inicie con wordpress por la version 2.3 aprox, hoy por hoy solo me dedico a parchear problemas de seguridad y wordpress ya infectados. De 10 paginas que veo, 10 son inseguras, nadie se ha preocupado por la seguridad. Esta lleno de sitios hablando de wordpress, pero solo muy pocos sobre la seguridad y las buenas practicas. Es una lastima, pero a la vez es una gracia para mi ya que muy poca gente que haga este trabajo y se puede pagar hasta más caro que la creación de la misma web.
Tienes recursos que recomiendas sobre este tema hace poco tuve un trabajo con un cliente, pero es terrible usuarios que no recuerda , bases de datos que tenían el mismo nombre que el usuario para acceder a ellas, wp dasbhboard rotos por plugins más viejos que la santa terrible totalmente
Hola. Yo trabajo con WP desde el 2010 y por experiencia puedo decir que por default WP es vulnerable, a menos que tomes cartas en el asunto (HARDENING). Sin embargo, como bien se dice en el video, la gran mayoría ni se preocupa por eso, de hecho en la primera agencia que trabajé, ni les importaba, ni la velocidad, a menos que el cliente pague por eso, pero con la seguridad, si el sitio se comprometía y era algo que habíamos hecho nosotros desde el inicio (la agencia) pues me tocaba recuperarlo y protegerlo y solo en estos casos se hacía. Pues casi todo el que sabe de eso, lo cobra aparte, como mejorar la velocidad o el SEO, etc. Pero no solo es WP que lo es por ser el más popular, también lo es Joomla y hasta Drupal y casi todo en internet es vulnerable, en mayor o menor medida. Se dice que Drupal por defecto es más seguro que WP, pero sin embargo la Casa Blanca (USA) lo cambió por WP, y los que amamos WP y conocemos otros CMSs sabemos por qué.
Bueno, hay algunas cosas que se comentan con desconocimiento en este video. El directory listing es una configuración del lado del servidor y no relacionada directamente a WordPress. El directory listing tambien podría estar mal configurado para una pagina HTML o para un build de React para ver los archivos de ese tipo de proyectos. Mas allá de eso es muy facil de solucionar cambiando al configuración para el directory listing ya sea en la configuración de Apache, Nginx, OpenLiteSpeed o el servidor que se este usando. Mas alla de que es un detalle feo, el acceso a la carpeta /wp-includes no significa un riesgo dado a que solo son los archivos del core de WordPress, a ver, tambien podrías verlos accediendo al repositorio de WordPress en Github. Otro tema mas delicado seria poder entrar al root del proyecto o a la carpeta /wp-content donde estan imagenes, videos, plugins, archivos de configuración y demas.
El problema de que se puedan ver los directorios no es cosa de wordpress, eso se maneja a nivel server y te puede pasar con cualquier tipo de stack que uses. Alguien en el chat mencionaba que falta el index.php vacio en ese directorio (que justamente es para evitar disclosure cuando no esta activado a nivel server).
buena idea animes a MIDU a que cree un curso de seguridad para wordpress pero uno potente, por que es verdad es vulnerable wordpresss, a mi paso en mi proyecto de prácticas , cree un sitio para una fundación y al mes lo tiraron según decía los del hosting que era por que se dejo un vulnerabilidad en el formulario de contacto , o que era por que se compartió las claves, y lo que puede indicar de esto si lo asegure antes que pase esto , tanto cambio de dirección /wp-admin, cree una cuenta aparte para administrador y otro para el equipo y aun así infectaron el servidor , y lo que se me ocurre es por que no el puse el re-capchat al formulario o que otras personas mostraron la clave del hosting, bueno para concluir , lo bueno es que siempre realizo respaldo de lo ultimo , cosa que restaure el sitio una vez puede ingresar al hosting por que no se podía por que infectaron los archivos, y reforcé todo hasta coloque verificación de 2factores y re-capchat en formulario y panel de administración y puse wordfence, y aun así cada vez que se habla de estos temas de seguridad estoy pendiente , lo bueno es que no ha vuelto a ocurrir
buenas midu estaria genial un video mas extenso sobre este tema, ya que muchos nos estamos encontrando con paginas de wordpress que mantener y como tenemos poco uso de wordpress no sabemos de estas cosas. un saludo
Yo creo que el problema son los usuarios, no el framework... Un directoryListing es cosa del servidor. Con una app en react puede pasarte lo mismo y obviamente si guardas tu BD.sql en public... Pues apaga y vámonos. Lo de la API pues obvio es mejor desactivarla si no la usas, pero en una web vanilla también puedo tener una ruta o script que tarde 2s en cargar... También algo bueno de que tenga tanta comunidad es que si sale un xploit te enteras enseguida en tu propio correo si instalas un plugin de seguridad... En fin, que el problema no es la herramienta sino quién y cómo la use...
En mi empresa estoy en un proyecto de Wordpress y todo eso con un plugin o unas líneas en algunos archivos te lo evitas, si bien entiendo que son cosas que WP mismo deja muy vendidas, realmente es un descuido por parte de los desarrolladores y siendo tan sencillo de resolver es preocupante.
Eso que mencionas al inicio no es un problema de Wordpress, eso es un error de configuración de principiante, eso también pasaria con un sitio PHP sin Wordpress si configuras mal el servidor también
Cuando digo “el problema de WordPress”, no significa que WordPress tenga un problema es que la gente cree que su instalación por defecto ya te protege de todo.
