@@JoAnGuevara que grande !. Gracias por tu aporte

venia a golpear a Midu pero ya me calmé...

Exacto, ese es el punto. No es que sea problema de WordPress, es que mucha gente no le dedica ni un segundo a configurarlo o mantenerlo.

@@midulive eso es porque hay mucho "pseudo-desarrollador" que no sabe de seguridad, o a lo mucho instalan un plugin de seguridad, pero ni saben configurarlos bien!

@@midulive pero entonces al mismo tiempo sucede que los desarrolladores tienen la tendencia a: 1: Repetir lo que escuchan de sus "Seniors" y colegas. 2: no querer responsabilizarse de su código chafa, un buen ejemplo de eso es pensar que cualquier código en php es mal código, no sabiendo que php es un muy buen lenguaje de programación y el malo programando es el... La verdad es que el 99% de los que critican a Wordpress no saben tirar 5 líneas de código en php sin chat gpt o copilot y nunca harán nada ni cerca de lo genial que es Wordpress

@@matiaslawwliet tu no eras el admin de un grupo del barba? Xd

@kaelinvoker2007 asi es ajaja

@@matiaslawwliet Sauron sos vos jajaja

@@robertbarboza8406 shhhh jajaja

Tienes recursos que recomiendas sobre este tema hace poco tuve un trabajo con un cliente, pero es terrible usuarios que no recuerda , bases de datos que tenían el mismo nombre que el usuario para acceder a ellas, wp dasbhboard rotos por plugins más viejos que la santa terrible totalmente

hahaha pues ponganse a estudiar, un lenguaje de verdad para resolver los problemas de wordpress

😅 Más respeto. "cursito" No. Lo del Midu son Curzasos 😂

buena idea animes a MIDU a que cree un curso de seguridad para wordpress pero uno potente, por que es verdad es vulnerable wordpresss, a mi paso en mi proyecto de prácticas , cree un sitio para una fundación y al mes lo tiraron según decía los del hosting que era por que se dejo un vulnerabilidad en el formulario de contacto , o que era por que se compartió las claves, y lo que puede indicar de esto si lo asegure antes que pase esto , tanto cambio de dirección /wp-admin, cree una cuenta aparte para administrador y otro para el equipo y aun así infectaron el servidor , y lo que se me ocurre es por que no el puse el re-capchat al formulario o que otras personas mostraron la clave del hosting, bueno para concluir , lo bueno es que siempre realizo respaldo de lo ultimo , cosa que restaure el sitio una vez puede ingresar al hosting por que no se podía por que infectaron los archivos, y reforcé todo hasta coloque verificación de 2factores y re-capchat en formulario y panel de administración y puse wordfence, y aun así cada vez que se habla de estos temas de seguridad estoy pendiente , lo bueno es que no ha vuelto a ocurrir

No le sabe 😢

La seguridad del front end seria el backends

@@castilla2372y el XSS? El front es una capa más del queso y no se debe olvidar la seguridad de esta. A pesar de que el back pueda actuar de cortafuegos.

O mejor un curso de css para backends jeje No tiene nada que ver una cosa con la otra bro. La seguridad es del back no del front.

Validaciones del cliente , pero lo pesado es en El back end. El front se puede manipular .

No. Nada de esto depende de la tecnología web ni del index. Esto es un tema de permisos del directorio web. Parece que ese día faltaron a clase todos..

" Alguien en el chat mencionaba que falta el index.php vacio en ese directorio" Eso no es proteccion. Se puede forzar la lectura de una carpeta sin necesidad de que se vaya al indice por defecto. Es decir, les falto un .htaccess correcto.

@@edurubiovarela3043 es justamente lo que dije, eso se configura a nivel server (nginx, apache, etc.). El index en blanco ayuda a mitigar un poco las cosas ya que si el directory listing es posible, por lo menos se muestra un index en blanco (aunque sea posible bypassearlo) y no el listado del directorio.

@@eng3d Nunca dije que sea proteccion, dije que el index vacio esta para evitar eso. Aunque reconozco que deberia haber dicho mitigar en lugar de evitar.

