Con menos tiempo para publicar del que me gustaría y a unas horas de editar el podcast 33, (más bien aquí, porque en www.daboweb.com voy posteando con más regularidad, en Twitter @daboweb) ya que estoy impartiendo un curso sobre «Seguridad y el impacto de las TIC en la PYME», además de preparando algún otro y mis líos habituales, entro para comentaros que ya están disponibles los vídeos de 5ENISE, un evento celebrado en León sobre el que os dejé aquí mis impresiones hace unos días y promovido por INTECO-CERT.
También el del encuentro «Bloggers de seguridad 2011», mesa redonda en la que tuve el privilegio de estar junto a Jose Selvi, Manolo Benet, Sergio De Los Santos y Yago Jesús. Lo cierto es que me da bastante palo verme en pantalla y soy el mayor de los críticos conmigo mismo, pero ayer al fin lo visioné, y me reafirmo en las buenas sensaciones que tuve durante mi participación y estancia en León.
Para acabar, suscribo al 100% lo que ha publicado Yago en Security By Default, me refiero al gran trato recibido por INTECO, mención especial a Alberto (no tengo tu Twitter;) Javier Berciano y Francisco Losada, un saludo para el resto del equipo y compañeros de mesa, además del público que asistió al evento, sin olvidar a quienes estaban con el streaming -;).
Bueno, sobre lo de Twitter y el cambio de password vía web no voy a hablar mucho porque los habituales de DaboBlog lo sabéis. Ya hice la demo en el pasado FIMP, demostrando que se podía acceder (en el caso que presenté) con un cliente móvil con la contraseña antigua todo el tiempo que quisieras hasta que que cerrase la sesión (también lo mencioné en el 5EBloggers del ENISE e hice otra demo vía móvil a varios compañeros de mesa). A modo de recordatorio, en caso de pérdida de un móvil u otro dispositivo ya sabéis, o borrado remoto, o ir a Twitter y revocar el acceso a la aplicación. Aún cambiando vía web el password, seguirán conectados a tu cuenta.
Ayer llegué de León con muy buen sabor de boca, después de haber participado en el evento «Encuentro blogueros de Seguridad 2011» organizado por INTECO-CERT, una mesa redonda (larga y rectangular más bien;) dentro de las actividades paralelas del 5º ENISE (Encuentro Internacional de Seguridad de la Información).
Creo que un buen resumen acerca de lo que hablamos lo hizo (y muy rápido, dada la hora a la que nos retiramos) Sergio de los Santosen el Blog del laboratorio de Hispasec. (no «de los Santosm» como dice ABC, tampoco su crónica, leyendo ya el primer párrafo se ajusta a la realidad-;). Edito y añado la crónica de Manolo (grande;) en Security Art Work, así podéis leer todos los puntos de vista.
Por añadir algo a los suyos, entramos en un debate con opiniones diversas sobre si la concienciación en buenas prácticas sobre seguridad informática era efectiva. Bien desde la divulgación pura y dura, acompañada de la dureza de posibles sanciones, etc. Sobre este punto hay una cosa que tengo muy clara, independientemente de las opiniones vertidas, la realidad es que todos los que estábamos en la mesa, desde hace años, venimos haciéndolo en distintos medios y seguiremos haciéndolo. Creo que por encima de nuestras opiniones o percepciones, seguiremos porque es necesario y más con el panorama actual, ciertos mensajes sí llegan al usuario final.
El concepto de «seguridad por oscuridad» viene ya de lejos. Imagino que, si hablamos de servidores web, nace de la necesidad de protegerse tanto de muchos ataques automatizados que pueden llegar a nuestro servidor web, buscando versiones de software vulnerables, como de la imposibilidad de realizar esas actualizaciones o frente a ataques «0 day», para los que no hay ningún parche disponible.
Hoy vamos hablar de una herramienta interesante que ya mencioné hace más de un año en el pasado FIMP. Se trata de «Whatweb», (acceso a la web del proyecto y su lugar en GitHub). Se trata básicamente de una herramienta capaz de identificar las versiones instaladas de la gran mayoría de CMS (gestores de contenidos) actuales, plugins y una gran variedad de aplicaciones web. También proporciona datos tan relevantes como versiones de Apache, SSL o PHP a través de la información extraída de las «cabeceras» o «banners» que lee cuando realiza una petición al website en cuestión.
"Features" (Según se lee en la web del proyecto):
* Over 1000 plugins
* Control the trade off between speed/stealth and reliability
* Plugins include example URLs
* Performance tuning. Control how many websites to scan concurrently.
* Multiple log formats: Brief (greppable)
XML, JSON, MagicTree, RubyObject, MongoDB, SQL.
