inicie con wordpress por la version 2.3 aprox, hoy por hoy solo me dedico a parchear problemas de seguridad y wordpress ya infectados. De 10 paginas que veo, 10 son inseguras, nadie se ha preocupado por la seguridad. Esta lleno de sitios hablando de wordpress, pero solo muy pocos sobre la seguridad y las buenas practicas. Es una lastima, pero a la vez es una gracia para mi ya que muy poca gente que haga este trabajo y se puede pagar hasta más caro que la creación de la misma web.
Tienes recursos que recomiendas sobre este tema hace poco tuve un trabajo con un cliente, pero es terrible usuarios que no recuerda , bases de datos que tenían el mismo nombre que el usuario para acceder a ellas, wp dasbhboard rotos por plugins más viejos que la santa terrible totalmente
Hola. Yo trabajo con WP desde el 2010 y por experiencia puedo decir que por default WP es vulnerable, a menos que tomes cartas en el asunto (HARDENING). Sin embargo, como bien se dice en el video, la gran mayoría ni se preocupa por eso, de hecho en la primera agencia que trabajé, ni les importaba, ni la velocidad, a menos que el cliente pague por eso, pero con la seguridad, si el sitio se comprometía y era algo que habíamos hecho nosotros desde el inicio (la agencia) pues me tocaba recuperarlo y protegerlo y solo en estos casos se hacía. Pues casi todo el que sabe de eso, lo cobra aparte, como mejorar la velocidad o el SEO, etc. Pero no solo es WP que lo es por ser el más popular, también lo es Joomla y hasta Drupal y casi todo en internet es vulnerable, en mayor o menor medida. Se dice que Drupal por defecto es más seguro que WP, pero sin embargo la Casa Blanca (USA) lo cambió por WP, y los que amamos WP y conocemos otros CMSs sabemos por qué.
Bueno, hay algunas cosas que se comentan con desconocimiento en este video. El directory listing es una configuración del lado del servidor y no relacionada directamente a WordPress. El directory listing tambien podría estar mal configurado para una pagina HTML o para un build de React para ver los archivos de ese tipo de proyectos. Mas allá de eso es muy facil de solucionar cambiando al configuración para el directory listing ya sea en la configuración de Apache, Nginx, OpenLiteSpeed o el servidor que se este usando. Mas alla de que es un detalle feo, el acceso a la carpeta /wp-includes no significa un riesgo dado a que solo son los archivos del core de WordPress, a ver, tambien podrías verlos accediendo al repositorio de WordPress en Github. Otro tema mas delicado seria poder entrar al root del proyecto o a la carpeta /wp-content donde estan imagenes, videos, plugins, archivos de configuración y demas.
buena idea animes a MIDU a que cree un curso de seguridad para wordpress pero uno potente, por que es verdad es vulnerable wordpresss, a mi paso en mi proyecto de prácticas , cree un sitio para una fundación y al mes lo tiraron según decía los del hosting que era por que se dejo un vulnerabilidad en el formulario de contacto , o que era por que se compartió las claves, y lo que puede indicar de esto si lo asegure antes que pase esto , tanto cambio de dirección /wp-admin, cree una cuenta aparte para administrador y otro para el equipo y aun así infectaron el servidor , y lo que se me ocurre es por que no el puse el re-capchat al formulario o que otras personas mostraron la clave del hosting, bueno para concluir , lo bueno es que siempre realizo respaldo de lo ultimo , cosa que restaure el sitio una vez puede ingresar al hosting por que no se podía por que infectaron los archivos, y reforcé todo hasta coloque verificación de 2factores y re-capchat en formulario y panel de administración y puse wordfence, y aun así cada vez que se habla de estos temas de seguridad estoy pendiente , lo bueno es que no ha vuelto a ocurrir
buenas midu estaria genial un video mas extenso sobre este tema, ya que muchos nos estamos encontrando con paginas de wordpress que mantener y como tenemos poco uso de wordpress no sabemos de estas cosas. un saludo
@@castilla2372y el XSS? El front es una capa más del queso y no se debe olvidar la seguridad de esta. A pesar de que el back pueda actuar de cortafuegos.
El problema de que se puedan ver los directorios no es cosa de wordpress, eso se maneja a nivel server y te puede pasar con cualquier tipo de stack que uses. Alguien en el chat mencionaba que falta el index.php vacio en ese directorio (que justamente es para evitar disclosure cuando no esta activado a nivel server).
No. Nada de esto depende de la tecnología web ni del index. Esto es un tema de permisos del directorio web. Parece que ese día faltaron a clase todos..
" Alguien en el chat mencionaba que falta el index.php vacio en ese directorio" Eso no es proteccion. Se puede forzar la lectura de una carpeta sin necesidad de que se vaya al indice por defecto. Es decir, les falto un .htaccess correcto.
@@edurubiovarela3043 es justamente lo que dije, eso se configura a nivel server (nginx, apache, etc.). El index en blanco ayuda a mitigar un poco las cosas ya que si el directory listing es posible, por lo menos se muestra un index en blanco (aunque sea posible bypassearlo) y no el listado del directorio.
@@eng3d Nunca dije que sea proteccion, dije que el index vacio esta para evitar eso. Aunque reconozco que deberia haber dicho mitigar en lugar de evitar.
Eso que mencionas al inicio no es un problema de Wordpress, eso es un error de configuración de principiante, eso también pasaria con un sitio PHP sin Wordpress si configuras mal el servidor también
Cuando digo “el problema de WordPress”, no significa que WordPress tenga un problema es que la gente cree que su instalación por defecto ya te protege de todo.
@@midulive Y que sea tan vulnerable por defecto no lo hace un problema de WordPress? Hasta donde tengo entendido WordPress es para gente que no la tiene demasiado clara con el desarrollo de web apps. Opino desde la ignorancia, nunca toque WordPress
@@hin1883 si instalas plesk, cpanel, tu router, asterik, etc, etc con la configuración por defecto pasaria lo mismo, ahora eso es un problema de la herramienta o de la gente? es como tener un arma cargada en la sala con niños pequeños, es el culpa del arma?
Yo creo que el problema son los usuarios, no el framework... Un directoryListing es cosa del servidor. Con una app en react puede pasarte lo mismo y obviamente si guardas tu BD.sql en public... Pues apaga y vámonos. Lo de la API pues obvio es mejor desactivarla si no la usas, pero en una web vanilla también puedo tener una ruta o script que tarde 2s en cargar... También algo bueno de que tenga tanta comunidad es que si sale un xploit te enteras enseguida en tu propio correo si instalas un plugin de seguridad... En fin, que el problema no es la herramienta sino quién y cómo la use...
llevo mas de 10 años desarrollando en wordpress, una buena implementacion de seguridad como cualquier otro freenwork o cms y listo solucionado, no veo el problema en realidad.
En mi empresa estoy en un proyecto de Wordpress y todo eso con un plugin o unas líneas en algunos archivos te lo evitas, si bien entiendo que son cosas que WP mismo deja muy vendidas, realmente es un descuido por parte de los desarrolladores y siendo tan sencillo de resolver es preocupante.