Cuando digo “el problema de WordPress”, no significa que WordPress tenga un problema es que la gente cree que su instalación por defecto ya te protege de todo.

​@@midulive Y que sea tan vulnerable por defecto no lo hace un problema de WordPress? Hasta donde tengo entendido WordPress es para gente que no la tiene demasiado clara con el desarrollo de web apps. Opino desde la ignorancia, nunca toque WordPress

@@hin1883 si instalas plesk, cpanel, tu router, asterik, etc, etc con la configuración por defecto pasaria lo mismo, ahora eso es un problema de la herramienta o de la gente? es como tener un arma cargada en la sala con niños pequeños, es el culpa del arma?

@@hin1883 claro esa es la idea, y la gente se puede confiar.

​@@hin1883Pues llevas razón, porque yo por ejemplo no tengo ni puta idea de desarrollo, por eso uso un CMS automatizado (para mis webs, no para clientes) El tema es que yo, y decenas de miles de personas más entramos en WP porque no tenemos ni puta idea de desarrollo, y todos los Hostings nos venden que es sencillo y se hace con un par de clicks. A estas alturas, he aprendido a la fuerza en muchas ocasiones, y en otras pues por interés o curiosidad, ¿pero tu crees que todas las personas tiene curiosidad, interés o se ven forzados a preocuparse por su seguridad (o la de sus clientes)? Pues NO A la mayoría de la gente se la pela esto, y no le dan importancia hasta que pasan cosas feas. Wordpress es una pasada, pero sin tener ni idea de lo que haces, te las ves crudas. Hay mucha publicidad engañosa, y ese es el principal problema. Apunto a Hostings como RAIOLA Networks, Hostinger, entre otros, que te lo venden como algo sencillo, rápido y seguro... Después crean 8000 tutoriales, y es cosa de cada quien darse cuenta de que los han engañado desde el principio, y tienen que aprender a programar por cojones. 🤷 En resumidas palabras Hin, tienes toda la razón del mundo.

@@ram1ro sigue siendo una falla

" no relacionada directamente a WordPress." Wordpress agrega su .htaccess, pero solo en la raiz. Wordpress es horrible.

Estoy de acuerdo. Aunque hay un problema grave en WordPress y es que el ecosistema es tan excesivamente grande, que los desarrolladores de plugins no tienen por qué seguir ningún estándar salvo un mínimo imprescindible para que su plugin se cargue. Y por este motivo pueden pasar cosas tan bonitas como las que se comenta en el vídeo, que una vulnerabilidad de un plugin de backups te permita descargarte los ficheros de backup. Pero generalmente la mayoría de los plugins serios parchean rápido, y ya hay como 3 o 4 plugins de seguridad que incluso te mandan un correo tan pronto se enteran de la vulnerabilidad diciendo que tal "Plugin" está sufriendo un riesgo y toca actualizarlo. Pero lo cierto es que por defecto, WordPress viene "demasiado abierto" para mi gusto. Por ejemplo la API tendría que venir cerrada por defecto, y ya sea el desarrollador o alguna selección en el menu, la que permita el acceso público. Hay cosas que son una auténtica guarrería, y esto es porque a día de hoy la gobernanza de WP es un puto caos (y más ahora que se ha destapado la historia de Matt y ya la gente se ha dado cuenta del festival del humor que hay detrás).

¿En qué momento digo que el directory listing sea culpa de WordPress? Hablo de ese caso en concreto y que se ve todo el sistema de archivos de WordPress. De hecho lo que digo es que está pasando lo típico. La gente instala WordPress, con toda la configuración de Apache por defecto, y pasan estas cosas. El directory listing, si es accidental, siempre es un problema de seguridad (independientemente del framework). Otra cosa es que, como dices, no sea vulnerable, pero si es innecesario y se expone información, es un problema.

En el título lo ha dicho, es culpa de los DEVS

Pero yo no digo que haya sido culpa de WordPress en ningún momento. De verdad, no entiendo este fanatismo. El tema es que el ejemplo es de una instalación de WordPress, que es común, porque muchos devs no le dedican o no saben configurar bien sus servidores. Y ya está.

