Cómo deshabilitar el XML-RPC en WordPress (Apache y Nginx)

El siguiente tutorial explica como deshabilitar la funcionalidad XML-RPC en WordPress, para evitar la realización de ataques de fuerza bruta amplificados contra nuestros sitios a través del método system.multicall. Las directivas de acceso mostradas, en teoría, deben ser similares para la mayoría de los CMS que utilizan XML-RPC y son desplegados en servidores web Apache…

OWASP Top 10 Proactive Controls 2016

La lectura de los 10 Principales Controles Proactivos de OWASP es una actividad refrescante que permite adquirir conciencia de lo que hacemos bien o mal durante el desarrollo de aplicaciones web y móviles. En 34 páginas se aborda, de manera clara y concisa, cada uno de los elementos que nunca podemos olvidar para escribir código…

Ataques de Día Cero. ¿Qué son y cómo combatirlos?

Los Ataques de Día Cero (Zero-Day Attack, 0-Day Attack) son una amenaza permanente para cualquier sistema informático y ocurren cuando se crean exploits que se aprovechan de vulnerabilidades recientemente descubiertas para las cuales el fabricante del sistema no dispone todavía de una solución que permita corregir dicha vulnerabilidad. Desde el 2013 se han reportado 46…

X-Frame-Options : Minimizando las amenazas de ataques clickjacking

Un ataque de clickjacking hace creer al usuario que está realizando acciones sobre una aplicación web cuando en realidad está actuando sobre un marco superpuesto creado por un atacante. Por ejemplo, creemos que estamos tecleando nuestras credenciales en Facebook cuando realmente estamos escribiendo en un formulario construido ex profeso para interceptarlas (Figura 1). La principal…