miguel angel torres egea
https://miguelangel.torresegea.es/wiki/
2026-05-23T16:03:20+00:00miguel angel torres egea
https://miguelangel.torresegea.es/wiki/
https://miguelangel.torresegea.es/wiki/_media/wiki:dokuwiki-128.pngtext/html2025-10-22T07:15:48+00:00Anonymous (anonymous@undisclosed.example.com)WordPress, webinar seguridad
https://miguelangel.torresegea.es/wiki/web:security:wordpress:seguridad?rev=1761117348&do=diff
WordPress, webinar seguridad
* Nominalia: <https://www.escueladeinternet.com/>
* <https://www.escueladeinternet.com/seguridad-wordpress-hackeo>
vulnerabilidades
* en themes o plugins
* en núcleo WP
* PHP -> versión > 8.1
* robo credenciales/suplantación
* fugas de información (logs de error que exponen información sensible)text/html2019-02-26T22:58:49+00:00Anonymous (anonymous@undisclosed.example.com)let's encrypt seedbox.torresegea.es
https://miguelangel.torresegea.es/wiki/web:security:letsencrypt:seedbox.torresegea.es?rev=1551221929&do=diff
let's encrypt seedbox.torresegea.es
para próximas
* probar método automático: certbot-auto renew
* OK, renueva certificados (pero no los actualiza en los directorios correspondientes) -> está en CRON
* añadida entrada en sudo visudo para que no solicite password de sudo al ejecutarsetext/html2026-05-04T10:15:59+00:00Anonymous (anonymous@undisclosed.example.com)Let's Encrypt
https://miguelangel.torresegea.es/wiki/web:security:letsencrypt?rev=1777889759&do=diff
Let's Encrypt
info
* User Guide
* <https://letsencrypt.org/getting-started/>
* certbot
* instalación: <https://certbot.eff.org/docs/install.html>
* método manual: <https://certbot.eff.org/docs/using.html#manual>
* renovación:
* <https://certbot.eff.org/docs/using.html#re-creating-and-updating-existing-certificates>
* ? <https://certbot.eff.org/docs/using.html#id19>
* cli : <https://certbot.eff.org/docs/using.html#certbot-command-line-options>
* <https://www.adicto…text/html2022-02-05T11:29:44+00:00Anonymous (anonymous@undisclosed.example.com).htaccess rewrites (redirecciones)
https://miguelangel.torresegea.es/wiki/web:apache:htaccess:redirects?rev=1644060584&do=diff
.htaccess rewrites (redirecciones)
/via:<http://deteresa.com/redireccion-301/>
hay que tener el mod_rewrite activo
Options +FollowSymlinks
RewriteEngine on
RedirectMatch permanent ^/(.*) http://<url>/$1
zxc.cat
RewriteEngine on
RewriteRule ^wiki.*$ https://miguelangel.torresegea.es/wiki/$1 [r=307,L]
RewriteRule ^blog.*$ https://miguelangel.torresegea.es/blog/$1 [r=307,L]
RewriteRule ^sqleditor.*$ https://miguelangel.torresegea.es/bike-9b12022-portable/ [r=307,L]
RewriteRule ^sql.*$ htt…text/html2020-06-20T11:12:09+00:00Anonymous (anonymous@undisclosed.example.com).htaccess
https://miguelangel.torresegea.es/wiki/web:apache:htaccess:start?rev=1592651529&do=diff
.htaccess
* .htaccess rewrites (redirecciones)
basics
* mantén el fichero .htaccess tan pequeño como pueda ser
* comenta y organiza correctamente el fichero .htaccess
* añade la opción [L] a las páginas finales, para decirle al servidor que no procese más reglas - como en hotlinkingtext/html2025-10-15T12:59:41+00:00Anonymous (anonymous@undisclosed.example.com)WORDPRESS
https://miguelangel.torresegea.es/wiki/web:security:wordpress?rev=1760533181&do=diff
WORDPRESS
* /vía: <http://wpzine.com/wordpress-security-hacks-and-tricks/>
* /vía: <http://www.katharsix.com/la-seguridad-en-wordpress-algunos-consejos/>
* /vía: <http://www.katharsix.com/la-seguridad-en-wordpress-algunos-consejos-ii/>
* WordPress multisite
* Wordpress securizar
* WordPress, webinar seguridad
trucos
* obligar método https VS ftp al actualizar:
define('FS_METHOD', 'direct');
recover & debugging
* desactivar plugins:<https://www.ostraining.com/blog/wordpress…text/html2026-05-04T12:14:38+00:00Anonymous (anonymous@undisclosed.example.com)Let's Encrypt (renovación DNS)
https://miguelangel.torresegea.es/wiki/web:security:letsencrypt:dns?rev=1777896878&do=diff
Let's Encrypt (renovación DNS)
Para poder renovar los certificados a través DNS, hace falta usar un servicio que permita acceder a los registros DNS via API (o delegar el registro CNAME en uno que lo permita).
