Capítulo I. Introducción al ecosistema de WordPress;
1. Un repaso por la historia de WordPress,
Desarrlladores,
2. Métricas que enamoran,
3. Información y datos que preocupan,
4, Funcionalidades,
Multisitio,
Plantillas y Themes,
Widget,
Plugins,
5. Hooks, Acciones y Filtros,
Hooks,
Acciones,
Filtros,
6. Como colaborar con WordPress,
7. Antes de Instalar WordPress,
- Capítulo II. Instalación segura de WordPress,
1. Donde obtener WordPress,
2. Anatomía de WordPress,
3. Definición de los Usuarios,
4. Roles de usuarios en WordPress,
5. Roles de Usuarios sin verificar,
6. Por qué se contrata un servicio de Hosting,
7. Instalación,
8. Docker WordPress,
9. Docker Hub,
10. Como instalar Docker,
11. Docker Compose,
12. Instalar Docker Compose,
13. Instalación de WordPress con Docker Compose,
- Capítulo III. Configuración básica de Seguridad;
1. Principios del Hardening,
Defensa de profundidad,
Mínimo Privilegio Posible,
Mínimo punto de exposición,
2. Cambiar los permisos en Archivos y Directorios,
Permisos básicos,
Clases de usuarios,
Los valores Octales,
3. Como proteger el archivo wp-config.php,
4. Políticas de cambio de contraseñas,
5. Modificando los accesos al Dashboard de Administración,
6. Restringir accesos a direcciones IP no deseadas,
7. Medidas de Seguridad en .htaccess,
8. Permisos especiales para Plugins,
9. Los códigos de estados de HTTP,
Códigos de estados 1XX,
Códigos de estados 2XX,
Códigos de estados 3XX,
Códigos de estados 4XX,
Códigos de estados 5XX,
10. Desactivar los métodos Trace / Track de HTTP,
11. Evitar la navegación por directorios,
12. Aplicar reglas de una Blacklist,
13. Como acultar la versión de WordPress,
Eliminar la versión en el Theme,
Dejar sin acción la función que escribe la versión WordPress,
14. Configurar la revisión en las prublicaciones,
15. Como desactivar REST API,
Desactivar el enlace en el head de REST API,
16. Puntos a revisar antes de desplegar WordPress en Producción,
17. WordPress seguros con X-Frame-Options y cookies HTTPOnly,
18. Como implementar X-Frame-Options Header en WordPress,
19. Como implementar Cookies con HTTPOnly y Secure frag,
- Capítulo IV. Plugins y Themes;
1. Introducción a los Plugins,
2. Consideraciones a tener en cuenta,
3. Instalación de Plugins,
¿Por qué es mejor implementar un procedimiento manual?,
4. Listado de Plugins recomendado,
Plugins de Seguridad,
Plugins de Mantenimiento,
Plugins de Optimización y Rendimiento,
Plugins para realizar Migraciones,
Plugins con herramientas Avanzadas,
5. Cómo escribir el primer Plugins,
Cuándo se debe escribir un Plugin,
Sugerencias para el desarrollo de Plugin,
Nombre del Plugin,
Archivos del Plugin,
Archivos Readme,
Información Estándar del Plugin,
¿Por qué es importante incluir el archivo indez.php?,
6. Desinstalar un Plugin,
7. Implementación de los mecanismos de seguridad de Latch,
¿Qué es Latch?
Requisitos previos,
Pasos para realizar el pareado de una cuenta con Latch,
Guía de instalación de Latch y el Plugins para WordPress,
Obtención del identificador de la aplicación,
Descarga de Plugin para WordPress,
Instalación del Plugin,
Configurar el Plugin instalado,
Uso del Plugin "Latch" por el usuario,
¿Cómo parear un usuario?,
8. Agrupar el control de varios WordPress bajo un solo Latch,
Escenarios de trabajo,
Limpiando,
Conclusiones,
9. Introducción a los Themes,
10. Instalación de Theme,
11. Como escribir el primer Theme,
12. Desinstalar un Theme,
13. Plugins de seguridad,
14. Recomendaciones Finales,
15. Doble Factor de Autenticación Temporal con Latch,
- Capítulo V. Crónicas de un ataque a WordPress;
¿Cómo fue que sucedió?,
Recopilando información de Plugins en WordPress,
Los objetivos del ataque,
Aprender de los errores,
- Capítulo VI. Políticas de actualización en WordPress;
Desactivar todas las actualizaciones,
¿Cuál es la razón para desactivar las actualizaciones automáticas?,
Opciones de actualización del núcleo (core),
Las funciones_return_true y _return_false,
Actualizaciones automáticas en Plugins y Themes,
Actualizaciones automáticas de traducciones,
4. El mito de las actualizaciones,
5. Crear un inventario,
6. Monitoreo,
¿Qués es lo que interesa monitorear?,
7. Entornos de Prueba y Producción,
8. Ejecutando las actualizaciones,
9. Documento de actualización,
- Capítulo VII. Asegurando las Bases de Datos;
1. Introducción y Configuración de MySQL,
2. Administración de MySQL,
Consultar los usuarios,
Crear un usuario en MySQL,
Como eliminar un usuario,
Cambiar el nombre de un usuario,
Modificar la contraseña de Usuario,
Asignación de Permisos,
Elimina privilegios de un usuario,
El archivo-/.mysql_history,
Crear y Eliminar Bases de Datos,
3. Ejecutar y restaurar copias de seguridad con MySQLDump,
4. Monitoreo,
5. Consultas útiles para aplicar en WordPress,
Obtener el tamaño de la base de datos,
Cambio de los atributos siteurl y home de wp_options,
Cambiar el atributo guid de wp_post,
Cambiar URL en contenido del sitio web,
Cambiar el PATH de las imágenes publicados en los artículos,
Actualización en los valores wp_postmeta,
Cambiar el nombre de usuario admin,
Restablecer la Contraseña,
Eliminar la revisión de artículos y páginas publicadas,
Eliminar todo Pingback,
Eliminar todos los comentarios spam,
6. Hackear un WordPress con Network Packet Manipulation;
Analizando las consultas de WordPress,
Ataque 1: Cambiando las passwords a los usuarios,
Ataque 2: Crear usuarios en WordPress,
7. Fortificación de comunicación entre WordPress y MySQL para Evitar los ataques de NPM (Network Packet Manipulation),
WordPress por defecto,
Punto 1. Fortificando la conexión a MySQL con SSL,
Punto 2. Configurar WordPress para que cifre con SSL la coneción a MySQL,
8. Wordpress in Paranoid Mode,
9. Seguridad en phpMyAdmin,
10. Cadena de conexión de WordPress a MySQL,
Dividiendo las cadenas de conexión para usuarios autenticados y no autenticados,
Configuración de WordPress,
- Capítulo VIII. Copias de Seguridad;
1. Tipos de Backups;
¿Cada cuánto tiempo debería hacer una copia de seguridad?,
¿Se puede usar este método para respaldar otros datos?,
¿Cuántas copias de seguridad se debe hacer?,
¿Es posible reducir el espacio de las copias de seguridad?.