@@midulive Y que sea tan vulnerable por defecto no lo hace un problema de WordPress? Hasta donde tengo entendido WordPress es para gente que no la tiene demasiado clara con el desarrollo de web apps. Opino desde la ignorancia, nunca toque WordPress
@@hin1883 si instalas plesk, cpanel, tu router, asterik, etc, etc con la configuración por defecto pasaria lo mismo, ahora eso es un problema de la herramienta o de la gente? es como tener un arma cargada en la sala con niños pequeños, es el culpa del arma?
Hola, soy diseñador y trabajo con wordpress, desde entonces me he interesado por aprender de desarrollo y claro de seguridad. en cada proyecto busco mejorar, y el area de seguridad es en lo que ahora me estoy enfocando. Me gustaría en la medida de lo posible tenner más contenido de cómo hacer un sitio en Wordpress mas seguro. Me intereso mucho el consejo de tener dos servidores unao para los recursos otro para los bases de datos y archivos php, también cuales son las vulnerabilidades, te lo agradecería infinitamente. Saludos
Hace años que me dedico a hacer páginas web en Wordpress y nunca he tenido ningún problema. Wordpress por defecto es vulnerable, pero hay técnicas y plugins que lo hacen bastante seguro. Luego por su puesto que si alguien se empeña en tirar una web, da igual como esté hecha que te la van a tirar. Pero evitar esos "bots" hoy en día es fácil si sabes como configurar bien WP.
Después de meses de terminar la FP me estoy planteando seriamente hacerme freelance, y a la larga incorporaré más herramientas, pero justo empezé a trabajar con WordPress porque se usa mucho, a la gente le suena, y la herramienta como tal no me parece mala... Pero sí que me interesa mucho ver como hacerlo seguro porque sí que he visto que es un problema prominente, y no quiero ofrecer a los clientes webs sin un mínimo de seguridad. Además de los consejos que das, si alguien tuviera algún recurso de como mejorar la segurad en tu web, particularmente WordPress, se lo agradecería.
@@GC-mq8gj Cuando empecé hace dos años en las empresas se pedía bastante como requisito, pero ahora como no te contraten en las prácticas, papel mojado. De todas formas, no lo veo malo, lo estoy trabajando de forma programática y sólo es una forma de tener un producto rápido en el mercado mientras sigo formándome, tengo bastantes ideas, el tema es el tiempo para desarrollarlas y buscar los clientes. Pero sí, entre en sogware pensando que sería una buena solución al tema de tener una carrera profesional que crezca con el tiempo y me metí de pleno en tremendo cuello de botella... Lo que tiene haberse subido acabando la pandemia, y tampoco es que un bootcamp te arregle la vida.
@@GC-mq8gj Hace dos años cuando la empecé, la pedían mucho como requisito mínimo. El tema es que ahora en la industria post-pandemia ha perdido valor. Como no te contraten en las prácticas, pues estás jodido. Y bueno, igual sigo buscando, a lo mejor en enero el tema mejora. Pero al margen de eso, yo no creo que sea mala formación, el uso que le puedo dar a WordPress es mucho mejor que el que le da mucha gente porque tengo bases muy sólidas de bases de datos y programación web. Empiezo con WordPress porque creo que es un producto rápido y fácil de mover en pymes, no tiene sentido que me ponga a utilizar herramientas más complejas como Spring si la escala de negocio no lo requiere. Además también manejo Astro, y frameworks del entorno de Java y de Python, pero claro, esto es mucho trabajo mío encima del que hice en la FP. Personalmente WordPress sólo es una forma de buscar ingresos a corto plazo, seguiré formándome y poco a poco me moveré a nichos que me interesan bastante más. Y no creo que un bootcamp sea una opción, y las carreras están un poco con el agua al cuello si no consigues unas buenas prácticas.
@@GC-mq8gj Hace dos años cuando la empecé, la pedían mucho como requisito mínimo. El tema es que ahora en la industria actual ha perdido valor. Como no te contraten en las prácticas, pues estás jodido. Y bueno, igual sigo buscando, a lo mejor en enero el tema mejora. Pero al margen de eso, yo no creo que sea mala formación, el uso que le puedo dar a WordPress es mucho mejor que el que le da mucha gente porque tengo bases muy sólidas de bases de datos y programación web. Empiezo con WordPress porque creo que es un producto rápido y fácil de mover en pymes, no tiene sentido que me ponga a utilizar herramientas más complejas como Spring si la escala de negocio no lo requiere. Además también manejo Astro, y frameworks del entorno de Java y de Python, pero claro, esto es mucho trabajo mío encima del que hice en la FP. Personalmente WordPress sólo es una forma de buscar ingresos a corto plazo, seguiré formándome y poco a poco me moveré a nichos que me interesan bastante más. Y no creo que un bootcamp sea una opción, y las carreras están un poco con el agua al cuello si no consigues unas buenas prácticas.
Hola midu, por favor, ¿puedes darme una pista sobre qué algoritmos se usan para una optimización de corte? Me refiero a cuando juntan moldes o patrones, sea de ropa u otros, y la computadora optimiza los moldes en el menor espacio posible. Y también para dibujar moldes o patrones, tal vez sabes algo o mucho. Estaba buscando información para el contexto 2d del canvas pero es muy basto para mí. Te lo pregunto también porque otro día ví como hacías un tetris desde cero y por ahí va la cosa
Yo noté eso en la aplicación la primera vez que la usé y para ese momento, sólo pocos en comundades le daban seguimiento al problema, porque no había forma de asegurar tu página. Tenías que picar algo de código. hoy hasta plugins y widgets hay para ello.