preparativos
* descargar el script encargado de modificar el registrotext/html2021-12-23T12:05:09+00:00Anonymous (anonymous@undisclosed.example.com)certificados de seguridad (apache)
https://miguelangel.torresegea.es/wiki/web:apache:certificados?rev=1640261109&do=diff
certificados de seguridad (apache)
conceptos
* .key -> fichero conteniendo clave privada de un certificado
* .csr -> fichero de petición para certificar por una entidad certificadora -> Certificate Signing Request
* .crt -> fichero firmado por la entidad certificadora, para instalar en el webservertext/html2021-08-02T06:52:52+00:00Anonymous (anonymous@undisclosed.example.com)virtualhost examples
https://miguelangel.torresegea.es/wiki/web:apache:vhost:start?rev=1627887172&do=diff
virtualhost examples
multidominio http -> https
<VirtualHost *:80>
ServerName landing.fidmag.org
Redirect permanent / https://landing.fidmag.org/
</VirtualHost>
<VirtualHost *:80>
ServerName new.landing.fidmag.org
Redirect permanent / https://new.landing.fidmag.org/
</VirtualHost>
<VirtualHost *:80>
ServerName brainpredict.com
ServerAlias www.brainpredict.com
Redirect permanent / https://brainpredict.com/
</VirtualHost>
<VirtualHost *:80>
ServerName cursoneuro…text/html2020-03-02T08:21:51+00:00Anonymous (anonymous@undisclosed.example.com)Let's Encrypt multidominio
https://miguelangel.torresegea.es/wiki/web:security:letsencrypt:multidominio?rev=1583137311&do=diff
Let's Encrypt multidominio
#!/bin/bash
COMMON_NAME=${1:-"landing.fidmag.org"}
COMMON_ALT_NAME=${COMMON_NAME//./_}
[[ ! -z ${COMMON_NAME} ]] && {
echo -e "Creating letsencrypt directory...\n"
mkdir -p /etc/letsencrypt/live/${COMMON_NAME}
#openssl genrsa 4096 > account.key
echo -e "Generating .key & .csr for domain...\n"
openssl genrsa 4096 > domain_${COMMON_ALT_NAME}.key
openssl req -new -sha256 -key domain_${COMMON_ALT_NAME}.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/ope…text/html2019-11-27T23:34:23+00:00Anonymous (anonymous@undisclosed.example.com)let's encrypt k0.vividumcodex.com
https://miguelangel.torresegea.es/wiki/web:security:letsencrypt:k0.vividumcodex.com?rev=1574897663&do=diff
let's encrypt k0.vividumcodex.com
resumen
* montado sobre 2 contenedores diferentes
* nginx
* certbot
scripts
docker run \
-it \
--name nginx \
--rm \
-p 80:80 \
-v ${PWD}/data/nginx/conf.d:/etc/nginx/conf.d \
-v ${PWD}/data/nginx/www:/var/www/html \
-v ${PWD}/data/certbot/conf:/etc/letsencrypt \
-v ${PWD}/data/certbot/www:/var/www/certbot \
nginx:1.15-alpinetext/html2021-12-04T06:13:29+00:00Anonymous (anonymous@undisclosed.example.com)openssl
https://miguelangel.torresegea.es/wiki/web:security:openssl?rev=1638598409&do=diff
openssl
* Certificados, certificaciones, Entidades de Certificación
* <https://www.sslshopper.com/article-most-common-openssl-commands.html>
utils
* Remove a passphrase from a private key:
openssl rsa -in privateKey.pem -out newPrivateKey.pem
check
* Check a Certificate Signing Request (CSR):
openssl req -text -noout -verify -in CSR.csr
* Check a private key:text/html2024-10-31T09:24:42+00:00Anonymous (anonymous@undisclosed.example.com).htpasswd
https://miguelangel.torresegea.es/wiki/web:apache:htpasswd?rev=1730366682&do=diff
.htpasswd
es el fichero donde se ponen las relaciones de usuario y contraseña.