Hace años que me dedico a hacer páginas web en Wordpress y nunca he tenido ningún problema. Wordpress por defecto es vulnerable, pero hay técnicas y plugins que lo hacen bastante seguro. Luego por su puesto que si alguien se empeña en tirar una web, da igual como esté hecha que te la van a tirar. Pero evitar esos "bots" hoy en día es fácil si sabes como configurar bien WP.
Hola, soy diseñador y trabajo con wordpress, desde entonces me he interesado por aprender de desarrollo y claro de seguridad. en cada proyecto busco mejorar, y el area de seguridad es en lo que ahora me estoy enfocando. Me gustaría en la medida de lo posible tenner más contenido de cómo hacer un sitio en Wordpress mas seguro. Me intereso mucho el consejo de tener dos servidores unao para los recursos otro para los bases de datos y archivos php, también cuales son las vulnerabilidades, te lo agradecería infinitamente. Saludos
Te tiran la web, instalas cloudflare, instalas un plugin para cambiar el wp - admin y listo, realmente Wordpress es de lo mas seguro, otra cosa es que no sepan usarlo. Al final hagan lo que hagan restauras la pagina en el hosting y listo. easy
¡Exacto! Hay una gran diferencia entre desarrollar en WordPress y simplemente instalar plantillas. Muchos creadores de contenido en RUclips relacionados con la programación suelen criticar WordPress o menospreciar a quienes lo usan de manera profesional, sin entender realmente el valor de esta herramienta. Este rechazo muchas veces se debe a que el modelo de negocio de creación de sitios web en WordPress es más escalable y rentable tanto para el cliente como para el desarrollador, en comparación con desarrollar un sitio desde cero con un programador. Lo curioso es que muchos de estos críticos hablan desde la ignorancia, ya que apenas han explorado WordPress de manera superficial, y algunos ni siquiera han hecho una instalación básica. Sin embargo, por el hecho de ser programadores, asumen que su enfoque es superior. La realidad es que WordPress tiene muchos profesionales desarrolladores low code e inclusos programadores que prefieren hacer sus proyectos allí. Wp es una plataforma increíblemente versátil y poderosa, con la capacidad de construir casi cualquier tipo de proyecto web. Y eso es algo evidente para el que indaga un poco más, pero hablar mal de wp claro da mas views.
El SysAdmin es que debe tener su checklist estándar cuando aloje wordpress en sus servidores (o un CMS, hasta Ghost :/), una solución es montar todo en contenedores
Wordpress es un producto muy específico para un publico muy específico. Podriamos decir que es el ikea del desarrollo web. No le pidas que sea un mueble para toda la vida. Además el error es querer usarlo para todo.
Después de meses de terminar la FP me estoy planteando seriamente hacerme freelance, y a la larga incorporaré más herramientas, pero justo empezé a trabajar con WordPress porque se usa mucho, a la gente le suena, y la herramienta como tal no me parece mala... Pero sí que me interesa mucho ver como hacerlo seguro porque sí que he visto que es un problema prominente, y no quiero ofrecer a los clientes webs sin un mínimo de seguridad. Además de los consejos que das, si alguien tuviera algún recurso de como mejorar la segurad en tu web, particularmente WordPress, se lo agradecería.
@@GC-mq8gj Cuando empecé hace dos años en las empresas se pedía bastante como requisito, pero ahora como no te contraten en las prácticas, papel mojado. De todas formas, no lo veo malo, lo estoy trabajando de forma programática y sólo es una forma de tener un producto rápido en el mercado mientras sigo formándome, tengo bastantes ideas, el tema es el tiempo para desarrollarlas y buscar los clientes. Pero sí, entre en sogware pensando que sería una buena solución al tema de tener una carrera profesional que crezca con el tiempo y me metí de pleno en tremendo cuello de botella... Lo que tiene haberse subido acabando la pandemia, y tampoco es que un bootcamp te arregle la vida.
@@GC-mq8gj Hace dos años cuando la empecé, la pedían mucho como requisito mínimo. El tema es que ahora en la industria post-pandemia ha perdido valor. Como no te contraten en las prácticas, pues estás jodido. Y bueno, igual sigo buscando, a lo mejor en enero el tema mejora. Pero al margen de eso, yo no creo que sea mala formación, el uso que le puedo dar a WordPress es mucho mejor que el que le da mucha gente porque tengo bases muy sólidas de bases de datos y programación web. Empiezo con WordPress porque creo que es un producto rápido y fácil de mover en pymes, no tiene sentido que me ponga a utilizar herramientas más complejas como Spring si la escala de negocio no lo requiere. Además también manejo Astro, y frameworks del entorno de Java y de Python, pero claro, esto es mucho trabajo mío encima del que hice en la FP. Personalmente WordPress sólo es una forma de buscar ingresos a corto plazo, seguiré formándome y poco a poco me moveré a nichos que me interesan bastante más. Y no creo que un bootcamp sea una opción, y las carreras están un poco con el agua al cuello si no consigues unas buenas prácticas.
@@GC-mq8gj Hace dos años cuando la empecé, la pedían mucho como requisito mínimo. El tema es que ahora en la industria actual ha perdido valor. Como no te contraten en las prácticas, pues estás jodido. Y bueno, igual sigo buscando, a lo mejor en enero el tema mejora. Pero al margen de eso, yo no creo que sea mala formación, el uso que le puedo dar a WordPress es mucho mejor que el que le da mucha gente porque tengo bases muy sólidas de bases de datos y programación web. Empiezo con WordPress porque creo que es un producto rápido y fácil de mover en pymes, no tiene sentido que me ponga a utilizar herramientas más complejas como Spring si la escala de negocio no lo requiere. Además también manejo Astro, y frameworks del entorno de Java y de Python, pero claro, esto es mucho trabajo mío encima del que hice en la FP. Personalmente WordPress sólo es una forma de buscar ingresos a corto plazo, seguiré formándome y poco a poco me moveré a nichos que me interesan bastante más. Y no creo que un bootcamp sea una opción, y las carreras están un poco con el agua al cuello si no consigues unas buenas prácticas.
Wordpress bien usado si es seguro. Pero está tan extendido, y es tan fácil hacer una web casi sin saber programar (y de vez en cuando un plugin con una backdoor) qué se dan muchos casos de webs de WP hackeadas. Sigue siendo una herramienta muy válida si se tienen en cuenta las pequeñas cosas de seguridad básicas.
Igual sigo recomendando wordpress si tienes poco presupuesto y el contenido no es tan importante por q es wordpress+theme o notener sitio (pero les explico todo eso)
Yo tengo un sitio web en wordpress, y si, los primeros meses no pasaba nada, hasta que un día empezaron a atacar, quien sabe por qué, ya que mi sitio ni es conocido, solo hago algunos aportes de programación y videojuegos, pero por algún motivo me volví blanco de ataques, lo que tuve que hacer es básicamente reconfigurar todo, y tener que hacer un sistema "más" seguro, ya que si alguien te quiere atacar, tarde o temprano lo hará, ningún sitio web se salva, solo que cuando sucede en grandes empresas, es mejor decir que fue un error humano interno, que decir que fue hackeado el sistema.