Hace unos días me llegó un mensaje de un sitio web hecho en wordpress donde los archivos en la carpeta de assets contenía código malicioso y de usurpación de identidad
Yo tengo un sitio web en wordpress, y si, los primeros meses no pasaba nada, hasta que un día empezaron a atacar, quien sabe por qué, ya que mi sitio ni es conocido, solo hago algunos aportes de programación y videojuegos, pero por algún motivo me volví blanco de ataques, lo que tuve que hacer es básicamente reconfigurar todo, y tener que hacer un sistema "más" seguro, ya que si alguien te quiere atacar, tarde o temprano lo hará, ningún sitio web se salva, solo que cuando sucede en grandes empresas, es mejor decir que fue un error humano interno, que decir que fue hackeado el sistema.
Igual sigo recomendando wordpress si tienes poco presupuesto y el contenido no es tan importante por q es wordpress+theme o notener sitio (pero les explico todo eso)
Si y no. El uso de la api de wordpress es solo uno de los vectores de ataques mas comunes, pero también tienes por ejemplo el uso del cron, cada visitante hace que el cron de wordpress se ejecute automaticamente. Lo recomendable es deshabilitarlo y realizar una tarea programada desde el servidor que lo ejecute.
El problema de WP es que hay mucho manco. Hay mucha gente que trabaja en producción, no aplica actualizaciones, instala cualquier cosa sin control, etc.
Te tiran la web, instalas cloudflare, instalas un plugin para cambiar el wp - admin y listo, realmente Wordpress es de lo mas seguro, otra cosa es que no sepan usarlo. Al final hagan lo que hagan restauras la pagina en el hosting y listo. easy
¡Exacto! Hay una gran diferencia entre desarrollar en WordPress y simplemente instalar plantillas. Muchos creadores de contenido en TH-cam relacionados con la programación suelen criticar WordPress o menospreciar a quienes lo usan de manera profesional, sin entender realmente el valor de esta herramienta. Este rechazo muchas veces se debe a que el modelo de negocio de creación de sitios web en WordPress es más escalable y rentable tanto para el cliente como para el desarrollador, en comparación con desarrollar un sitio desde cero con un programador. Lo curioso es que muchos de estos críticos hablan desde la ignorancia, ya que apenas han explorado WordPress de manera superficial, y algunos ni siquiera han hecho una instalación básica. Sin embargo, por el hecho de ser programadores, asumen que su enfoque es superior. La realidad es que WordPress tiene muchos profesionales desarrolladores low code e inclusos programadores que prefieren hacer sus proyectos allí. Wp es una plataforma increíblemente versátil y poderosa, con la capacidad de construir casi cualquier tipo de proyecto web. Y eso es algo evidente para el que indaga un poco más, pero hablar mal de wp claro da mas views.
actualmente hay algunas plataformas, billeteras de criptomonedas usando WordPress como backend. Que opiniones tienen sobre eso? Tanta mala espina me dan que ni cambian la dirección de acceso login admin.
No es culpa de los devs. Es culpa de los dueños de negocio que quieren un netflix o un uber con presupuesto para unas quesadillas y al no poder pagar gente de calidad con tecnología de calidad contratan un aprendiz que apenas sabe usar tecnología y lenguajes básicos y obsoletos que ni siquiera sabe Linux pues es de esperar de un aprendiz.
¿Recomendáis alguna tecnología para una página web simple (página de presentación, noticias con comentarios y esas vainas) para una empresa? En mi empresa tienen una página de WordPress del año 2000 y están buscando reemplazarla.
No estoy muy al tanto del mundo del fronted, pero si es una página mayormente estática con muy pocas dinámicas, Astro.js es una buena opción (lo usa mucho Midu), ya algo que sea como WordPress, sé que hay, pero no conozco
@@danielggerson411 creeme que si existe. En mis vacaciones en bolivia me meti hasta la cocina de un banco. Pude descargar todos los reportes mensuales y el anual entre muchos otros datos internos. Y lo peor? es un banco bastante conocido allí.
Para mi ese problema inicia desde que wp no tiene un router en condiciones, y también porque no configuran el servidor, que es solo un archivo htaccess
El problema no es WordPress, es que muchas veces no se profundiza en cómo configurar correctamente WordPress, cualquier framework o tecnología que no configures y cierres correctamente tiene esos problemas.
mmmm yo creo que mas bien WORDPRESS cae en manos equivocadas por que en realidad eh visto wordpress bien seguros que ni el login lograrias descubrir asi como las APIS asi que no es tanto que wordpress es inseguro ya que si hablamos en caliente yo diria que todo hasta javascript es vulnerable , nodeJS y todo pero no es asi es que lo complementes con configuraciones de seguridad y respecto a los plugins es muy facil detectar y saber si deberia instalarlo o no.
Bueno eso realmente NO ES CUMPLA DE WORDPRESS ojito con esto, esto se debe a la configuración del server WEB específicamente en el directorio del document root, la línea especifica de configuración es esta exactamente Options -Indexes Esta opción que como ya digo NO ES CULPA DE WORDPRESS, es culpa de aquellos responsables de la configuración WEB asi como tambien bloquear la API que es de mucho valor para los creadores de contenido pero igualmente, ES CONFIGURACIÓN DEL WEB SERVER Y NO DE WORDPRESS. VAMOS REPITO SI NO SABEMOS DE LO QUE ESTAMOS HABLANDO MEJOR NO SEÑALAR, y ojito que quede claro no soy fan de WORDPRESS pero no es fallo de el si no mas bien de la config del servidor WEB, que repito se solventa con Options -Indexes en vez de tener un Options +Indexes.