El problema es lo que comentas, que muchísima gente no hace la "buena implementación de seguridad". Y, sí, es como cualquier otro framework pero WordPress es un objetivo muy goloso. Sólo tienes que ver tus access_logs para darte cuenta de los ataques automatizados que debes estar recibiendo.

@@morenodennis que plugin recomiendas?

Se cae?

No ​@@DeejayExeCL

@@jml0606-b1o podrias darnos algunos tips?

Pues ese es el punto que digo. Que por defecto puede ser vulnerable o más fácilmente atacable, especialmente por configuraciones del servidor. Pero que no se le dedica el tiempo necesario por parte de muchos devs. Tú lo haces y es genial, pero no es la gran mayoría de los casos.

@@midulive cierto midu gracias por tu respuesta un saludo enorme crack

Hacer una fp para acabar con wordpress 🤷🏻‍♀️ por eso la dejé...

@@GC-mq8gj Cuando empecé hace dos años en las empresas se pedía bastante como requisito, pero ahora como no te contraten en las prácticas, papel mojado. De todas formas, no lo veo malo, lo estoy trabajando de forma programática y sólo es una forma de tener un producto rápido en el mercado mientras sigo formándome, tengo bastantes ideas, el tema es el tiempo para desarrollarlas y buscar los clientes. Pero sí, entre en sogware pensando que sería una buena solución al tema de tener una carrera profesional que crezca con el tiempo y me metí de pleno en tremendo cuello de botella... Lo que tiene haberse subido acabando la pandemia, y tampoco es que un bootcamp te arregle la vida.

@@GC-mq8gj Hace dos años cuando la empecé, la pedían mucho como requisito mínimo. El tema es que ahora en la industria post-pandemia ha perdido valor. Como no te contraten en las prácticas, pues estás jodido. Y bueno, igual sigo buscando, a lo mejor en enero el tema mejora. Pero al margen de eso, yo no creo que sea mala formación, el uso que le puedo dar a WordPress es mucho mejor que el que le da mucha gente porque tengo bases muy sólidas de bases de datos y programación web. Empiezo con WordPress porque creo que es un producto rápido y fácil de mover en pymes, no tiene sentido que me ponga a utilizar herramientas más complejas como Spring si la escala de negocio no lo requiere. Además también manejo Astro, y frameworks del entorno de Java y de Python, pero claro, esto es mucho trabajo mío encima del que hice en la FP. Personalmente WordPress sólo es una forma de buscar ingresos a corto plazo, seguiré formándome y poco a poco me moveré a nichos que me interesan bastante más. Y no creo que un bootcamp sea una opción, y las carreras están un poco con el agua al cuello si no consigues unas buenas prácticas.

@@GC-mq8gj Hace dos años cuando la empecé, la pedían mucho como requisito mínimo. El tema es que ahora en la industria actual ha perdido valor. Como no te contraten en las prácticas, pues estás jodido. Y bueno, igual sigo buscando, a lo mejor en enero el tema mejora. Pero al margen de eso, yo no creo que sea mala formación, el uso que le puedo dar a WordPress es mucho mejor que el que le da mucha gente porque tengo bases muy sólidas de bases de datos y programación web. Empiezo con WordPress porque creo que es un producto rápido y fácil de mover en pymes, no tiene sentido que me ponga a utilizar herramientas más complejas como Spring si la escala de negocio no lo requiere. Además también manejo Astro, y frameworks del entorno de Java y de Python, pero claro, esto es mucho trabajo mío encima del que hice en la FP. Personalmente WordPress sólo es una forma de buscar ingresos a corto plazo, seguiré formándome y poco a poco me moveré a nichos que me interesan bastante más. Y no creo que un bootcamp sea una opción, y las carreras están un poco con el agua al cuello si no consigues unas buenas prácticas.

Disculpe que es fp?