* Proxy support including TOR
* Custom HTTP headers
* Basic HTTP authentication
* Control over webpage redirection
* Nmap-style IP ranges
* Fuzzy matching
* Result certainty awareness
* Custom plugins defined on the command line
Por lo general, simplemente dentro del directorio desde donde hayamos descargado Whatweb, ejecutamos;
Pues sí, allí estaremos, el próximo Miércoles día 26, a las 19 h en el Salón Auditorio A, del Parador San Marcos. Compartiendo mesa y ponencia con gente a la que sigo habitualmente (y admiro) como una actividad paralela a los actos que se celebran en torno al 5º ENISE (Encuentro Internacional de Seguridad de la Información).
Con el tema «Hacia una sociedad conectada más confiable» (ceo que el tema dará mucho juego), pudiendo seguirse de un modo presencial (entrada librehasta completar el foro) o para quienes no puedan asistir, vía web. Tras una primera intervención por parte de quienes formamos la mesa, luego habrá un turno de preguntas y respuestas. En Twitter, el «hashtag» será; #5Ebloggers
En la mesa compartiré espacio junto a;
Moderador; Javier Berciano (Coordinador del Área de Operaciones de INTECO-CERT)
Ya he hablado antes en DaboBlog de seguridad y WordPress. No hace mucho, publiqué en mi cuenta de Twitter un enlace con el título «Hardening WordPress» (la guía oficial de WordPress para fortificar instalaciones de WordPress). El amigo Jordi Prats de «System Admin», escribió un artículo «Configuración segura de Apache para WordPress«, con el fin de evitar el listado de plugins frente a una auditoría realizada con nuestro querido Nmap (vía el script http-wp-plugins para nmap). (Añado) En Security Art Work también están con una interesante entrega.
Pero tenía pendiente esta entrada sobre este tema y está dedicada especialmente a Dani de «El Arca de la alianza» ya que en alguna ocasión me lo había comentado, y era algo en «pendiente» desde que grabé con él un podcast sobre «Iniciación a la seguridad informática». (y a ver si retomas la publicación bandido;).
Sobre todo esto se ha escrito por supuesto mucho y muy bien en otros blogs, pero destaco y recomiendo leer los enlaces a las entradas de WordPress.org, Jordi , Chema, Security By Default y Oreixa (con esos seis enlaces ya tenéis una buena hoja de ruta para empezar) ya que me parece que todo puede ser complementario. También citaré alguno útil en el caso de que tengáis el registro de usuarios activado en vuestro blog.
Además de cuestiones como proteger la cuenta de admin (o cambiar el nombre), tener passwords potentes (y cambiarlos), habilitar incluso el acceso por SSL al área de administración (Oscar Reixa habló de ello y publicó una entrada de la parte que tocó de WordPress junto a mi en el FIMP 2010) o una configuración de PHP para que en el caso de que haya algún fallo en la ejecución de una función o un plugin (display errors «off») para que no revele el «path» o ruta de la instalación de WordPress (un tema publicado no hace mucho en Security By Default, recomendable su lectura). Sobre cuestiones de seguridad, servidores web y Apache (que está todo relacionado), quizás os sirva también de ayuda el resumen de mi participación en el FIMP de Gijón (2010).
# 25 Plugins para dotar a WordPress de más seguridad.
#Actualizado, al final están los nuevos, gracias por vuestras sugerencias ;)
Vamos a pensar que no todo el mundo tiene acceso vía SSH para controlar su servidor, puede estar en un hosting compartido y creo que sobra decir que si no tenéis vuestra instalación, temas en algún caso y plugins actualizados, de poco servirán muchas de las medidas de prevención comentadas.
Akismet; Todo un clásico, poco hay que hablar de él, salvo que conviene mirar de vez en cuando los comentarios o «trackbacks» ya que no es muy difícil ver «falsos positivos» y más cuando alguien en un comentario alguien mete más de 3 enlaces como se puede configurar en «Ajustes-Comentarios»). Web del plugin
Automatic Updater: Muy interesante, podéis olvidaros de darle al botón de «actualizar» tanto a nuevas versiones de WordPress como a temas y plugins. Eso sí, ojo con las personalizaciones de plugins y temas. Web del plugin
Comment Timeout; Como complemento a Akismet es perfecto. Permite cerrar los comentarios en entradas antiguas, tanto a nivel global, como en cada entrada individualmente. También funciona con los «pingbacks» o «trackbacks». Web del plugin.
WordPress Backup (BTE); Realizar una copia de seguridad de vuestro tema actual, uploads, imágenes, el tema actual, etc en un directorio (formato .zip) también hay una opción para enviarlo todo por e-mail. Web del plugin.
WordPress Database Backup; Como complemento al anterior, realizar backups de vuestra base de datos (incrementales) y además, tiene la opción de poder enviarlos por e-mail. Web del plugin.