En mi opinión el problema de WP cn la seguridad no es el propio WP, sino que cualquiera puede instalarlo y hay muchos alojamientos sin ningún tipo de soporte. Luego ocurren cosas desagradables porque has dejado la seguridad de lado porque quien ha montado el tinglado no tiene ni idea de seguridad. Y eso que no hablamos de instalar plugins o de plugins piratas conseguidos de vete tu a saber donde.
Igual que feo que alguien encuentre un problema y lo publique para que todo el mundo lo vea, lo ideal seria escribirle al privado, y te puedes hasta ofrecer para solucionarlo y ganarte un trabajo extra
Muchas imprecisiones y muchos supuestos. En la práctica WordPress se suele instalar en hostings con whm u otro admin manager que se encarga de la configuración del server y si bien no es garantía de seguridad, es una buena base de inicio. Aquí en el ejemplo el directory listing no es un problema de WordPress, es un tema de configuración de servicios. De ahí en más continúan las inexactitudes, solo mencionar que wp ya ocupa el 40% de los sitios en la web.
El listing a lo mejor lo tenian activado probablemente porque la web esta sobre un stack XAMP/WAMP o similar, ahi esta activado de forma predeterminada (ademas de un servidor FTP tambien), almenos asi era la ultima vez que yo use uno de esos, no se ahora como seran las cosas
Entre api o scraping, prefiero api, la verdad que tirarle piedras a wp es ser un poco cínico, porque hay cientos de miles o millones de web que no están en wp y les pasa las mismas mierdas, da igual que sea en java, python o lo que quieras, tienen fallos y si lo ha hecho un equipo pequeño, hasta más. La verdad es que eso no tiene que ver con el desarrollo sino con los permisos del servidor y eso es de los DevOp, SysOp, SecOp. Y la automatización de Script para hacking no es exclusivo de wp, quien sepa algo de seguridad me entiende
El navegador incluso juega en tu contra, da infinidad de datos que pueden utilizar los atacantes, tus rutas de datos, informacion en variables, lo muestra todo, para mi eso es una soberana cagada, por eso el dasarrolo web nunca me llamo la atencion, si quieres seguridad tienes que implementar un monton de pendejeras para solo creer que tienes tu sitio seguro
Pero lo del Directory List no te lo deja habilitar WordPress nativamente, tocaron algo en el htaccess para mostrar eso. Joder lo de la API no lo sabía, eso sí lo desactivo pero YA
WordPress solo es bueno para hacer una exposición de funciones para el cliente , asi se le explica al cliente como funcionara su app, pero se le dice que esto no es funcional es solo una maqueta.
inicie con wordpress por la version 2.3 aprox, hoy por hoy solo me dedico a parchear problemas de seguridad y wordpress ya infectados. De 10 paginas que veo, 10 son inseguras, nadie se ha preocupado por la seguridad. Esta lleno de sitios hablando de wordpress, pero solo muy pocos sobre la seguridad y las buenas practicas. Es una lastima, pero a la vez es una gracia para mi ya que muy poca gente que haga este trabajo y se puede pagar hasta más caro que la creación de la misma web.
@@matiaslawwliet tu no eras el admin de un grupo del barba? Xd
@kaelinvoker2007 asi es ajaja
@@matiaslawwliet Sauron sos vos jajaja
@@robertbarboza8406 shhhh jajaja
Tienes recursos que recomiendas sobre este tema hace poco tuve un trabajo con un cliente, pero es terrible usuarios que no recuerda , bases de datos que tenían el mismo nombre que el usuario para acceder a ellas, wp dasbhboard rotos por plugins más viejos que la santa terrible totalmente
Hola. Yo trabajo con WP desde el 2010 y por experiencia puedo decir que por default WP es vulnerable, a menos que tomes cartas en el asunto (HARDENING). Sin embargo, como bien se dice en el video, la gran mayoría ni se preocupa por eso, de hecho en la primera agencia que trabajé, ni les importaba, ni la velocidad, a menos que el cliente pague por eso, pero con la seguridad, si el sitio se comprometía y era algo que habíamos hecho nosotros desde el inicio (la agencia) pues me tocaba recuperarlo y protegerlo y solo en estos casos se hacía. Pues casi todo el que sabe de eso, lo cobra aparte, como mejorar la velocidad o el SEO, etc.
Pero no solo es WP que lo es por ser el más popular, también lo es Joomla y hasta Drupal y casi todo en internet es vulnerable, en mayor o menor medida. Se dice que Drupal por defecto es más seguro que WP, pero sin embargo la Casa Blanca (USA) lo cambió por WP, y los que amamos WP y conocemos otros CMSs sabemos por qué.
@@JoAnGuevara que grande !. Gracias por tu aporte
Lo de que se pueda ver el listado de /wp-includes no es culpa de Wordpress, puede pasar con CUALQUIER manejador de contenidos.
Midu estaria genial un curso de seguridad para Frontends!
La seguridad del front end seria el backends
Bueno, hay algunas cosas que se comentan con desconocimiento en este video. El directory listing es una configuración del lado del servidor y no relacionada directamente a WordPress. El directory listing tambien podría estar mal configurado para una pagina HTML o para un build de React para ver los archivos de ese tipo de proyectos.