generar
AuthType Basic
* <http://www.htaccesstools.com/htpasswd-generator/>
* <http://httpd.apache.org/docs/2.0/es/howto/auth.html> <- habría que mirar tema de grupos
* $ htpasswd <opciones> <passfile> <user> <password>
* opciones:
* -c crea un nuevo fichero, ojo, sobreescribe si existe uno con ese nombretext/html2023-02-09T08:35:19+00:00Anonymous (anonymous@undisclosed.example.com)Línea de Comando con Apache
https://miguelangel.torresegea.es/wiki/web:apache:cli?rev=1675931719&do=diff
Línea de Comando con Apache
apachectl
* start/stop -> arrancar y parar daemon (service httpd start/stop/restart)
* configtest -> comprobar configuración (/etc/init.d/httpd configtest o apachectl configtest )
* graceful -> recargar la configuración en calientetext/html2018-08-30T07:36:46+00:00Anonymous (anonymous@undisclosed.example.com)configuración apache
https://miguelangel.torresegea.es/wiki/web:apache:config?rev=1535614606&do=diff
configuración apache
directivas para securizar
* evitar listado directorios Options -Indexes
* permitir .htaccess: (/etc/apache/sites-available/default)AllowOverride All
* evitar información del servidor (/etc/apache/conf.d/security):
*text/html2025-12-29T11:56:00+00:00Anonymous (anonymous@undisclosed.example.com)Let's Encrypt wildcard
https://miguelangel.torresegea.es/wiki/web:security:letsencrypt:wildcard?rev=1767009360&do=diff
Let's Encrypt wildcard
info
* <https://www.jesusamieiro.com/generar-un-certificado-ssl-wildcard-con-lets-encrypt/>
* <https://www.whatsmydns.net/>
* <https://dnschecker.org/#TXT/_acme-challenge.fidmag.org>
* <https://mxtoolbox.com/SuperTool.aspx?action=txt%3a_acme-challenge.example.com&run=toolpage#>
* <https://redeslinux.net/guia-completa-pfsense-con-ddns-de-cloudflare-certificados-lets-encrypt-y-haproxy-para-proxy-inverso-y-balanceo-de-carga-de-servicios/>
* <https://discour…text/html2025-10-15T12:57:51+00:00Anonymous (anonymous@undisclosed.example.com)WordPress multisite
https://miguelangel.torresegea.es/wiki/web:security:wordpress:multisite?rev=1760533071&do=diff
WordPress multisite
En mi caso, configurando como multisite-subdirectory me daba problemas a la hora de hacer login de nuevo en el administrador.
* añadir define( 'WP_ALLOW_MULTISITE', true ); en wp-config.php antes de /* ¡Eso es todo, deja de editar! Feliz bloggingtext/html2020-02-15T23:07:53+00:00Anonymous (anonymous@undisclosed.example.com)Forward Proxy & Reverse Proxy
https://miguelangel.torresegea.es/wiki/web:apache:proxy?rev=1581808073&do=diff
Forward Proxy & Reverse Proxy
/via: <https://www.cloudflare.com/learning/cdn/glossary/reverse-proxy/>
proxy
* proxy server, web proxy, forward proxy
* servidor que «intercepta» las peticiones de los clientes a los servidores de destino.
* utilidad: evitar restricciones en la navegación, bloquear acceso a contenidos, caching, protección de la identidad onlinetext/html2012-04-12T17:12:42+00:00Anonymous (anonymous@undisclosed.example.com)trabajar con desarrolladores
https://miguelangel.torresegea.es/wiki/web:developers:start?rev=1334250762&do=diff
trabajar con desarrolladores
para trabajar con varios desarrolladores/proveedores en una misma máquina y que no se puedan robar ni pisar, procederemos de la siguiente manera:
* modificar SSHD para enjaulado
* crear 2 grupos por cada proveedor: proveedor y proveedorSFTPtext/html2025-10-15T12:58:25+00:00Anonymous (anonymous@undisclosed.example.com)Wordpress securizar
https://miguelangel.torresegea.es/wiki/web:security:wordpress:securizar?rev=1760533105&do=diff
Wordpress securizar
* Nominalia: <https://www.escueladeinternet.com/>
securizar
* cambiar usuario «admin»
* tener el WP actualizado
* usar contraseñas fuertes
* aplicar el perfil correspondiente al trabajo a realizar - administrador no ha de ser el perfil por defecto para todostext/html2012-11-16T12:12:33+00:00Anonymous (anonymous@undisclosed.example.com)IPS & WAF
https://miguelangel.torresegea.es/wiki/web:security:ips-waf?rev=1353067953&do=diff
IPS & WAF
firewall
* filtrado de paquetes a puertos
IPS
* analiza contenido de paquete individual
* niveles 4 a 7, dependiendo
