Actualización de seguridad en #WordPress 4.7.2

El equipo de desarrollo de #WordPress anunció que ya se encuentra disponible su nueva versión de actualización de seguridad 4.7.2

Figura 1: WordPress 4.7.2

Esta actualización corrige 3 vulnerabilidades reportadas que afectan a versiones anteriores a 4.7.1

• El primer fallo corresponde a un problema dentro del Dashboard para asignar terminos de taxonomía, se mostraba a usuarios que no tenían permisos para usarla. Reportada por David Herrera.
• WP_Query es vulnerable en ataques SQL Injection al pasar datos inseguros. Se corrige este problema para evitar problemas futuros en Plugins y Themes.
• Se corrige una vulnerabilidad XSS, que afecta a las tablas de listas de correo. Reportada por Ian Dunn del equipo de seguridad.

Antes estos fallos reportados y corregidos, lo mejor que se puede hacer es ejecutar y llevan adelante las actualizaciones correspondientes y de esta manera evitar posibles problemas.

Figura 2: Máxima Seguridad en WordPress

Si quiere aprender más sobre como mejorar la seguridad en cada proyecto que implementes con WordPress, recuerda que ya se encuentra publicado mi libro "Máxima Seguridad en WordPress" donde encontraran muchos recursos y buenas prácticas de seguridad aplicado a WordPress.

Saludos!

Fuente | WordPress 4.7.2 Security Release

hackersClub Academy

Ya se encuentra disponible el espacio de formación profesional en materia de Seguridad Informática que estabas esperando y su nombre es hackersClub Academy.

Figura 1: hackersClub Academy

Allí vas a encontrar los cursos virtuales más requerido en el mercado laboral, guiado por los expertos y profesionales de cada área.

hackersClub Academy

Es una iniciativa de un gran amigo, Pablo Gonzalez Perez y Rafa Sanchez con el objetivo de transmitir toda la experiencia en cada curso dentro de la plataforma, por esta razón los pilares de hackersClub Academy son:

• La orientación de los programas de formación es totalmente técnica.
• Sesiones grabadas con enfoque eminentemente práctico.
• Proposición de ejercicios por parte del instructor para la consolidación de los conocimientos.
• Prueba final de validación de conocimientos adquiridos.
• Preparación y orientación a la prueba final mediante casos prácticos similares.
• Tutoría mensual con el instructor. Prepara tus dudas y acláralas online a través de videoconferencia. 
• Test semanal para validad conocimientos adquiridos.

¿Qué temáticas tendrá hackersClub?

Habrá varias posibilidades para formarse:

• Formación grabada online, disponible en cualquier instante para que tu te pongas los horarios que creas necesarios.
• Formación a través de videoconferencia (online). En este caso, se plantearán diferentes cursos de formación, consulta las posibilidades en info@hackersclubacademy.com. 
• Formación a empresas. Si eres empresa y quieres formar a tus empleados en temas de pentesting, hacking ético, vulnerabilidades, ciberseguridad, etcétera. No dudes y consúltanos en info@hackersclubacademy.com.

Además, haremos eventos dónde el networking será el protagonista. No dudes en apuntarte a las quedadas.

Saludos!

Enlace | hackersClub Academy

El futuro de la Ciberseguridad por @pablogonzalezpe

Hoy les voy a compartir una excelente #Openclass que llevó adelante Pablo Gonzalez Perez @pablogonzalezpe para la Universidad Internacional de la Rioja (UNIR) sobre "El futuro de la Ciberseguridad"

Si quieren conocer la mirada de un experto en Seguridad Informática sobre las amenazas que vivimos en Internet, Botnes, Ransomware, Malware Móvil, Seguridad en IoT, Car Hacking y como protegernos en nuestra vida digital, no dejes de ver esta Openclass disponible para todos.

Saludos!

Actualización de seguridad en #WordPress 4.7.1

El éxito de #WordPress 4.7 desde su lanzamiento a principios del mes de Diciembre del 2016 es arrasador, acumulando mas de 10 millones de descargas hasta la fecha.

El equipo de Desarrollo de WordPress anunció su primera actualización para esta versión 4.7.1 corrigiendo ocho problemas de seguridad.

1. Ejecución de código remoto en PHPMailer – No hay ningún problema específico que afecte a WordPress o a los principales plugins que hemos investigado pero, por precaución, hemos actualizado PHPMailer en esta versión Este problema lo informaron a PHPMailer Dawid Golunski y Paul Buonopane.
2. La REST API exponía datos de usuario de todos los usuarios autores de una entrada o un tipo de contenido público. WordPress 4.7.1 limita esto solo a los tipos de contenido que se especifique que deban mostrarse en la REST API. Informaron Krogsgard y Chris Jean.
3. Vulnerabilidad XSS a través del nombre del plugin o la cabecera de la versión en update-core.php. Informado por Dominik Schilling, del equipo de seguridad de WordPress.
4. Vulnerabilidad CSRF al subir un archivo flash. Informado por Abdullah Hussam.
5. Vulnerabilidad XSS mediante la retirada del nombre del tema. Informado por Mehmet Ince.
6. La publicación por correo electrónico revisa mail.example.com si no han cambiado los ajustes por defecto. Informado por John Blackbourn, del equipo de seguridad de WordPress.
7. Vulnerabilidad CSRF descubierta en e modo de accesibilidad de la edición de widgets. Informada por Ronnie Skansing.
8. Seguridad criptográfica débil en la clave de activación de multisitio. Informado por Jack.

Es muy importante mantener los proyectos actualizados y disminuir lo más que se pueda las brechas de seguridad.

Si quiere aprender más sobre como mejorar la seguridad en cada proyecto que implementes con WordPRess, recuerda que ya se encuentra publicado mi libro "Máxima Seguridad en WordPress" donde encontraran muchos recursos y buenas prácticas de seguridad aplicado a WordPress.

Saludos!

Enlace | WordPress 4.7.1 Actualización de mantenimiento y seguridad

Cambiando el CuenTOR por @0fjrm0 y @CiberPoliES

Para iniciar esta semana, les quería compartir un excelente taller a cargo de Fracisco Rodriguez y Manu Guerra sobre redes TOR. Allí van a poder aprender sobre todas las investigaciones realizadas por estos profesionales y los ejemplos sobre esta interesante tecnología.

Cambiando el CuenTOR

El objetivo del taller es desmitificar mucha de la información proporcionada por los medios de comunicación sobre red TOR, proporcionando al público información realista obtenida de primera mano tanto por INCIBE, UIT y TOR Project. Se proporcionaran
el conocimiento práctico para el uso de Tor.

Francisco Jesús Rodríguez Montero @0fjrm0: Miembro del Instituto Nacional de Ciberseguridad de España. Colaborador con las FCSE.

Manuel López Guerra @CiberPoliES: Miembro de la Sección Técnica de la Unidad Central de Investigación Tecnológica de la Policía Nacional. Investigador especializado en delitos cometidos a través de las nuevas tecnologías o con la ayuda de estas, especialmente aquellos delitos que requieren de conocimientos técnicos avanzados para su persecución. Analista Forense. I+D. ¿Hacker?

CyberCamp es el gran evento de ciberseguridad que INCIBE organiza anualmente con el objetivo de identificar, atraer, gestionar y en definitiva, ayudar a la generación de talento en ciberseguridad que sea trasladable al sector privado, en sintonía con sus demandas. Esta iniciativa es uno de los cometidos que el Plan de Confianza en el ámbito Digital, englobado dentro de la Agenda Digital de España, encomienda a INCIBE.


Saludos!