Mas allá de eso es muy facil de solucionar cambiando al configuración para el directory listing ya sea en la configuración de Apache, Nginx, OpenLiteSpeed o el servidor que se este usando.
Mas alla de que es un detalle feo, el acceso a la carpeta /wp-includes no significa un riesgo dado a que solo son los archivos del core de WordPress, a ver, tambien podrías verlos accediendo al repositorio de WordPress en Github. Otro tema mas delicado seria poder entrar al root del proyecto o a la carpeta /wp-content donde estan imagenes, videos, plugins, archivos de configuración y demas.
El problema de que se puedan ver los directorios no es cosa de wordpress, eso se maneja a nivel server y te puede pasar con cualquier tipo de stack que uses. Alguien en el chat mencionaba que falta el index.php vacio en ese directorio (que justamente es para evitar disclosure cuando no esta activado a nivel server).
Sale su cursito de seguridad para WordPress midu?
😅 Más respeto. "cursito" No. Lo del Midu son Curzasos 😂
buena idea animes a MIDU a que cree un curso de seguridad para wordpress pero uno potente, por que es verdad es vulnerable wordpresss, a mi paso en mi proyecto de prácticas , cree un sitio para una fundación y al mes lo tiraron según decía los del hosting que era por que se dejo un vulnerabilidad en el formulario de contacto , o que era por que se compartió las claves, y lo que puede indicar de esto si lo asegure antes que pase esto , tanto cambio de dirección /wp-admin, cree una cuenta aparte para administrador y otro para el equipo y aun así infectaron el servidor , y lo que se me ocurre es por que no el puse el re-capchat al formulario o que otras personas mostraron la clave del hosting, bueno para concluir , lo bueno es que siempre realizo respaldo de lo ultimo , cosa que restaure el sitio una vez puede ingresar al hosting por que no se podía por que infectaron los archivos, y reforcé todo hasta coloque verificación de 2factores y re-capchat en formulario y panel de administración y puse wordfence, y aun así cada vez que se habla de estos temas de seguridad estoy pendiente , lo bueno es que no ha vuelto a ocurrir
No le sabe 😢
Yo me meo que literal lo primero que haga es provar con una pagina wrb random de wordpres el wp-includes y haya funcionado, jajajaja midudev
buenas midu estaria genial un video mas extenso sobre este tema, ya que muchos nos estamos encontrando con paginas de wordpress que mantener y como tenemos poco uso de wordpress no sabemos de estas cosas. un saludo
hahaha pues ponganse a estudiar, un lenguaje de verdad para resolver los problemas de wordpress
Primer video tuyo que me veo a los 2 min de que lo publiques 😊 siempre son interesantes los temas que abordas. Saludos Midu
Yo creo que el problema son los usuarios, no el framework...
Un directoryListing es cosa del servidor. Con una app en react puede pasarte lo mismo y obviamente si guardas tu BD.sql en public... Pues apaga y vámonos. Lo de la API pues obvio es mejor desactivarla si no la usas, pero en una web vanilla también puedo tener una ruta o script que tarde 2s en cargar... También algo bueno de que tenga tanta comunidad es que si sale un xploit te enteras enseguida en tu propio correo si instalas un plugin de seguridad... En fin, que el problema no es la herramienta sino quién y cómo la use...
En mi empresa estoy en un proyecto de Wordpress y todo eso con un plugin o unas líneas en algunos archivos te lo evitas, si bien entiendo que son cosas que WP mismo deja muy vendidas, realmente es un descuido por parte de los desarrolladores y siendo tan sencillo de resolver es preocupante.
@@morenodennis que plugin recomiendas?
Eso que mencionas al inicio no es un problema de Wordpress, eso es un error de configuración de principiante, eso también pasaria con un sitio PHP sin Wordpress si configuras mal el servidor también
Cuando digo “el problema de WordPress”, no significa que WordPress tenga un problema es que la gente cree que su instalación por defecto ya te protege de todo.
@@midulive Y que sea tan vulnerable por defecto no lo hace un problema de WordPress? Hasta donde tengo entendido WordPress es para gente que no la tiene demasiado clara con el desarrollo de web apps.
Opino desde la ignorancia, nunca toque WordPress
@@hin1883 si instalas plesk, cpanel, tu router, asterik, etc, etc con la configuración por defecto pasaria lo mismo, ahora eso es un problema de la herramienta o de la gente? es como tener un arma cargada en la sala con niños pequeños, es el culpa del arma?
@@hin1883 claro esa es la idea, y la gente se puede confiar.
Shopify también expone su api y es muy fácil hacer scrapping, mandar miles de solicitudes, etc
Se cae?
No @@DeejayExeCL
¿Midu podrías hacer un curso de WordPress con mejores práticas?
Esto me recuerda a esos proyectos de WordPress 'para mañana'... hasta que empiezan a caer los ataques. Es un desastre esperando a pasar...
Hola, soy diseñador y trabajo con wordpress, desde entonces me he interesado por aprender de desarrollo y claro de seguridad. en cada proyecto busco mejorar, y el area de seguridad es en lo que ahora me estoy enfocando. Me gustaría en la medida de lo posible tenner más contenido de cómo hacer un sitio en Wordpress mas seguro. Me intereso mucho el consejo de tener dos servidores unao para los recursos otro para los bases de datos y archivos php, también cuales son las vulnerabilidades, te lo agradecería infinitamente. Saludos
Hace años que me dedico a hacer páginas web en Wordpress y nunca he tenido ningún problema. Wordpress por defecto es vulnerable, pero hay técnicas y plugins que lo hacen bastante seguro. Luego por su puesto que si alguien se empeña en tirar una web, da igual como esté hecha que te la van a tirar. Pero evitar esos "bots" hoy en día es fácil si sabes como configurar bien WP.