Yo noté eso en la aplicación la primera vez que la usé y para ese momento, sólo pocos en comundades le daban seguimiento al problema, porque no había forma de asegurar tu página. Tenías que picar algo de código. hoy hasta plugins y widgets hay para ello.
Midu yo trabajado con wordpress mucho el tema es ponerle un poco de carino a la seguridad, escoger un buen plugins de seguridad darle un poco configurar lo minimo por lo menos y un poco mas yo desde hace tiempo a los clientes le paso el presupuesto seguirdad y cookies por separado ellos deciden si lo toman o no... y al verdad que no tenido problema de seguridad con los sitios la mayoria de bots estan disenados par sitio sin nada de seguridad y si encuentra algo de resistencia next, ademas es un negociaso la seguridad de wordpress
No es culpa de los devs. Es culpa de los dueños de negocio que quieren un netflix o un uber con presupuesto para unas quesadillas y al no poder pagar gente de calidad con tecnología de calidad contratan un aprendiz que apenas sabe usar tecnología y lenguajes básicos y obsoletos que ni siquiera sabe Linux pues es de esperar de un aprendiz.
¿ Si pones cloudflare enfrente de un sitio, que porcentaje de posibilidades hay de salvarte de los ataques de fuerza bruta o de todos los ataques en general ?
@@danielggerson411 creeme que si existe. En mis vacaciones en bolivia me meti hasta la cocina de un banco. Pude descargar todos los reportes mensuales y el anual entre muchos otros datos internos. Y lo peor? es un banco bastante conocido allí.
Esto tambien tiene que ver a que medida esta el desarrollador sabe sobre servidores, hay algunos que no tienen ni la remota idea de como cubrir los puntos basicos de seguridad o lo unico que sabe en la terminal es hacer npm install , tu servidor no viene magicamente asegurado de fabrica.
El problema de WP es que hay mucho manco. Hay mucha gente que trabaja en producción, no aplica actualizaciones, instala cualquier cosa sin control, etc.
como me gustaría ver mas contenido de esto de cyberseguridad
14 часов назад+1
Pero eso que muestra no tiene nada que ver con Wordpress, el directorio expuesto es otro error que lo tiene el Hosting. Un CMS hecho por un particular es más peligroso en estos tiempos.
En uno de mis anterior empleos eso pasaba.. mi jefe les metía wordpress a todos los clientes, pagaba por un template y se olvidaba del asunto, ni se interesaba en actualizar la version que tenían los clientes porque a veces los plugins no eran actualizados tampoco.. así que.. vulnerabilidad sobre vulnerabilidad
Ademas de que los mismos implementadores de Wordpress no le dieron la respectiva importancia a Wordpress, siempre se dio la imagen de que Wordpress es instalar, cambiar un par de cosas y listo ! Ventas online faciles de hacer. Creo que es mas un tema de educacion a los desarrolladores y clientes.
El problema no es WordPress, es que muchas veces no se profundiza en cómo configurar correctamente WordPress, cualquier framework o tecnología que no configures y cierres correctamente tiene esos problemas.
6 часов назад
Pasa que ese error, es mas del lado de la conf del server mismo, no propiamente de WP. Lo mismo puede suceder con cualquier otro CMS. No me caso con WP, pero hay que gestionarlo como cualquier otro proyecto de software.
Yo creo que es mas cuestión de buenas prácticas y de escoger la tecnología correcta, he visto sitios de varias tecnologías y al final no es la flecha sino el indio
Hace unos días me llegó un mensaje de un sitio web hecho en wordpress donde los archivos en la carpeta de assets contenía código malicioso y de usurpación de identidad
Hola midu, por favor, ¿puedes darme una pista sobre qué algoritmos se usan para una optimización de corte? Me refiero a cuando juntan moldes o patrones, sea de ropa u otros, y la computadora optimiza los moldes en el menor espacio posible. Y también para dibujar moldes o patrones, tal vez sabes algo o mucho. Estaba buscando información para el contexto 2d del canvas pero es muy basto para mí. Te lo pregunto también porque otro día ví como hacías un tetris desde cero y por ahí va la cosa
Pero si eso pasa con todos los framework conocidos, si administras una web sabras que cualquier herramienta que uses es propensa a ciertos tipos de ataques, la clave es tener conocimiento de las herramientas que usas y no ser un imbécil que quiere una red social por 10 dólares.
En mi opinión el problema de WP cn la seguridad no es el propio WP, sino que cualquiera puede instalarlo y hay muchos alojamientos sin ningún tipo de soporte. Luego ocurren cosas desagradables porque has dejado la seguridad de lado porque quien ha montado el tinglado no tiene ni idea de seguridad. Y eso que no hablamos de instalar plugins o de plugins piratas conseguidos de vete tu a saber donde.
Lo de probar una URL de un Wordpress llamando a la carpeta /wp-json/ me ha explotado la cabeza. No me puedo creer que durante años mis webs en Wordpress "regalen" tan alegremente TODOS los datos importantes de mi web. Solo les faltaba poner la contraseña. Esto es demencial! ¿pero a qué idiota de Wordpress se le ha ocurrido una idea tan estúpida como esta?
Si y no. El uso de la api de wordpress es solo uno de los vectores de ataques mas comunes, pero también tienes por ejemplo el uso del cron, cada visitante hace que el cron de wordpress se ejecute automaticamente. Lo recomendable es deshabilitarlo y realizar una tarea programada desde el servidor que lo ejecute.
Bueno eso realmente NO ES CUMPLA DE WORDPRESS ojito con esto, esto se debe a la configuración del server WEB específicamente en el directorio del document root, la línea especifica de configuración es esta exactamente Options -Indexes Esta opción que como ya digo NO ES CULPA DE WORDPRESS, es culpa de aquellos responsables de la configuración WEB asi como tambien bloquear la API que es de mucho valor para los creadores de contenido pero igualmente, ES CONFIGURACIÓN DEL WEB SERVER Y NO DE WORDPRESS. VAMOS REPITO SI NO SABEMOS DE LO QUE ESTAMOS HABLANDO MEJOR NO SEÑALAR, y ojito que quede claro no soy fan de WORDPRESS pero no es fallo de el si no mas bien de la config del servidor WEB, que repito se solventa con Options -Indexes en vez de tener un Options +Indexes.
Pues yo pido un video de seguridad para Astro la verdad, ya se que al no tener base de datos es mil veces más seguro, pero aparte de alojarlo en vercel o netlify ¿qué más tricks recomiendas?
¿Recomendáis alguna tecnología para una página web simple (página de presentación, noticias con comentarios y esas vainas) para una empresa? En mi empresa tienen una página de WordPress del año 2000 y están buscando reemplazarla.