¿Se puede automatizar la copia de seguridad?,
¿En que dispositivo se debe alojar las copias de seguridad?,
¿Cuánto tiempo se debe almacenar un respaldo?,
Backups completos,
Backups incrementales,
Backups diferenciales,
2. Copias de Seguridad en WordPress,
¿Por qué simplemente se propone respaldar la base de datos y los archivos generado en el directorio wp-content/uploads/?,
3. Plugins para realizar copias de seguridad en WordPress,
Xcloner- Backup and Restore,
BackUpWordPress,
WordPress Backuo to Dropbox,
Back WPuop Free - WordPress Backup Plugin,
4. Pruebas en la restauración de Backup,
5. Conclusiones,
- Capítulo IX. Políticas de restauración ante desastres;
1. Continuidad del negocio,
2. Control de cambios;
Stream,
Simple History,
3. Gestión de incidentes,
4. Plan de recuperación ante desastres,
5. Hacer uso del Plan de Recuperación ante Desastres,
Plan de recuperación multiuso,
6. Informe de resultado,
Dirección,
Gerencia,
Técnicos,
7. RansomWare,
Listado de RansomWare,
8. RansomWare en WordPress,
9. Recomendaciones finales,
- Capítulo X. Fortificando la instalación de WordPress con WPHardening,
1. El camino a la automatización,
2. ¿Qué es WPHardening?,
3. Instalación,
El administrador de Paquetes pip,
Actualización,
4. Primeros pasos con WPHardening,
5. Cambiar los permisos en Archivos y Directorios,
6. Cambiar dueño y grupo en Archivos y Directorios,
7. Eliminar componentes que no son necesarios,
8. Crear un archivo robots.txt. correcto y a medida,
9. Eliminar todo Fingerprinting de un proyecto,
10. Crear el archivo wp-config.php a medida,
11. Descargar los Plugins de Seguridad,
12. Evitar la navegación en directorios y ocultar errores,
13. Realizar un escaneo de malware,
14. Revisar las librerías TimThumb,
15. Trabajo en Conjunto,
16. Colaborar con WPHardening,
- Capítulo XI. Auditoría en WordPress con WP-CLI;
1. Conociento wp-cli.phar,
2. Requerimientos de Sistema,
3- Instalación de wp-cli.phar,
4. Escenario de Trabajo,
Cómo obtener la versión de WordPress,
Chequear actualizaciones de WordPress,
Ejecutar una actualización WordPress,
5. Administrar las Bases de Datos,
6. Como obtener información de los usuarios,
7. Cómo obtener información de los Plugins,
8. Cómo obtener información de los Themes,
9. Como buscar backdoor, webshell o código ofuscado,
10. Acciones en segundo plano,
- Capítulo XII. Los ataques más frecuentes en WordPress,
1. Ataques de Phishing a WordPress con enlaces en target="_blank",
Un servidor para hacer Phishing,
2. Cómo comprometer las contraseñas a los Administradores de WordPress con XSS,
3. Proteger la ejecución de acciones planificadas en WordPress,
4. Ataque en WordPress: Time-Based XSPA (Cross-Site Port Attack,
Time - Based XSPA (Cross-Site Port Attack),
5. Controlar el caché PHP de un sitio web en WordPress,
6. Fortificar WordPress frente ataques de fuerza bruta,
7. Escaneo de Vulnerabilidades con WPScan,
Como obtener WPScan,
Comprobación de Plugins vulnerables,
Comprobación de Themes vulnerables,
Enumeración de Usuario,
Fuerza bruta en contraseñas,
8. Auditoría en sistemas WordPress con Plecost,
Cómo instalar Plecost,
9. El escáner de vulnerabilidades CMSmap,
Como obtener CMSmap,
10. Detectar vulnerabilidades en WordPress con w3af,
Como obtener w3af,
Automatización de pruebas,
11. Como obtener información de WordPress con WhatWeb,
Cómo obtener WhatWeb,
12. Pruebas de contraseñas y Brutforcing con BLACKBOx,
Cómo obtener BLACKBOx,
13. Metasploit para WordPress,
Cómo obtener metasploit frameworks,
Índice alfabético,
Índice de imagenes,