Después de meses de terminar la FP me estoy planteando seriamente hacerme freelance, y
a la larga incorporaré más herramientas, pero justo empezé a trabajar con WordPress porque
se usa mucho, a la gente le suena, y la herramienta como tal no me parece mala... Pero sí que me interesa mucho ver como hacerlo seguro porque sí que he visto que es un problema prominente, y no quiero ofrecer a los clientes webs sin un mínimo de seguridad.
Además de los consejos que das, si alguien tuviera algún recurso de como mejorar la segurad en tu web, particularmente WordPress, se lo agradecería.
Hacer una fp para acabar con wordpress 🤷🏻♀️ por eso la dejé...
@@GC-mq8gj Cuando empecé hace dos años en las empresas se pedía bastante como requisito, pero ahora como no te contraten en las prácticas, papel mojado. De todas formas, no lo veo malo, lo estoy trabajando de forma programática y sólo es una forma de tener un producto rápido en el mercado mientras sigo formándome, tengo bastantes ideas, el tema es el tiempo para desarrollarlas y buscar los clientes. Pero sí, entre en sogware pensando que sería una buena solución al tema de tener una carrera profesional que crezca con el tiempo y me metí de pleno en tremendo cuello de botella... Lo que tiene haberse subido acabando la pandemia, y tampoco es que un bootcamp te arregle la vida.
@@GC-mq8gj Hace dos años cuando la empecé, la pedían mucho como requisito mínimo. El tema es que ahora en la industria post-pandemia ha perdido valor. Como no te contraten en las prácticas, pues estás jodido. Y bueno, igual sigo buscando, a lo mejor en enero el tema mejora. Pero al margen de eso, yo no creo que sea mala formación, el uso que le puedo dar a WordPress es mucho mejor que el que le da mucha gente porque tengo bases muy sólidas de bases de datos y programación web. Empiezo con WordPress porque creo que es un producto rápido y fácil de mover en pymes, no tiene sentido que me ponga a utilizar herramientas más complejas como Spring si la escala de negocio no lo requiere. Además también manejo Astro, y frameworks del entorno de Java y de Python, pero claro, esto es mucho trabajo mío encima del que hice en la FP. Personalmente WordPress sólo es una forma de buscar ingresos a corto plazo, seguiré formándome y poco a poco me moveré a nichos que me interesan bastante más. Y no creo que un bootcamp sea una opción, y las carreras están un poco con el agua al cuello si no consigues unas buenas prácticas.
@@GC-mq8gj Hace dos años cuando la empecé, la pedían mucho como requisito mínimo. El tema es que ahora en la industria actual ha perdido valor. Como no te contraten en las prácticas, pues estás jodido. Y bueno, igual sigo buscando, a lo mejor en enero el tema mejora. Pero al margen de eso, yo no creo que sea mala formación, el uso que le puedo dar a WordPress es mucho mejor que el que le da mucha gente porque tengo bases muy sólidas de bases de datos y programación web. Empiezo con WordPress porque creo que es un producto rápido y fácil de mover en pymes, no tiene sentido que me ponga a utilizar herramientas más complejas como Spring si la escala de negocio no lo requiere. Además también manejo Astro, y frameworks del entorno de Java y de Python, pero claro, esto es mucho trabajo mío encima del que hice en la FP. Personalmente WordPress sólo es una forma de buscar ingresos a corto plazo, seguiré formándome y poco a poco me moveré a nichos que me interesan bastante más. Y no creo que un bootcamp sea una opción, y las carreras están un poco con el agua al cuello si no consigues unas buenas prácticas.
Disculpe que es fp?
Hola midu, por favor, ¿puedes darme una pista sobre qué algoritmos se usan para una optimización de corte?
Me refiero a cuando juntan moldes o patrones, sea de ropa u otros, y la computadora optimiza los moldes en el menor espacio posible. Y también para dibujar moldes o patrones, tal vez sabes algo o mucho. Estaba buscando información para el contexto 2d del canvas pero es muy basto para mí.
Te lo pregunto también porque otro día ví como hacías un tetris desde cero y por ahí va la cosa
Yo noté eso en la aplicación la primera vez que la usé y para ese momento, sólo pocos en comundades le daban seguimiento al problema, porque no había forma de asegurar tu página. Tenías que picar algo de código. hoy hasta plugins y widgets hay para ello.
Hace unos días me llegó un mensaje de un sitio web hecho en wordpress donde los archivos en la carpeta de assets contenía código malicioso y de usurpación de identidad
Yo tengo un sitio web en wordpress, y si, los primeros meses no pasaba nada, hasta que un día empezaron a atacar, quien sabe por qué, ya que mi sitio ni es conocido, solo hago algunos aportes de programación y videojuegos, pero por algún motivo me volví blanco de ataques, lo que tuve que hacer es básicamente reconfigurar todo, y tener que hacer un sistema "más" seguro, ya que si alguien te quiere atacar, tarde o temprano lo hará, ningún sitio web se salva, solo que cuando sucede en grandes empresas, es mejor decir que fue un error humano interno, que decir que fue hackeado el sistema.
