HackingSolidario y HoneySEC unidos para recoger fondos para México

Dada la catástrofe ocurrida en México HoneySEC y HackingSolidario, dos asociaciones de ciberseguridad nos hemos unido para realizar un evento de recogida de fondos aportando nuestro granito de arena de la forma en la que sabemos y podemos que es por medio del conocimiento.

Mañana a las 10 de la mañana en la UNED de Guadalajara, España comenzará todo. Cuatro talleres alternativos a escoger por los participantes que deberán realizar una donación mínima de 2 euros para poder recibir la formación.

Desde aquí os ruego la mayor difusión posible para que esta iniciativa tenga éxito y otras muchas se nos unan.





Estamos todos hasta arriba preparándolo. Mucho nivel en muy pocas horas se avecinan. Llenos de nervios pero con mucha ilusión y cafeína para esta noche. Esperemos que entre todos podamos recoger fondos para ayudar después de la catástrofe ocurrida.


Preparando el taller de Python



A todos los que podáis asistir no tenéis que inscribiros en ningún sitio sino que es entrada libre por lo que os recomiendo desde ya ir un poquito antes para ir pillando sitio. Cuantos más seamos mejor así que no hay límite de plazas (aunque si de espacio). Yo os prometo que aunque estemos un poco apretados intentaré dar el mayor nivel posible dentro de mis conocimientos y de los de los asistentes y sobretodo no olvidemos el porqué de esta iniciativa que es para ayudar.

Os quiero ver a todos los que conozco y he conocido y a los que no podáis asistir os invito a crear iniciativas similares en vuestras ciudades para aportar entre todos lo que podamos.









Muchas gracias,
de nuevo os pido la mayor difusión posible para que en tan poco tiempo como hemos tenido para prepararlo puedan venir el mayor número de asistentes y se nos sumen nuevas iniciativas en las que si nos consultan estaremos encantados de ayudar.


Wordpress - 2 Instalación


En el apartado Wordpress 1 - Preinstalación hemos cubierto los requísitos básicos de una instalacion wordpress. Ahora apoyándonos en ellos vamos a instalar nuestra aplicación.



En la primera pantalla deberamos clica en el botón Vamos a ello! Situado en la parte inferior izquierda.


En esta segunda pantalla escribiremos los datos de acceso a la base de datos que hemos configurado previamente en MariaDB. Al haber creado una base de datos independiente para esta instalación el prefijo de la tabla nos es indiferente pero si quisiéramos varias instalaciones en la misma base de datos, lo cual no lo aconsejo, podríamos modificar el prefijo de la tabla para cada instalación.




Una vez llegado a este punto simplemente rellenamos los campos como más gustemos.



Lo primero que deberemos hacer será actualizar en caso de que tengamos alguna actualización para evitar fallos que puedan destapar agujeros de seguridad en nuestra instalación.

Lo segundo será eliminar el archivo readme.html que viene por defecto con la instalación de Wordpress.



Este archivo muestra información de nuestro sitio y no nos aporta nada a nosotros pero mucho a un atacante.

Enhorabuena! Ya tienes tu primer sitio hecho en Wordpress.


Apache2: Htaccess y control de usuarios y grupos


Como ya hemos visto previamente en los anteriores artículos, los ficheros .htaccess sirven para sobre-escribir directivas y para que se puedan utilizar se debe permitir su uso con la directiva AllowOverride

Si deseamos que cualquier configuración dentro de las posibles pueda ser sobre-escrita podemos usar la opción All. Podemos ver las opciones disponibles en el anterior artículo.


Por ello lo primero que deberemos hacer será editar el fichero de configuración de Apache y en el directorio sobre el que deseamos que se puedan sobre-escribir directivas poner la instrucción Allow Override.

En este caso lo haremos para /var/www, como las directivas se heredan será válido también para cualquier directorio en su interior a no ser qué se establezca lo contrario.

Para trabajar con grupos deberemos además, habilitar el módulo authz_groupfile como ya sabemos:

a2enmod authz_groupfile

Aunque sobra decirlo, como cada vez que hacemos un cambio en las configuraciones de Apache deberemos recargar el servicio con la instrucción service apache2 reload

A continuación crearemos un fichero .htaccess que sobreescribirá la configuración de Apache en la carpeta de nuestro sitio. En este especificaremos que el acceso se dará mediante autenticación.




En él establecemos el tipo de autenticación por usuario contraseña: básica , AuthName es el mensaje que solicitará la autenticación para el acceso.
AuthUserFile es el fichero donde guardaremos los usuarios y sus contraseñas y por último especificamos que para el acceso requerimos el grupo admins.

En lugar de utilizar la directiva Require group, podemos usar
Require user usuario1 usuario2 para especificar a qué usuarios permitimos el acceso o
Require valid-user para permitir el acceso a cualquier usuario que esté registrado en el fichero especificado.

El directorio /usuarios/web y los ficheros users.file y group.file no existen, podemos alojarlos en cualquier otro sitio siempre y cuando las rutas coincidan.


Crearemos las carpetas con la instrucción mkdir -p /usuarios/web
y a continuación procederemos a crear el fichero de usuarios.

Para ello usaremos la instrucción

htpasswd -c /usuarios/web/users.file samuel

 -c es un modificador que indica que en caso de no existir el fichero lo cree y la ruta y el nombre del usuario obviamente son a elegir. La ruta debe concordar y el nombre puede será el usuario con el que deseemos autenticarnos.

A continuación nos solicitará una contraseña para el mismo


 Y posteriormente crearemos el fichero group.file que hemos especificado anteriormente.

 

En este especificaremos los grupos y los usuarios que pertenecen a cada grupo.

Cuando vayamos a acceder a nuestro sitio nos encontraremos con la siguiente sorpresa:





Cómo siempre, un fuerte abrazo y nos vemos en el siguiente artículo.