No estoy muy al tanto del mundo del fronted, pero si es una página mayormente estática con muy pocas dinámicas, Astro.js es una buena opción (lo usa mucho Midu), ya algo que sea como WordPress, sé que hay, pero no conozco
Muchas imprecisiones y muchos supuestos. En la práctica WordPress se suele instalar en hostings con whm u otro admin manager que se encarga de la configuración del server y si bien no es garantía de seguridad, es una buena base de inicio. Aquí en el ejemplo el directory listing no es un problema de WordPress, es un tema de configuración de servicios. De ahí en más continúan las inexactitudes, solo mencionar que wp ya ocupa el 40% de los sitios en la web.
El listing a lo mejor lo tenian activado probablemente porque la web esta sobre un stack XAMP/WAMP o similar, ahi esta activado de forma predeterminada (ademas de un servidor FTP tambien), almenos asi era la ultima vez que yo use uno de esos, no se ahora como seran las cosas
mmmm yo creo que mas bien WORDPRESS cae en manos equivocadas por que en realidad eh visto wordpress bien seguros que ni el login lograrias descubrir asi como las APIS asi que no es tanto que wordpress es inseguro ya que si hablamos en caliente yo diria que todo hasta javascript es vulnerable , nodeJS y todo pero no es asi es que lo complementes con configuraciones de seguridad y respecto a los plugins es muy facil detectar y saber si deberia instalarlo o no.
Pero el que te haga el list de los directorios no es un tema perse de wordpress (configuracuines de permiso en los directorios aka carpetas) vi que esta el PHPmailer pero no deberia estar en el wp-include que yo recuerde, (gente si se inician quiten el readme.html de la intalacion base).
WP asi como es la causa de el porcentaje de uso q php tiene en el mundo... Tambien le responzabilizo de q es la causa de q muchos odien php... Jeje el otro dia encontre uno de esos y habia un zip que se llamaba digamos "orders.zip" y buen le clickie, se bajo... U resulto see un backup completo del sitio jaja con todos los archivitos de configuracion usuarios y password de base de datos... Etc etc... 😅
actualmente hay algunas plataformas, billeteras de criptomonedas usando WordPress como backend. Que opiniones tienen sobre eso? Tanta mala espina me dan que ni cambian la dirección de acceso login admin.
Igual que feo que alguien encuentre un problema y lo publique para que todo el mundo lo vea, lo ideal seria escribirle al privado, y te puedes hasta ofrecer para solucionarlo y ganarte un trabajo extra
Para mi ese problema inicia desde que wp no tiene un router en condiciones, y también porque no configuran el servidor, que es solo un archivo htaccess
El navegador incluso juega en tu contra, da infinidad de datos que pueden utilizar los atacantes, tus rutas de datos, informacion en variables, lo muestra todo, para mi eso es una soberana cagada, por eso el dasarrolo web nunca me llamo la atencion, si quieres seguridad tienes que implementar un monton de pendejeras para solo creer que tienes tu sitio seguro
Entre api o scraping, prefiero api, la verdad que tirarle piedras a wp es ser un poco cínico, porque hay cientos de miles o millones de web que no están en wp y les pasa las mismas mierdas, da igual que sea en java, python o lo que quieras, tienen fallos y si lo ha hecho un equipo pequeño, hasta más. La verdad es que eso no tiene que ver con el desarrollo sino con los permisos del servidor y eso es de los DevOp, SysOp, SecOp. Y la automatización de Script para hacking no es exclusivo de wp, quien sepa algo de seguridad me entiende
WordPress solo es bueno para hacer una exposición de funciones para el cliente , asi se le explica al cliente como funcionara su app, pero se le dice que esto no es funcional es solo una maqueta.
Pero lo del Directory List no te lo deja habilitar WordPress nativamente, tocaron algo en el htaccess para mostrar eso. Joder lo de la API no lo sabía, eso sí lo desactivo pero YA
inicie con wordpress por la version 2.3 aprox, hoy por hoy solo me dedico a parchear problemas de seguridad y wordpress ya infectados. De 10 paginas que veo, 10 son inseguras, nadie se ha preocupado por la seguridad. Esta lleno de sitios hablando de wordpress, pero solo muy pocos sobre la seguridad y las buenas practicas. Es una lastima, pero a la vez es una gracia para mi ya que muy poca gente que haga este trabajo y se puede pagar hasta más caro que la creación de la misma web.
@@matiaslawwliet tu no eras el admin de un grupo del barba? Xd
@kaelinvoker2007 asi es ajaja
@@matiaslawwliet Sauron sos vos jajaja
@@robertbarboza8406 shhhh jajaja
Tienes recursos que recomiendas sobre este tema hace poco tuve un trabajo con un cliente, pero es terrible usuarios que no recuerda , bases de datos que tenían el mismo nombre que el usuario para acceder a ellas, wp dasbhboard rotos por plugins más viejos que la santa terrible totalmente
Hola. Yo trabajo con WP desde el 2010 y por experiencia puedo decir que por default WP es vulnerable, a menos que tomes cartas en el asunto (HARDENING). Sin embargo, como bien se dice en el video, la gran mayoría ni se preocupa por eso, de hecho en la primera agencia que trabajé, ni les importaba, ni la velocidad, a menos que el cliente pague por eso, pero con la seguridad, si el sitio se comprometía y era algo que habíamos hecho nosotros desde el inicio (la agencia) pues me tocaba recuperarlo y protegerlo y solo en estos casos se hacía. Pues casi todo el que sabe de eso, lo cobra aparte, como mejorar la velocidad o el SEO, etc.
Pero no solo es WP que lo es por ser el más popular, también lo es Joomla y hasta Drupal y casi todo en internet es vulnerable, en mayor o menor medida. Se dice que Drupal por defecto es más seguro que WP, pero sin embargo la Casa Blanca (USA) lo cambió por WP, y los que amamos WP y conocemos otros CMSs sabemos por qué.
@@JoAnGuevara que grande !. Gracias por tu aporte
venia a golpear a Midu pero ya me calmé...
Bueno, hay algunas cosas que se comentan con desconocimiento en este video. El directory listing es una configuración del lado del servidor y no relacionada directamente a WordPress. El directory listing tambien podría estar mal configurado para una pagina HTML o para un build de React para ver los archivos de ese tipo de proyectos.
Mas allá de eso es muy facil de solucionar cambiando al configuración para el directory listing ya sea en la configuración de Apache, Nginx, OpenLiteSpeed o el servidor que se este usando.
Mas alla de que es un detalle feo, el acceso a la carpeta /wp-includes no significa un riesgo dado a que solo son los archivos del core de WordPress, a ver, tambien podrías verlos accediendo al repositorio de WordPress en Github. Otro tema mas delicado seria poder entrar al root del proyecto o a la carpeta /wp-content donde estan imagenes, videos, plugins, archivos de configuración y demas.
@@ram1ro sigue siendo una falla
" no relacionada directamente a WordPress." Wordpress agrega su .htaccess, pero solo en la raiz.
Wordpress es horrible.
Sale su cursito de seguridad para WordPress midu?