Soluciòn Curso Wordpress 2025
como me gustaría ver mas contenido de esto de cyberseguridad
Igual sigo recomendando wordpress si tienes poco presupuesto y el contenido no es tan importante por q es wordpress+theme o notener sitio (pero les explico todo eso)
Que hay del MERN stack?
pero hay plantillas gratuitas como adminlte
Una pregunta, si cache las respuestas en un poco más difícil de tumbar? Tengo un vps con Laravel con cloudfared 🙊
Si y no. El uso de la api de wordpress es solo uno de los vectores de ataques mas comunes, pero también tienes por ejemplo el uso del cron, cada visitante hace que el cron de wordpress se ejecute automaticamente. Lo recomendable es deshabilitarlo y realizar una tarea programada desde el servidor que lo ejecute.
pero eso se soluciona con la config en htaccess, no seria el problema de wordpress sino de la configuracion del hosting. que sea algo profesional.
El problema de WP es que hay mucho manco.
Hay mucha gente que trabaja en producción, no aplica actualizaciones, instala cualquier cosa sin control, etc.
Por fin. Una razón para descartar Word presos sobre otros frameworks
con un simple index.html vacio en cada folder ya se soluciona.. luego la api abierto, pues... un horror.
Con una simple regla en .htaccess se soluciona mejor
Te tiran la web, instalas cloudflare, instalas un plugin para cambiar el wp - admin y listo, realmente Wordpress es de lo mas seguro, otra cosa es que no sepan usarlo. Al final hagan lo que hagan restauras la pagina en el hosting y listo. easy
XD igual haces uso de servicios ajenos a WP por ende WP sigue siendo inseguro por si sola así que si o si dependes de la protección externas
¡Exacto! Hay una gran diferencia entre desarrollar en WordPress y simplemente instalar plantillas. Muchos creadores de contenido en TH-cam relacionados con la programación suelen criticar WordPress o menospreciar a quienes lo usan de manera profesional, sin entender realmente el valor de esta herramienta. Este rechazo muchas veces se debe a que el modelo de negocio de creación de sitios web en WordPress es más escalable y rentable tanto para el cliente como para el desarrollador, en comparación con desarrollar un sitio desde cero con un programador.
Lo curioso es que muchos de estos críticos hablan desde la ignorancia, ya que apenas han explorado WordPress de manera superficial, y algunos ni siquiera han hecho una instalación básica. Sin embargo, por el hecho de ser programadores, asumen que su enfoque es superior. La realidad es que WordPress tiene muchos profesionales desarrolladores low code e inclusos programadores que prefieren hacer sus proyectos allí. Wp es una plataforma increíblemente versátil y poderosa, con la capacidad de construir casi cualquier tipo de proyecto web. Y eso es algo evidente para el que indaga un poco más, pero hablar mal de wp claro da mas views.
Entonces por naturaleza si es inseguro.😂
"de lo más seguro" dice haha, el chiste se cuenta solo.
@@joseysusamigos eso pasa con todo el software
Wordpress viendo el título del video:
oh no…
actualmente hay algunas plataformas, billeteras de criptomonedas usando WordPress como backend. Que opiniones tienen sobre eso?
Tanta mala espina me dan que ni cambian la dirección de acceso login admin.
No es culpa de los devs. Es culpa de los dueños de negocio que quieren un netflix o un uber con presupuesto para unas quesadillas y al no poder pagar gente de calidad con tecnología de calidad contratan un aprendiz que apenas sabe usar tecnología y lenguajes básicos y obsoletos que ni siquiera sabe Linux pues es de esperar de un aprendiz.
Hola, tienes un titorial o que sepas de alguien que tenga un tutorial para usar el web tools? O algún lector que sepa? Saludos
¿Recomendáis alguna tecnología para una página web simple (página de presentación, noticias con comentarios y esas vainas) para una empresa?
En mi empresa tienen una página de WordPress del año 2000 y están buscando reemplazarla.
No estoy muy al tanto del mundo del fronted, pero si es una página mayormente estática con muy pocas dinámicas, Astro.js es una buena opción (lo usa mucho Midu), ya algo que sea como WordPress, sé que hay, pero no conozco
Astro, Next, laravel, Symphony
Man yo trabajo en un banco que usa WordPress 💀
@@johiny pasa link q te lo pispeo un poco ajja
Pasa link bro 😂😂
SERÁ EL BANCO QUE TIENES EN TU PATIO PARA SENTARTE, PORQUE NINGÚN BANCO TIENE PÁGINAS WEB CREADA CON WORDPRESS
Solo diré que es de Guatemala nada más
@@danielggerson411 creeme que si existe. En mis vacaciones en bolivia me meti hasta la cocina de un banco. Pude descargar todos los reportes mensuales y el anual entre muchos otros datos internos. Y lo peor? es un banco bastante conocido allí.
Un WordPress en combinación con un VPS Linux y cloudflare bien configurado es impenetrable.
jaajjaja el uso de wordpress despues de este video se reduce un 80% en habla hispana
SI CLARO, COMO SI EL TAL MIDU FUERA EL VOCERO DE LOS HACKERS 😂
Es recomendable usar WordPress? Estoy empezando con html y css, es rentable dar página web de WordPress a clientes?. Necesito urgente dinero 😊😢😊😊😊
El problema no es WordPress, el problema es la gente que no se preocupa por actualizar y gestionar el CMS..
Con un mínimo de interés WordPress lo proteges, pero claro no va de instalar plugins
La web de la casa blanca es un wordpress :p todo depende
🍞*Hackear sitios web hechos en PHP es muy fácil, en especial desde linux*
basicamente nos estas recomendando usar strapi en su lugar?
