que lleva que no actualiza Elementor ¿Vale? Todos los elementos que deben de por ahí a ver. ¿Cómo proteger WordPress? Tips rápidos. Los que hagáis plugins de más y demás mantenerlos al día intentar utilizar plugins de proveedores de confianza hay empresas, hay personas dentro de la comunidad que veis y dicen un plugin de Javier Casares seguro que mola pues obviamente y aprovechando os cuelo este que es mío que si queréis estar al día y por temas de privacidad leeros la descripción es un plugin bastante potente WP vulnerability es 100% gratuito no mandáis datos de nada a nadie privacidad a tope y os avisará sin que lo sepáis de las vulnerabilidades que podéis tener o al menos las que son conocidas reglas generales tener un firewall no hace falta que tengáis un mega firewall pero hay herramientas hay pequeños firewalls y empresas que tienen soft rules son reglas que parchean simplemente una vulnerabilidad de las que no están parcheadas este tipo de firewall son los que molan y son los que vale la pena pagar otra cosa muy importante todo el tema de en el login en la contraseña 2FA todo el mundo de aquí seguramente da igual es más fácil verdad que cuando hacéis una transferencia en el banco os llega un SMS con un numerito pues eso es un 2FA pues aceldo mismo cuando os vayáis a loguear en WordPress o en cualquier sitio tener un segundo factor porque si alguien se lo olvida poner la contraseña 1, 2, 3, 4, alguna vez que no sea un problema de temas de ciberseguridad llama al 017 hay teléfonos para todo pues el 017 es un teléfono del estado que os ayudan con temas de seguridad si no si tenéis algún problema gordo a nivel personal tenéis la oficina de l'internauta y para empresas tenéis el incibe aquí podéis reportar entre otras cosas hay que reportar o a la agencia de protección de datos cuando hay una fuga de datos tenéis la obligación en 72 horas de portar-lo ja acabo ¿cuál es la vida útil de una vulnerabilidad? lo primero es descubrirla alguien tiene que descubrir que hay un agujero de seguridad y en este caso lo que se puede hacer al menos para el mundo WordPress en el resto de cosas no lo sé pero en el caso del mundo WordPress tenéis tres posibilidades o tres posibles empresas a las que podéis decirles como hackers o como que os ha pasado tanto Paesta como Warfans como VW Pescan los tres os seguro que os suenan porque son nombres bastante conocidos en la comunidad ahí podéis reportar y decir oye he encontrado este agujero de seguridad ¿cuáles son los siguientes pasos? estas tres empresas hacen investigación y confirman que realmente hay una vulnerabilidad se notifica, este es el cuello de botella actualmente en el mundo de la seguridad de WordPress que es notificar a los desarrolladores que tienen una vulnerabilidad esto todo se hace de tapadillo se hace un poco todo sin publicar en este caso se hace un análisis con los desarrolladores y demás y se hace un parche hay veces que si se sabe que ese plugin puede estar abandonado o lo que sea una empresa externa aplica el parche y se le dice a por ejemplo si está en el repo de plugins oye tengo una nueva versión que arregla esto aunque ese plugin haga 10 años que nos actualiza y el equipo de seguridad de WordPress lo corrijen se publica el parche obviamente lo que se estaba explicando y se hace la divulgación normalmente pasan 48 hores desde que se empieza a conocer y a partir de ahí por ejemplo en el WWP vulnerability aparece y si no tenéis la actualización hecha que se ha hecho un par de días antes o saldrá un mensaje de oye que este plugin tiene un agujero de seguridad ¿vale? y ya está si alguien quiere más información más cualquier cosa puedo mentorizaros si queréis meteros un poco en el tema de hosting o seguridad o documentación aquí estoy voy a estar todo el día por aquí o sea que me paráis y lo que queráis una pregunta, Javi que m'ha surgit una duda que és un software és un software de web que se mete con un plugin en la aplicación o es un programa externo? hay de diferentes tipos hay varios plugins tipo warfans por ejemplo warfans por ejemplo de serie tiene un firewall bastante tocho que es genérico pero en realidad volvemos a lo de siempre como WordPress es seguro partimos de la confianza de que todo es seguro para mí el problema está en ¿qué pasa cuando además esto el otro día me lo preguntaban una de estas empresas ¿qué haces? ¿tú qué haces? cuando sabes que tienes un plugin ahí que te estás saltando la alarma de ese plugin tiene una vulnerabilidad pero no puedes actualizar porque no hay una versión nueva que arregles la vulnerabilidad claro yo les dije hombre primero depende del plugin de lo que haga o lo que no haga si es un plugin que me vas a hostiliar todo pues obviamente a lo mejor lo elimino o lo que sea pero mi idea es intentar dejarlo ahí como mínimo 24 o 48 horas por si da la casualidad de que salga un parche también hay otra cosa ahí es para que si en el momento en el que se anuncia esa vulnerabilidad han pasado como mínimo tres meses lo que significa que si ya tienes el agujero de seguridad es muy poco probable que haya parche a corto plazo pero a veces los desarrolladores