😅 Más respeto. "cursito" No. Lo del Midu son Curzasos 😂
buena idea animes a MIDU a que cree un curso de seguridad para wordpress pero uno potente, por que es verdad es vulnerable wordpresss, a mi paso en mi proyecto de prácticas , cree un sitio para una fundación y al mes lo tiraron según decía los del hosting que era por que se dejo un vulnerabilidad en el formulario de contacto , o que era por que se compartió las claves, y lo que puede indicar de esto si lo asegure antes que pase esto , tanto cambio de dirección /wp-admin, cree una cuenta aparte para administrador y otro para el equipo y aun así infectaron el servidor , y lo que se me ocurre es por que no el puse el re-capchat al formulario o que otras personas mostraron la clave del hosting, bueno para concluir , lo bueno es que siempre realizo respaldo de lo ultimo , cosa que restaure el sitio una vez puede ingresar al hosting por que no se podía por que infectaron los archivos, y reforcé todo hasta coloque verificación de 2factores y re-capchat en formulario y panel de administración y puse wordfence, y aun así cada vez que se habla de estos temas de seguridad estoy pendiente , lo bueno es que no ha vuelto a ocurrir
No le sabe 😢
buenas midu estaria genial un video mas extenso sobre este tema, ya que muchos nos estamos encontrando con paginas de wordpress que mantener y como tenemos poco uso de wordpress no sabemos de estas cosas. un saludo
hahaha pues ponganse a estudiar, un lenguaje de verdad para resolver los problemas de wordpress
Midu estaria genial un curso de seguridad para Frontends!
La seguridad del front end seria el backends
@@castilla2372y el XSS? El front es una capa más del queso y no se debe olvidar la seguridad de esta.
A pesar de que el back pueda actuar de cortafuegos.
O mejor un curso de css para backends jeje No tiene nada que ver una cosa con la otra bro. La seguridad es del back no del front.
Validaciones del cliente , pero lo pesado es en El back end. El front se puede manipular .
Yo me meo que literal lo primero que haga es provar con una pagina wrb random de wordpres el wp-includes y haya funcionado, jajajaja midudev
El problema de que se puedan ver los directorios no es cosa de wordpress, eso se maneja a nivel server y te puede pasar con cualquier tipo de stack que uses. Alguien en el chat mencionaba que falta el index.php vacio en ese directorio (que justamente es para evitar disclosure cuando no esta activado a nivel server).
No. Nada de esto depende de la tecnología web ni del index. Esto es un tema de permisos del directorio web. Parece que ese día faltaron a clase todos..
" Alguien en el chat mencionaba que falta el index.php vacio en ese directorio"
Eso no es proteccion. Se puede forzar la lectura de una carpeta sin necesidad de que se vaya al indice por defecto.
Es decir, les falto un .htaccess correcto.
@@edurubiovarela3043 es justamente lo que dije, eso se configura a nivel server (nginx, apache, etc.). El index en blanco ayuda a mitigar un poco las cosas ya que si el directory listing es posible, por lo menos se muestra un index en blanco (aunque sea posible bypassearlo) y no el listado del directorio.
@@eng3d Nunca dije que sea proteccion, dije que el index vacio esta para evitar eso. Aunque reconozco que deberia haber dicho mitigar en lugar de evitar.
Primer video tuyo que me veo a los 2 min de que lo publiques 😊 siempre son interesantes los temas que abordas. Saludos Midu
Lo de que se pueda ver el listado de /wp-includes no es culpa de Wordpress, puede pasar con CUALQUIER manejador de contenidos.
En el título lo ha dicho, es culpa de los DEVS
Eso que mencionas al inicio no es un problema de Wordpress, eso es un error de configuración de principiante, eso también pasaria con un sitio PHP sin Wordpress si configuras mal el servidor también
Cuando digo “el problema de WordPress”, no significa que WordPress tenga un problema es que la gente cree que su instalación por defecto ya te protege de todo.
@@midulive Y que sea tan vulnerable por defecto no lo hace un problema de WordPress? Hasta donde tengo entendido WordPress es para gente que no la tiene demasiado clara con el desarrollo de web apps.
Opino desde la ignorancia, nunca toque WordPress
@@hin1883 si instalas plesk, cpanel, tu router, asterik, etc, etc con la configuración por defecto pasaria lo mismo, ahora eso es un problema de la herramienta o de la gente? es como tener un arma cargada en la sala con niños pequeños, es el culpa del arma?
@@hin1883 claro esa es la idea, y la gente se puede confiar.
Yo creo que el problema son los usuarios, no el framework...
Un directoryListing es cosa del servidor. Con una app en react puede pasarte lo mismo y obviamente si guardas tu BD.sql en public... Pues apaga y vámonos. Lo de la API pues obvio es mejor desactivarla si no la usas, pero en una web vanilla también puedo tener una ruta o script que tarde 2s en cargar... También algo bueno de que tenga tanta comunidad es que si sale un xploit te enteras enseguida en tu propio correo si instalas un plugin de seguridad... En fin, que el problema no es la herramienta sino quién y cómo la use...
Shopify también expone su api y es muy fácil hacer scrapping, mandar miles de solicitudes, etc
Se cae?
No @@DeejayExeCL
llevo mas de 10 años desarrollando en wordpress, una buena implementacion de seguridad como cualquier otro freenwork o cms y listo solucionado, no veo el problema en realidad.
En mi empresa estoy en un proyecto de Wordpress y todo eso con un plugin o unas líneas en algunos archivos te lo evitas, si bien entiendo que son cosas que WP mismo deja muy vendidas, realmente es un descuido por parte de los desarrolladores y siendo tan sencillo de resolver es preocupante.
@@morenodennis que plugin recomiendas?
Hace años que me dedico a hacer páginas web en Wordpress y nunca he tenido ningún problema. Wordpress por defecto es vulnerable, pero hay técnicas y plugins que lo hacen bastante seguro. Luego por su puesto que si alguien se empeña en tirar una web, da igual como esté hecha que te la van a tirar. Pero evitar esos "bots" hoy en día es fácil si sabes como configurar bien WP.
Hola, soy diseñador y trabajo con wordpress, desde entonces me he interesado por aprender de desarrollo y claro de seguridad. en cada proyecto busco mejorar, y el area de seguridad es en lo que ahora me estoy enfocando. Me gustaría en la medida de lo posible tenner más contenido de cómo hacer un sitio en Wordpress mas seguro. Me intereso mucho el consejo de tener dos servidores unao para los recursos otro para los bases de datos y archivos php, también cuales son las vulnerabilidades, te lo agradecería infinitamente. Saludos
Te tiran la web, instalas cloudflare, instalas un plugin para cambiar el wp - admin y listo, realmente Wordpress es de lo mas seguro, otra cosa es que no sepan usarlo. Al final hagan lo que hagan restauras la pagina en el hosting y listo. easy
XD igual haces uso de servicios ajenos a WP por ende WP sigue siendo inseguro por si sola así que si o si dependes de la protección externas
¡Exacto! Hay una gran diferencia entre desarrollar en WordPress y simplemente instalar plantillas. Muchos creadores de contenido en RUclips relacionados con la programación suelen criticar WordPress o menospreciar a quienes lo usan de manera profesional, sin entender realmente el valor de esta herramienta. Este rechazo muchas veces se debe a que el modelo de negocio de creación de sitios web en WordPress es más escalable y rentable tanto para el cliente como para el desarrollador, en comparación con desarrollar un sitio desde cero con un programador.