Para mi ese problema inicia desde que wp no tiene un router en condiciones, y también porque no configuran el servidor, que es solo un archivo htaccess
El problema no es WordPress, es que muchas veces no se profundiza en cómo configurar correctamente WordPress, cualquier framework o tecnología que no configures y cierres correctamente tiene esos problemas.
mmmm yo creo que mas bien WORDPRESS cae en manos equivocadas por que en realidad eh visto wordpress bien seguros que ni el login lograrias descubrir asi como las APIS asi que no es tanto que wordpress es inseguro ya que si hablamos en caliente yo diria que todo hasta javascript es vulnerable , nodeJS y todo pero no es asi es que lo complementes con configuraciones de seguridad y respecto a los plugins es muy facil detectar y saber si deberia instalarlo o no.
Cómo dirían por allí, silence is golden
De que "xxx limit" habla Midu ? No llego a escucharlo bien...
Yo para evitar eso siempre me cercioro que haya un archivo index.html vacío dentro de cada carpeta para evitar la navegación en directorios
Hay una pagina del gobierno de ecuador que está creada con wordpress xd
hay muchas paginas de gobierno hechas con WP, el sitio de la casa blanca (USA) esta hecha en WP por ejemplo
Fui mencionada jsjsjsjs
Incroyable.
Bueno eso realmente NO ES CUMPLA DE WORDPRESS ojito con esto, esto se debe a la configuración del server WEB específicamente en el directorio del document root, la línea especifica de configuración es esta exactamente
Options -Indexes
Esta opción que como ya digo NO ES CULPA DE WORDPRESS, es culpa de aquellos responsables de la configuración WEB asi como tambien bloquear la API que es de mucho valor para los creadores de contenido pero igualmente, ES CONFIGURACIÓN DEL WEB SERVER Y NO DE WORDPRESS.
VAMOS REPITO SI NO SABEMOS DE LO QUE ESTAMOS HABLANDO MEJOR NO SEÑALAR, y ojito que quede claro no soy fan de WORDPRESS pero no es fallo de el si no mas bien de la config del servidor WEB, que repito se solventa con Options -Indexes en vez de tener un Options +Indexes.
En mi opinión el problema de WP cn la seguridad no es el propio WP, sino que cualquiera puede instalarlo y hay muchos alojamientos sin ningún tipo de soporte. Luego ocurren cosas desagradables porque has dejado la seguridad de lado porque quien ha montado el tinglado no tiene ni idea de seguridad. Y eso que no hablamos de instalar plugins o de plugins piratas conseguidos de vete tu a saber donde.
Hola. Cómo hago para proteger mis sitios de Wordpress ?
Hola vendo opel corsa 2004, saludos
Igual que feo que alguien encuentre un problema y lo publique para que todo el mundo lo vea, lo ideal seria escribirle al privado, y te puedes hasta ofrecer para solucionarlo y ganarte un trabajo extra
Muchas imprecisiones y muchos supuestos. En la práctica WordPress se suele instalar en hostings con whm u otro admin manager que se encarga de la configuración del server y si bien no es garantía de seguridad, es una buena base de inicio. Aquí en el ejemplo el directory listing no es un problema de WordPress, es un tema de configuración de servicios. De ahí en más continúan las inexactitudes, solo mencionar que wp ya ocupa el 40% de los sitios en la web.
El listing a lo mejor lo tenian activado probablemente porque la web esta sobre un stack XAMP/WAMP o similar, ahi esta activado de forma predeterminada (ademas de un servidor FTP tambien), almenos asi era la ultima vez que yo use uno de esos, no se ahora como seran las cosas
@@Karurosagu O puede que hayan migrado el sitio a otro host y no aplicaron bien el rsync o faltó lanzar el chmod luego de mover la información.
tela
Entre api o scraping, prefiero api, la verdad que tirarle piedras a wp es ser un poco cínico, porque hay cientos de miles o millones de web que no están en wp y les pasa las mismas mierdas, da igual que sea en java, python o lo que quieras, tienen fallos y si lo ha hecho un equipo pequeño, hasta más.
La verdad es que eso no tiene que ver con el desarrollo sino con los permisos del servidor y eso es de los DevOp, SysOp, SecOp.
Y la automatización de Script para hacking no es exclusivo de wp, quien sepa algo de seguridad me entiende
5:21 Que la contraseña sea admin o 1234 ya seria el colmo
El navegador incluso juega en tu contra, da infinidad de datos que pueden utilizar los atacantes, tus rutas de datos, informacion en variables, lo muestra todo, para mi eso es una soberana cagada, por eso el dasarrolo web nunca me llamo la atencion, si quieres seguridad tienes que implementar un monton de pendejeras para solo creer que tienes tu sitio seguro
Yo solucione los problemas de Wp dejando de usarlo
uf que lo quitan
Pero lo del Directory List no te lo deja habilitar WordPress nativamente, tocaron algo en el htaccess para mostrar eso.
Joder lo de la API no lo sabía, eso sí lo desactivo pero YA
WordPress solo es bueno para hacer una exposición de funciones para el cliente , asi se le explica al cliente como funcionara su app, pero se le dice que esto no es funcional es solo una maqueta.
NO LE DIGAS ESO A IBAI, XD
1=1
wow
:0
GG
Wordpress apesta en rendimiento , seguridad y solo es para quien no sepa html, css y php
¿wordpress está muerto?