Que hay del MERN stack?

pero hay plantillas gratuitas como adminlte

Contenedores: Agrega una solucion pero genera un problema nuevo. Los contenedores NUNCA son la solucion.

Es que ese es el punto del vídeo. Que no se le da ese cariño. Que la gente lo instala y se cree que ya está todo hecho. Y no sólo necesita una instalación inicial, es que también hay que mantenerlo.

Pues ahí lo tienes. "Bien usado". Y ese es el punto del vídeo.

Claro, eso cuento en el vídeo.

Será eso pero lo usa más del 50% de las webs de Internet.

@midulive así es!

@@gerardoguillermoaparicioro1126 90%

XD igual haces uso de servicios ajenos a WP por ende WP sigue siendo inseguro por si sola así que si o si dependes de la protección externas

¡Exacto! Hay una gran diferencia entre desarrollar en WordPress y simplemente instalar plantillas. Muchos creadores de contenido en KZbin relacionados con la programación suelen criticar WordPress o menospreciar a quienes lo usan de manera profesional, sin entender realmente el valor de esta herramienta. Este rechazo muchas veces se debe a que el modelo de negocio de creación de sitios web en WordPress es más escalable y rentable tanto para el cliente como para el desarrollador, en comparación con desarrollar un sitio desde cero con un programador. Lo curioso es que muchos de estos críticos hablan desde la ignorancia, ya que apenas han explorado WordPress de manera superficial, y algunos ni siquiera han hecho una instalación básica. Sin embargo, por el hecho de ser programadores, asumen que su enfoque es superior. La realidad es que WordPress tiene muchos profesionales desarrolladores low code e inclusos programadores que prefieren hacer sus proyectos allí. Wp es una plataforma increíblemente versátil y poderosa, con la capacidad de construir casi cualquier tipo de proyecto web. Y eso es algo evidente para el que indaga un poco más, pero hablar mal de wp claro da mas views.

Entonces por naturaleza si es inseguro.😂

"de lo más seguro" dice haha, el chiste se cuenta solo.

@@joseysusamigos eso pasa con todo el software

@@johiny pasa link q te lo pispeo un poco ajja

Pasa link bro 😂😂

Solo diré que es de Guatemala nada más

@@danielggerson411 creeme que si existe. En mis vacaciones en bolivia me meti hasta la cocina de un banco. Pude descargar todos los reportes mensuales y el anual entre muchos otros datos internos. Y lo peor? es un banco bastante conocido allí.

@@johiny ya lo encontre, no fue dificil. Hay que agradecerle a wordpress ajajaj

Con una simple regla en .htaccess se soluciona mejor

Lo del index.html es un parche y no una solución definitiva. Habría formas de saltárselo.

mosca con apache / ngix y las configuraciones (en algunos legacy con el httacces).

Si y no. El uso de la api de wordpress es solo uno de los vectores de ataques mas comunes, pero también tienes por ejemplo el uso del cron, cada visitante hace que el cron de wordpress se ejecute automaticamente. Lo recomendable es deshabilitarlo y realizar una tarea programada desde el servidor que lo ejecute.

​@@matiaslawwlietSauron?

Pues voy a estar de acuerdo

No estoy muy al tanto del mundo del fronted, pero si es una página mayormente estática con muy pocas dinámicas, Astro.js es una buena opción (lo usa mucho Midu), ya algo que sea como WordPress, sé que hay, pero no conozco

Astro, Next, laravel, Symphony

Pero si el título dice: "por culpa de los devs". ¿Qué más quieres?

Incroyable.

El listing a lo mejor lo tenian activado probablemente porque la web esta sobre un stack XAMP/WAMP o similar, ahi esta activado de forma predeterminada (ademas de un servidor FTP tambien), almenos asi era la ultima vez que yo use uno de esos, no se ahora como seran las cosas

@@Karurosagu O puede que hayan migrado el sitio a otro host y no aplicaron bien el rsync o faltó lanzar el chmod luego de mover la información.

rate limit

hay muchas paginas de gobierno hechas con WP, el sitio de la casa blanca (USA) esta hecha en WP por ejemplo