Lo curioso es que muchos de estos críticos hablan desde la ignorancia, ya que apenas han explorado WordPress de manera superficial, y algunos ni siquiera han hecho una instalación básica. Sin embargo, por el hecho de ser programadores, asumen que su enfoque es superior. La realidad es que WordPress tiene muchos profesionales desarrolladores low code e inclusos programadores que prefieren hacer sus proyectos allí. Wp es una plataforma increíblemente versátil y poderosa, con la capacidad de construir casi cualquier tipo de proyecto web. Y eso es algo evidente para el que indaga un poco más, pero hablar mal de wp claro da mas views.
Entonces por naturaleza si es inseguro.😂
"de lo más seguro" dice haha, el chiste se cuenta solo.
@@joseysusamigos eso pasa con todo el software
El SysAdmin es que debe tener su checklist estándar cuando aloje wordpress en sus servidores (o un CMS, hasta Ghost :/), una solución es montar todo en contenedores
Contenedores: Agrega una solucion pero genera un problema nuevo.
Los contenedores NUNCA son la solucion.
Wordpress es un producto muy específico para un publico muy específico. Podriamos decir que es el ikea del desarrollo web. No le pidas que sea un mueble para toda la vida. Además el error es querer usarlo para todo.
Después de meses de terminar la FP me estoy planteando seriamente hacerme freelance, y
a la larga incorporaré más herramientas, pero justo empezé a trabajar con WordPress porque
se usa mucho, a la gente le suena, y la herramienta como tal no me parece mala... Pero sí que me interesa mucho ver como hacerlo seguro porque sí que he visto que es un problema prominente, y no quiero ofrecer a los clientes webs sin un mínimo de seguridad.
Además de los consejos que das, si alguien tuviera algún recurso de como mejorar la segurad en tu web, particularmente WordPress, se lo agradecería.
Hacer una fp para acabar con wordpress 🤷🏻♀️ por eso la dejé...
@@GC-mq8gj Cuando empecé hace dos años en las empresas se pedía bastante como requisito, pero ahora como no te contraten en las prácticas, papel mojado. De todas formas, no lo veo malo, lo estoy trabajando de forma programática y sólo es una forma de tener un producto rápido en el mercado mientras sigo formándome, tengo bastantes ideas, el tema es el tiempo para desarrollarlas y buscar los clientes. Pero sí, entre en sogware pensando que sería una buena solución al tema de tener una carrera profesional que crezca con el tiempo y me metí de pleno en tremendo cuello de botella... Lo que tiene haberse subido acabando la pandemia, y tampoco es que un bootcamp te arregle la vida.
@@GC-mq8gj Hace dos años cuando la empecé, la pedían mucho como requisito mínimo. El tema es que ahora en la industria post-pandemia ha perdido valor. Como no te contraten en las prácticas, pues estás jodido. Y bueno, igual sigo buscando, a lo mejor en enero el tema mejora. Pero al margen de eso, yo no creo que sea mala formación, el uso que le puedo dar a WordPress es mucho mejor que el que le da mucha gente porque tengo bases muy sólidas de bases de datos y programación web. Empiezo con WordPress porque creo que es un producto rápido y fácil de mover en pymes, no tiene sentido que me ponga a utilizar herramientas más complejas como Spring si la escala de negocio no lo requiere. Además también manejo Astro, y frameworks del entorno de Java y de Python, pero claro, esto es mucho trabajo mío encima del que hice en la FP. Personalmente WordPress sólo es una forma de buscar ingresos a corto plazo, seguiré formándome y poco a poco me moveré a nichos que me interesan bastante más. Y no creo que un bootcamp sea una opción, y las carreras están un poco con el agua al cuello si no consigues unas buenas prácticas.
@@GC-mq8gj Hace dos años cuando la empecé, la pedían mucho como requisito mínimo. El tema es que ahora en la industria actual ha perdido valor. Como no te contraten en las prácticas, pues estás jodido. Y bueno, igual sigo buscando, a lo mejor en enero el tema mejora. Pero al margen de eso, yo no creo que sea mala formación, el uso que le puedo dar a WordPress es mucho mejor que el que le da mucha gente porque tengo bases muy sólidas de bases de datos y programación web. Empiezo con WordPress porque creo que es un producto rápido y fácil de mover en pymes, no tiene sentido que me ponga a utilizar herramientas más complejas como Spring si la escala de negocio no lo requiere. Además también manejo Astro, y frameworks del entorno de Java y de Python, pero claro, esto es mucho trabajo mío encima del que hice en la FP. Personalmente WordPress sólo es una forma de buscar ingresos a corto plazo, seguiré formándome y poco a poco me moveré a nichos que me interesan bastante más. Y no creo que un bootcamp sea una opción, y las carreras están un poco con el agua al cuello si no consigues unas buenas prácticas.
Disculpe que es fp?
Wordpress bien usado si es seguro. Pero está tan extendido, y es tan fácil hacer una web casi sin saber programar (y de vez en cuando un plugin con una backdoor) qué se dan muchos casos de webs de WP hackeadas. Sigue siendo una herramienta muy válida si se tienen en cuenta las pequeñas cosas de seguridad básicas.
Igual sigo recomendando wordpress si tienes poco presupuesto y el contenido no es tan importante por q es wordpress+theme o notener sitio (pero les explico todo eso)
Que hay del MERN stack?
pero hay plantillas gratuitas como adminlte
Yo tengo un sitio web en wordpress, y si, los primeros meses no pasaba nada, hasta que un día empezaron a atacar, quien sabe por qué, ya que mi sitio ni es conocido, solo hago algunos aportes de programación y videojuegos, pero por algún motivo me volví blanco de ataques, lo que tuve que hacer es básicamente reconfigurar todo, y tener que hacer un sistema "más" seguro, ya que si alguien te quiere atacar, tarde o temprano lo hará, ningún sitio web se salva, solo que cuando sucede en grandes empresas, es mejor decir que fue un error humano interno, que decir que fue hackeado el sistema.
Yo noté eso en la aplicación la primera vez que la usé y para ese momento, sólo pocos en comundades le daban seguimiento al problema, porque no había forma de asegurar tu página. Tenías que picar algo de código. hoy hasta plugins y widgets hay para ello.
Midu yo trabajado con wordpress mucho el tema es ponerle un poco de carino a la seguridad, escoger un buen plugins de seguridad darle un poco configurar lo minimo por lo menos y un poco mas yo desde hace tiempo a los clientes le paso el presupuesto seguirdad y cookies por separado ellos deciden si lo toman o no... y al verdad que no tenido problema de seguridad con los sitios la mayoria de bots estan disenados par sitio sin nada de seguridad y si encuentra algo de resistencia next, ademas es un negociaso la seguridad de wordpress
¿Midu podrías hacer un curso de WordPress con mejores práticas?