como utilizan estas herramientas como la mía dicen claro la gente empieza a mandar les mails entonces de alguna manera se enteran y de golpe aparecen y de lo parchean eso es lo ideal claro ¿qué pasa cuando no puedes parchear o lo eliminas y eliminar no es desactivar es eliminar, hay que erradicar el plugin de la lista o se aplica una regla que lo que hace es como la mayoría de ataques vienen o por formulario o por la url o por peticiones get o por peticiones post un firewall puede hacer que analice cuando se llama la ruta esta del plugin si lleva determinados parámetros o determinados contenidos pun, lo bloqueas es como una regla que suelen ser de una línea que lo que hace es aplicar eso hay plugins tipo los de paxtac y algunos otros de wfscan de jetpack y demás que utilizan este sistema ¿por qué? claro es mucho más fácil ejecutar una línea que no ejecutar 3000 un firewall normalmente tiene muchas y suelen ser plugins, suelen ser cosas que estan internamente se aplican directamente sobre el WordPress van a salir cosas ya os anuncio que en los próximos meses van a salir bastantes sistemes de este estilo básicamente porque van a tirar de mi base de datos pues lo sé porque me lo estan pidiendo más preguntas venga hola que tal saludos mira una pregunta doble o todo en la misma pregunta levanta i grita porque no se... mira sobre WordPress Vulnerability no te conoces plugin, por cierto felicidades ¿cómo recopilan los datos? si solo hace una comparativa contra CVE y otras bases de datos o si esta analizando los sitios recopilando datos y esos datos están yendo a bases de datos como has citado, ¿qué pasa con eso? y si está a NPD y demás sí, sí, les explico a ver lo que es decía el problema, ¿por qué lanzé yo un año WP Vulnerability? básicamente por dos razones todas las empresas o sea, llegó un momento en el que mi frase o lo que me llegó a mi cabeza fue la seguridad de WordPress, no la del Core lo de alrededor de WordPress, está privatizada y entonces claro en el momento en el que la gente los usuarios no tienen acceso público y fácil a la información de las vulnerabilidades de WordPress, dije vamos a usar mis sistemas de hacker voy a utilizar mi conocimiento de toda la vida para coger toda la información que haya por internet sobre vulnerabilidades de WordPress y voy a hacer una base de datos pública y gratuita y un poco ese fue la idea del proyecto en WP Vulnerability hay una API pero no hay ni API keys ni nada cualquiera persona puede hacer la llamada y tiene todos los datos el mes pasado tuvo 90 millones de peticiones hasta que he optimizado el sistema y ahora hace hace un 90% menos también por temas de sostenibilidad ¿De dónde salen las vulnerabilidades? Salen de los CVS que es como el gran documentador de vulnerabilidades del mundo no sólo de WordPress, de cualquier cosa de Intel, de los ordenadores, todo está en los CVS existe lo mismo en en Japón que es la JVN que es como el CV el CV japones el CV es el europeo y luego tiro de las bases de datos de Worfens, WP Scan i PASTAG ¿Por qué digo que mola todo y tal? porque en el fondo les estoy robando los datos incluso me han puesto palos en las ruedas en las webs para evitar que pudiera robarles la información y luego estuve con el CEO de PASTAG y me dijo el proyecto que tenéis es la leche cualquier cosa que necesitéis aquí tienes necesitas mi base de datos, ahí la tienes por otro lado el proyecto está sponsorizado y gente o empresas que quieren descargarse toda la base de datos me la piden ahí sí que está el esfuerzo y el trabajo pero bueno tengo la suerte de que tengo un proyecto patrocinado y como veis no vengo sponsorizado por nada importante de eso va a haber el tema de democratizar la información de seguridad va a permitir que varios plugins empiecen a utilizar mi base de datos para informar podéis instalaros el plugin mío pero por ejemplo si ahora buscáis en el buscador de plugins de Worfens buscáis WP Vulnerability en unas dos tres semanas ya no aparece sólo mi plugin aparece otro que la descripción dice estamos usando la base de datos de WP Vulnerability para mostrar la información la información es pública mi trabajo es recopilarla ordenarla, validar que la información que hay es correcta y hay información ahora estoy teniendo 19.000 vulnerabilidades o 19.000 datos de información es un proyecto importante es una aportación más a la comunidad personalmente independientemente de que tengáis vuestros Worfens si tenéis agencias y lo más molón yo lo llamo la Susta Vieja cuando os llega un proyecto de alguien que que os dice necesito que revises o que migres o que te hagas cargo de esto lo primero que hago es instalar mi plugin salta aquello todo en rojo y lo primero que hago es mandarle una captura de pantalla diciéndole mira, esto es lo que te pasa por no haber pagado durante años tienes aquí agujeros de seguridad es probable que esté hackeado el sitio y ahora te va a costar 1.000, 2.000, 3.000 euros a arreglarlo cuando podías haber estado pagando 50 euros al mes lo sé tenemos que hacer el cambio para la siguiente ponencia muchísimas gracias Javi en nom de tota l'organització un petit regal