* básico: 300 reglas
* avanzado: 30000 reglas
* problema con falsos positivos
* + latencia
WAF
* analiza cabeceras http/httpstext/html2012-04-04T21:12:39+00:00Anonymous (anonymous@undisclosed.example.com)XSLT y XPath
https://miguelangel.torresegea.es/wiki/web:xml:xslt?rev=1333573959&do=diff
XSLT y XPath
básico
* XSLT : lenguaje para crear documentos XML a partir de documentos fuente
* para distinguir entre instrucciones y literales, se usa espacio de nombres XML
* XPath
* lenguaje de consulta para acceder a los documentos fuentetext/html2012-04-08T20:27:53+00:00Anonymous (anonymous@undisclosed.example.com)Day 3 : Sending Emails
https://miguelangel.torresegea.es/wiki/web:php:codeigniter:day3?rev=1333916873&do=diff
Day 3 : Sending Emails
<http://codeigniter.com/user_guide/libraries/email.html>
* datos de conexión:(se puede guardar directamente en /application/config/email.php
$config = array(
'protocol' => 'smtp',
'smtp_host' => 'ssl://smtp.googlemail.com',
'smpt_port' => 465,
'smtp_user' => 'user',
'smtp_pass' => 'pass'
);text/html2020-03-02T11:18:37+00:00Anonymous (anonymous@undisclosed.example.com)web
https://miguelangel.torresegea.es/wiki/web:start?rev=1583147917&do=diff
web
seguridad
* IPS & WAF
* WORDPRESS
* Let's Encrypt
desarrolladores
* trabajar con desarrolladores
librerias
* bootstrap:
* <https://getbootstrap.com/docs/4.4/getting-started/introduction/>
* jQuery
* <https://api.jquery.com/>
* jquery
markup=component&format=&weekStart=&startDate=&endDate=&startView=0&minViewMode=0&maxViewMode=4&todayBtn=false&clearBtn=false&language=en&orientation=auto&multidate=&multidateSeparator=&keyboardNavigation=on&forceParse=on#sandbox|sa…text/html2012-04-08T19:16:10+00:00Anonymous (anonymous@undisclosed.example.com)day 2 : Database Selecting Methods
https://miguelangel.torresegea.es/wiki/web:php:codeigniter:day2?rev=1333912570&do=diff
day 2 : Database Selecting Methods
* diferentes métodos para acceder a la información
* directamente con una sentencia SQL
* $q = $this->db->query('SELECT * FROM XXX');
* $q->num_rows() <- número de rows devueltas
* $q->result()text/html2024-04-05T09:27:04+00:00Anonymous (anonymous@undisclosed.example.com)APACHE
https://miguelangel.torresegea.es/wiki/web:apache:start?rev=1712309224&do=diff
APACHE
* Apache Benchmark: <https://ubunlog.com/apachebench-carga-pagina-web/>
* <https://httpd.apache.org/docs/2.4/programs/ab.html>
related
* Línea de Comando con Apache
* configuración apache
* .htaccess
* virtualhost examples
* trucos .htgroups
* trucos .htpasswd
* trucos let's encrypt
* certificados de seguridad
proxy-pass & cors
* Forward Proxy & Reverse Proxytext/html2011-11-15T09:59:42+00:00Anonymous (anonymous@undisclosed.example.com).htgroups
https://miguelangel.torresegea.es/wiki/web:apache:htgroups?rev=1321351182&do=diff
.htgroups
sirve para crear grupos de usuarios que se pueden utilizar para autenticar
test: matetext/html2020-03-04T11:56:25+00:00Anonymous (anonymous@undisclosed.example.com)trucos let's encrypt
https://miguelangel.torresegea.es/wiki/web:apache:letsencrypt?rev=1583322985&do=diff
trucos let's encrypt
apache + multiple vhosts
* hacer transversal el directorio de renovación de certificados:
Alias "/.well-known" "/var/www-internal/well-known"
<Directory /var/www-internal/well-known>
Satisfy Any
Allow from all
</Directory>text/html2013-09-26T11:23:26+00:00Anonymous (anonymous@undisclosed.example.com)Guía para principiantes
https://miguelangel.torresegea.es/wiki/web:seo:guiaprincipiantes?rev=1380194606&do=diff
Guía para principiantes
/vía: <http://static.googleusercontent.com/external_content/untrusted_dlcp/www.google.es/es/es/webmasters/docs/guia_optimizacion_motores_busqueda.pdf>
introducción
* facilitar el rastreo e indexación
* afecta solo a los resultados de búsqueda orgánicos - no patrocinados o pagados.
htmltext/html2013-09-26T11:31:12+00:00Anonymous (anonymous@undisclosed.example.com)SEO
https://miguelangel.torresegea.es/wiki/web:seo:start?rev=1380195072&do=diff
SEO
Search Engine Optimization
Google
* Guía para principiantes sobre optimización de motores de búsqueda