No es culpa de los devs. Es culpa de los dueños de negocio que quieren un netflix o un uber con presupuesto para unas quesadillas y al no poder pagar gente de calidad con tecnología de calidad contratan un aprendiz que apenas sabe usar tecnología y lenguajes básicos y obsoletos que ni siquiera sabe Linux pues es de esperar de un aprendiz.
¿ Si pones cloudflare enfrente de un sitio, que porcentaje de posibilidades hay de salvarte de los ataques de fuerza bruta o de todos los ataques en general ?
Esto me recuerda a esos proyectos de WordPress 'para mañana'... hasta que empiezan a caer los ataques. Es un desastre esperando a pasar...
Man yo trabajo en un banco que usa WordPress 💀
@@johiny pasa link q te lo pispeo un poco ajja
Pasa link bro 😂😂
SERÁ EL BANCO QUE TIENES EN TU PATIO PARA SENTARTE, PORQUE NINGÚN BANCO TIENE PÁGINAS WEB CREADA CON WORDPRESS
Solo diré que es de Guatemala nada más
@@danielggerson411 creeme que si existe. En mis vacaciones en bolivia me meti hasta la cocina de un banco. Pude descargar todos los reportes mensuales y el anual entre muchos otros datos internos. Y lo peor? es un banco bastante conocido allí.
Esto tambien tiene que ver a que medida esta el desarrollador sabe sobre servidores, hay algunos que no tienen ni la remota idea de como cubrir los puntos basicos de seguridad o lo unico que sabe en la terminal es hacer npm install , tu servidor no viene magicamente asegurado de fabrica.
El problema de WP es que hay mucho manco.
Hay mucha gente que trabaja en producción, no aplica actualizaciones, instala cualquier cosa sin control, etc.
Dejar el listado de directorios abierto no es problema de WordPress sino de tener a un paquete como sysadmin. Por favor, no desinformes.
grande midu! aguante django, aca dev chileno para algún proyecto:D
como me gustaría ver mas contenido de esto de cyberseguridad
Pero eso que muestra no tiene nada que ver con Wordpress, el directorio expuesto es otro error que lo tiene el Hosting. Un CMS hecho por un particular es más peligroso en estos tiempos.
En uno de mis anterior empleos eso pasaba.. mi jefe les metía wordpress a todos los clientes, pagaba por un template y se olvidaba del asunto, ni se interesaba en actualizar la version que tenían los clientes porque a veces los plugins no eran actualizados tampoco.. así que.. vulnerabilidad sobre vulnerabilidad
Soluciòn Curso Wordpress 2025
Ademas de que los mismos implementadores de Wordpress no le dieron la respectiva importancia a Wordpress, siempre se dio la imagen de que Wordpress es instalar, cambiar un par de cosas y listo ! Ventas online faciles de hacer. Creo que es mas un tema de educacion a los desarrolladores y clientes.
El problema no es WordPress, es que muchas veces no se profundiza en cómo configurar correctamente WordPress, cualquier framework o tecnología que no configures y cierres correctamente tiene esos problemas.
Pasa que ese error, es mas del lado de la conf del server mismo, no propiamente de WP. Lo mismo puede suceder con cualquier otro CMS. No me caso con WP, pero hay que gestionarlo como cualquier otro proyecto de software.
En resumen, el problema no es WP, es el desarrollador, ese mismo desarrollador tendrá problemas de seguridad en lo que sea que trabaje
pero eso se soluciona con la config en htaccess, no seria el problema de wordpress sino de la configuracion del hosting. que sea algo profesional.
Yo solucione los problemas de Wp dejando de usarlo
El problema no es WordPress, el problema es la gente que no se preocupa por actualizar y gestionar el CMS..
Yo creo que es mas cuestión de buenas prácticas y de escoger la tecnología correcta, he visto sitios de varias tecnologías y al final no es la flecha sino el indio
con un simple index.html vacio en cada folder ya se soluciona.. luego la api abierto, pues... un horror.
Con una simple regla en .htaccess se soluciona mejor
Hace unos días me llegó un mensaje de un sitio web hecho en wordpress donde los archivos en la carpeta de assets contenía código malicioso y de usurpación de identidad
Un WordPress en combinación con un VPS Linux y cloudflare bien configurado es impenetrable.
El problema no es el software el problema es quien lo desarrolla.
Con un mínimo de interés WordPress lo proteges, pero claro no va de instalar plugins
Wordpress viendo el título del video:
oh no…
Hola midu, por favor, ¿puedes darme una pista sobre qué algoritmos se usan para una optimización de corte?
Me refiero a cuando juntan moldes o patrones, sea de ropa u otros, y la computadora optimiza los moldes en el menor espacio posible. Y también para dibujar moldes o patrones, tal vez sabes algo o mucho. Estaba buscando información para el contexto 2d del canvas pero es muy basto para mí.
Te lo pregunto también porque otro día ví como hacías un tetris desde cero y por ahí va la cosa
Por fin. Una razón para descartar Word presos sobre otros frameworks
Pero si eso pasa con todos los framework conocidos, si administras una web sabras que cualquier herramienta que uses es propensa a ciertos tipos de ataques, la clave es tener conocimiento de las herramientas que usas y no ser un imbécil que quiere una red social por 10 dólares.
Yo para evitar eso siempre me cercioro que haya un archivo index.html vacío dentro de cada carpeta para evitar la navegación en directorios
En mi opinión el problema de WP cn la seguridad no es el propio WP, sino que cualquiera puede instalarlo y hay muchos alojamientos sin ningún tipo de soporte. Luego ocurren cosas desagradables porque has dejado la seguridad de lado porque quien ha montado el tinglado no tiene ni idea de seguridad. Y eso que no hablamos de instalar plugins o de plugins piratas conseguidos de vete tu a saber donde.
Lo de probar una URL de un Wordpress llamando a la carpeta /wp-json/ me ha explotado la cabeza. No me puedo creer que durante años mis webs en Wordpress "regalen" tan alegremente TODOS los datos importantes de mi web. Solo les faltaba poner la contraseña. Esto es demencial! ¿pero a qué idiota de Wordpress se le ha ocurrido una idea tan estúpida como esta?
jaajjaja el uso de wordpress despues de este video se reduce un 80% en habla hispana
SI CLARO, COMO SI EL TAL MIDU FUERA EL VOCERO DE LOS HACKERS 😂
Una pregunta, si cache las respuestas en un poco más difícil de tumbar? Tengo un vps con Laravel con cloudfared 🙊
Si y no. El uso de la api de wordpress es solo uno de los vectores de ataques mas comunes, pero también tienes por ejemplo el uso del cron, cada visitante hace que el cron de wordpress se ejecute automaticamente. Lo recomendable es deshabilitarlo y realizar una tarea programada desde el servidor que lo ejecute.
@@matiaslawwlietSauron?