Automatic WordPress Backup; Según nos sugiere e informa en los comentarios Rastreador «Este plugin realiza backups periódicos de tu instalación de WordPress contra un servidor S3 de amazon». Web del plugin.
WP-DBManager; al igual que si desde vía SSH ejecutáis comandos MySQL como mysqlcheck -o (optimize) – c (check) -r (repair), este plugin hará lo mismo, ayudando a que vuestra base de datos esté siempre a punto. Web del plugin.
Stop Spammer Registrations Plugin; Aquí ya entramos en el tema de los blogs con registro de usuarios habilitado, previene y puede dejar en «cola» de aprobación, a los usuarios con correos o IPs que puedan estar marcados como «spammers» por StopForumSpam.com, Project Honeypot, DNSBL o BotScout. Web del plugin.
Además del comentado «Stop Spammer Registrations», que ayuda con el Spam y usuarios potencialmente peligrosos puede estar bien usarlo junto a;
Cimy User Extra Fields; Posibilita la opción de reforzar el área de registro del blog, con campos personalizables, sistemas de verificación del registro, puedes ver en una lista de los usuarios pendientes de activar su cuenta, etc (ejemplo en Daboblog con otro parecido, Register Plus Redux). Web del plugin.
Wp Contact Form 7 + Really Simple CAPTCHA; Una buena opción de formulario de contacto junto a la función de Captcha del «Really Simple» para evitar Spam en el envío de correos. Web de WP Contact Form 7 | Web de Really Simple Captcha.
WP Hide Dashboard; También útil para blogs con registro de usuarios, remueve los campos innecesarios del perfil de usuario para que no pueda acceder a otras áreas administrativas. Web del plugin.
Login LockDown; Plugin para prevenir ataques de fuerza bruta contra el usuario / password. Por citar un ejemplo, puedes definir que con 3 intentos fallidos de «login», se realice un bloqueo contra la IP durante 600 seg. Luego verás una lista de las IPs bloqueadas (pudiendo sacar alguna de esa «lista negra». Web del plugin.
AskApache Password Protect; Un gran plugin que no estaba añadido, permite autenticación «HTTP Basic» o una más segura «HTTP Digest Authentication». Te puede ayudar a bloquear Spam y conservar recursos de CPU, memoria, base de datos, etc. Puedes elegir un usuario y password para proteger además del login, directorios como wp-admin, wp-includes, wp-content, plugins, etc. Web del plugin.
Exploit Scanner; Puede ser útil en el caso de que vuestra instalación haya sido comprometida, para buscar en la base de datos, o ficheros, rastros de y huellas de un ataque (también busca en el CSS, HTML, etc). Ojo a los 128 mb de memoria. Web del plugin.
Secure WordPress; Múltiples funciones como pueden ser; remover la versión de WordPress, crear un archivo «index.php» en /themes o /plugins para evitar el listado de directorios, proteger vuestro WordPress contra peticiones de URL maliciosas, evitar que tanto WP a nivel de Core o sus plugins no se actualice salvo por administradores, remover de wp_head opciones como «Windows Live Writer» o «»Really Simple Discovery»» o remover informaciones de error en el login. Web del plugin. (Actualizado, ahora de Acunetix, nuevas funciones e interesante la opción «Live Traffic», sustituido por «Acunetix WP Security«)
Block Bad Queries (BBQ); Ayuda como el anterior a proteger WordPress de peticiones de webs o IPs maliciosas, realiza un chequeo de cadenas excesivamente largas (por ej mayores de 255 caracteres) , también controla peticiones URI / «Base 64», etc. Web del plugin
WP-Sentinel; Además de un sistema de bloqueo de IP, alertas al usuario en caso de ataque, etc, protege la instalación de algunos ataques tan comunes como; «Cross Site Scriptings, HTML Injections, Remote File Inclusions, Local File Inclusions, SQL Injections, Cross Site Request Forgery, Login bruteforcing, Flooding«. Web del plugin.
WP Security Scan; Realiza un chequeo de tu WordPress buscando posibles vulnerabilidades y sugiere acciones correctivas en campos como; passwords, permisos de ficheros, seguridad de tu base de datos, oculta la versión de WP, protección para la zona de administración y remueve la etiqueta » WP Generator META» del «core» de WP. Web del plugin.
AntiVirus for WordPress; Su función es realizar búsquedas diarias con reportes vía mail de en vuestro WP por si hay algún script o llamada maliciosa, protege de ciertos exploits e inyecciones de spam. Otra protección contra el malware en vuestro blog. Web del plugin.
Mutex; (tal y como publican en Security By Default) «Es un plugin para WordPress que incorpora PhpIds y además, lo integra perfectamente en WordPress permitiendo su administración desde el panel de gestión». Web del plugin.