Bueno eso realmente NO ES CUMPLA DE WORDPRESS ojito con esto, esto se debe a la configuración del server WEB específicamente en el directorio del document root, la línea especifica de configuración es esta exactamente
Options -Indexes
Esta opción que como ya digo NO ES CULPA DE WORDPRESS, es culpa de aquellos responsables de la configuración WEB asi como tambien bloquear la API que es de mucho valor para los creadores de contenido pero igualmente, ES CONFIGURACIÓN DEL WEB SERVER Y NO DE WORDPRESS.
VAMOS REPITO SI NO SABEMOS DE LO QUE ESTAMOS HABLANDO MEJOR NO SEÑALAR, y ojito que quede claro no soy fan de WORDPRESS pero no es fallo de el si no mas bien de la config del servidor WEB, que repito se solventa con Options -Indexes en vez de tener un Options +Indexes.
Pues yo pido un video de seguridad para Astro la verdad, ya se que al no tener base de datos es mil veces más seguro, pero aparte de alojarlo en vercel o netlify ¿qué más tricks recomiendas?
¿Recomendáis alguna tecnología para una página web simple (página de presentación, noticias con comentarios y esas vainas) para una empresa?
En mi empresa tienen una página de WordPress del año 2000 y están buscando reemplazarla.
No estoy muy al tanto del mundo del fronted, pero si es una página mayormente estática con muy pocas dinámicas, Astro.js es una buena opción (lo usa mucho Midu), ya algo que sea como WordPress, sé que hay, pero no conozco
Astro, Next, laravel, Symphony
Muchas imprecisiones y muchos supuestos. En la práctica WordPress se suele instalar en hostings con whm u otro admin manager que se encarga de la configuración del server y si bien no es garantía de seguridad, es una buena base de inicio. Aquí en el ejemplo el directory listing no es un problema de WordPress, es un tema de configuración de servicios. De ahí en más continúan las inexactitudes, solo mencionar que wp ya ocupa el 40% de los sitios en la web.
El listing a lo mejor lo tenian activado probablemente porque la web esta sobre un stack XAMP/WAMP o similar, ahi esta activado de forma predeterminada (ademas de un servidor FTP tambien), almenos asi era la ultima vez que yo use uno de esos, no se ahora como seran las cosas
@@Karurosagu O puede que hayan migrado el sitio a otro host y no aplicaron bien el rsync o faltó lanzar el chmod luego de mover la información.
mmmm yo creo que mas bien WORDPRESS cae en manos equivocadas por que en realidad eh visto wordpress bien seguros que ni el login lograrias descubrir asi como las APIS asi que no es tanto que wordpress es inseguro ya que si hablamos en caliente yo diria que todo hasta javascript es vulnerable , nodeJS y todo pero no es asi es que lo complementes con configuraciones de seguridad y respecto a los plugins es muy facil detectar y saber si deberia instalarlo o no.
Hay una pagina del gobierno de ecuador que está creada con wordpress xd
hay muchas paginas de gobierno hechas con WP, el sitio de la casa blanca (USA) esta hecha en WP por ejemplo
Es recomendable usar WordPress? Estoy empezando con html y css, es rentable dar página web de WordPress a clientes?. Necesito urgente dinero 😊😢😊😊😊
Pero el que te haga el list de los directorios no es un tema perse de wordpress (configuracuines de permiso en los directorios aka carpetas) vi que esta el PHPmailer pero no deberia estar en el wp-include que yo recuerde, (gente si se inician quiten el readme.html de la intalacion base).
mosca con apache / ngix y las configuraciones (en algunos legacy con el httacces).
Yo creo que Wordpress es + rapidez y facilidad con - mantencion y seguridad. PHP + wordpress = F.
WP asi como es la causa de el porcentaje de uso q php tiene en el mundo... Tambien le responzabilizo de q es la causa de q muchos odien php... Jeje el otro dia encontre uno de esos y habia un zip que se llamaba digamos "orders.zip" y buen le clickie, se bajo... U resulto see un backup completo del sitio jaja con todos los archivitos de configuracion usuarios y password de base de datos... Etc etc... 😅
El problema no es de wordpress u otro CMS, el problema sería del que lo gestiona.
actualmente hay algunas plataformas, billeteras de criptomonedas usando WordPress como backend. Que opiniones tienen sobre eso?
Tanta mala espina me dan que ni cambian la dirección de acceso login admin.
Tener la DB en la misma VM es mala idea, lo aprendi por la mala
real , en el trabajo me han infectado sitios ajajshfjashj y es un dolor de cabeza xd
Igual que feo que alguien encuentre un problema y lo publique para que todo el mundo lo vea, lo ideal seria escribirle al privado, y te puedes hasta ofrecer para solucionarlo y ganarte un trabajo extra
La web de la casa blanca es un wordpress :p todo depende
Cómo dirían por allí, silence is golden
🍞*Hackear sitios web hechos en PHP es muy fácil, en especial desde linux*
Para mi ese problema inicia desde que wp no tiene un router en condiciones, y también porque no configuran el servidor, que es solo un archivo htaccess
basicamente nos estas recomendando usar strapi en su lugar?
El navegador incluso juega en tu contra, da infinidad de datos que pueden utilizar los atacantes, tus rutas de datos, informacion en variables, lo muestra todo, para mi eso es una soberana cagada, por eso el dasarrolo web nunca me llamo la atencion, si quieres seguridad tienes que implementar un monton de pendejeras para solo creer que tienes tu sitio seguro
Hola, tienes un titorial o que sepas de alguien que tenga un tutorial para usar el web tools? O algún lector que sepa? Saludos
Menos mal que ya está parcheado
5:21 Que la contraseña sea admin o 1234 ya seria el colmo
wao luego de tantos videos que he visto tuyos me doy cuenta que no estoy suscrito xdddd
Que cagada, por esa razón deje de usar wordpress.
Entre api o scraping, prefiero api, la verdad que tirarle piedras a wp es ser un poco cínico, porque hay cientos de miles o millones de web que no están en wp y les pasa las mismas mierdas, da igual que sea en java, python o lo que quieras, tienen fallos y si lo ha hecho un equipo pequeño, hasta más.
La verdad es que eso no tiene que ver con el desarrollo sino con los permisos del servidor y eso es de los DevOp, SysOp, SecOp.
Y la automatización de Script para hacking no es exclusivo de wp, quien sepa algo de seguridad me entiende
Como quito lo de la API de wp
Fui mencionada jsjsjsjs
Incroyable.
Cuál es el equivalente 2025 a WordPress?
De que "xxx limit" habla Midu ? No llego a escucharlo bien...
WordPress solo es bueno para hacer una exposición de funciones para el cliente , asi se le explica al cliente como funcionara su app, pero se le dice que esto no es funcional es solo una maqueta.
esto es ls hackathon?
NO LE DIGAS ESO A IBAI, XD
tela
Hola. Cómo hago para proteger mis sitios de Wordpress ?
Hola vendo opel corsa 2004, saludos
Pero lo del Directory List no te lo deja habilitar WordPress nativamente, tocaron algo en el htaccess para mostrar eso.
Joder lo de la API no lo sabía, eso sí lo desactivo pero YA
uf que lo quitan
wow