WordPress Firewall 2; Otro de esos que no pueden faltar y que bloquea múltiples peticiones potencialmente peligrosas para tu blog. Web del plugin.
Añado:
Wordfence: Todo lo que he visto me ha gustado, el monitor para ver el tipo de tráfico, ataques de fuerza bruta, el escaneo y comparación de versiones de ficheros de WordPress, etc. Web del plugin.
Sucuri Security. Otro más con interesantes funcionalidades tanto para bloquear ciertos ataques y prevenirlos, además de tener un mayor control sobre tu instalación. Web del plugin.
Stop XML-RPC Attack: Como su nombre indica, más que útil para mitigar ataques a través de estos protocolos con denegaciones de servicio o picos puntuales de tráfico muy altos. Web del plugin.
Además de todo esto, os recomiendo dar un vistazo a esta entrada del mes pasado en DaboBlog sobre «Web Site Defender«, un servicio muy interesante para controlar instalaciones de WordPress. Y recordad borrar el readme.html que da la versión !
Espero que os sea de utilidad, partiendo de la base que siempre se podrán encontrar brechas de seguridad en un sistema remoto y, que ese concepto de la «seguridad total» es sólo eso, un concepto, estas acciones os ayudarán a estar «un poco más tranquilos», saludos ;).
Bueno, aún con la «resaca» de tres días muy intensos en el Fimp, es momento de dedicar una entrada a un evento que cada año se va superando. Si pongo nombres de tanta gente con la que he estado tan a gusto, seguro que me dejaría alguno en el tintero electrónico de mi teclado.
Edito y añado; Disponible el vídeo (mi monólogo a partir del minuto 24, pero recomiendo verlo entero).
Y no quiero hacerlo, ya que creo que tendría que incluir a la gran mayoría de gente que asistió al FIMP, bien como ponentes o asistentes (y el resto que pudiese faltar, sería por no haber podido hablar con ellos). Aquí mi resumen del año pasado y mi parte de la charlasobre seguridad y servidores web..
Aún estás a tiempo de no perderte una gran reunión de mucha gente a la que seguramente, leas habitualmente en sus blogs. Sólo tienes que ver la lista de los participantes (no lo digo por mi-;), para darte cuenta del nivel y el esfuerzo por parte de la organización de presentar un programa de lo más atractivo y además con actividades y talleres paralelos muy interesantes.
En mi caso, a diferencia del año pasado del que (a pesar de la fiebre) guardo un gran recuerdo de mi ponencia compartida con Fernando de la Cuadra (de ESET, que vuelve a patrocinar el evento y nos dedicó este bonito artículo en la revista «Linux +» ) y Oscar Reixa (recuerdos para Josep Albors), en esta ocasión estaré el Sábado dentro del apartado «Monólogos y enséñame lo que sabes en 5 min». Yo humildemente y sin querer parecer pretencioso, (por aquello de «enseñar lo que sé» con todo lo que me falta por saber) hablaré «De (IN) Seguridad, PYMES y Webs«.
Si te quieres inscribir, aún estás a tiempo y vaya, si pasas por el evento este fin de semana allí nos veremos. Muchas gracias a la organización por contar conmigo de nuevo y por el esfuerzo que supone hacer realidad en los tiempos que corren algo así.
Nos vemos en Gijón !!!
DaboBlog
lsb_release -a > Debian GNU/Linux. Por David Hernández (Dabo) ¿Ciframos? GPG Key 0xBC695F37
Siento molestarte con esto de las Cookies, pero es por imperativo legal. Puedes ver aquí la Política de Cookies, si continúas navegando te informo que la estás aceptando ;)
Ver
Con menos tiempo para publicar del que me gustaría y a unas horas de editar el podcast 33, (más bien aquí, porque en www.daboweb.com voy posteando con más regularidad, en Twitter @daboweb) ya que estoy impartiendo un curso sobre «Seguridad y el impacto de las TIC en la PYME», además de preparando algún otro y mis líos habituales, entro para comentaros que ya están disponibles los vídeos de 5ENISE, un evento celebrado en León sobre el que os dejé aquí mis impresiones hace unos días y promovido por INTECO-CERT.
El concepto de «seguridad por oscuridad» viene ya de lejos. Imagino que, si hablamos de servidores web, nace de la necesidad de protegerse tanto de muchos ataques automatizados que pueden llegar a nuestro servidor web, buscando versiones de software vulnerables, como de la imposibilidad de realizar esas actualizaciones o frente a ataques «0 day», para los que no hay ningún parche disponible.
En el caso de Jordi, fue a raíz de 
Bueno, aún con la «resaca» de tres días muy intensos