Entrevista a Luis Méndez

En la entrevista de este mes tenemos a Luis Méndez, que nos presentará la próxima Meetup en WordPress Granollers, “Seguridad en WordPress para Principiantes“.

La Seguridad de WordPress es uno de los factores que a veces al principio más nos puede asustar.

Por suerte hay personas cómo Luis que explican cosas que pueden parecer difíciles de una forma muy cercana y fácil de entender.

Seguridad en WordPress para Principiantes será un Meetup para todos los públicos, ¡te esperamos!

Empezamos con la entrevista.

Gracias por la entrevista Luis, explícanos a qué te dedicas y tu experiencia profesional.

En la actualidad soy Técnico de Soporte en Webempresa y responsable de Contenidos del Blog desde 2009, centrando mis objetivos profesionales en los 3 CMS más democratizados actualmente, si bien, mi foco está en WordPress.

En el terreno personal, ¿Cuales son tu libro, película y grupo/cantante preferidos?

Soy de pocos libros, ya que la mayoría de los contenidos que consumo son online, pero los libros de papel (los de toda la vida) son básicamente libros técnicos citando que los 3 últimos que he leído son “Linux Exploiting”, “Metasploit para Pentesters” y “Pentesting con FOCA”. Si tuviera que citar un título que me acompaña desde pequeño diría que “Juan Salvador Gaviota” fue el que más me marcó, quizás por aquello de “superar retos imposibles”.

Me gustan más las series que las pelis, pero no se porque al final, fuera de las pelis/series técnicas que me suelen gustar, un título que me hace llorar (los hombres lloramos de promedio más que las mujeres, aunque no lo reconozcamos después) es la versión americana de “Hachikō” titulada “Siempre a tu lado” dice mucho de mi lado no lógico 🙂

Y de música podríamos estar un rato hablando pero tengo que reconocer que cuando necesito concentrarme para escribir contenidos tiro mucho de Rammstein (debe ser mi otro yo el que lo disfruta) 😀 …en ratos más calmos escucho Deep Forest y otros autores de new age.

Hoy en día es complicado estar al día de todo, ¿Tú cómo te mantienes actualizado a nivel profesional?

Consumo muchos contenidos a diario, tengo un RSS que reviso casi semanalmente, priorizando diariamente algunos de los contenidos que más interés me despiertan, y principalmente aquellos relacionados con la seguridad, aunque parte del tiempo de lectura se lo dedico a los Feeds de SecurityFocus, Bugtraq, WPScan, etc.

A nivel profesional que proyecto o caso de éxito te gustaría destacar.

En los últimos años he trabajado en varios proyectos personales y profesionales de forma independiente que me han permitido mantenerme en el sector, pero uno de los proyectos que surgieron un poco por casualidad de los que más feliz me siento es de haber cogido las riendas del Blog de Webempresa desde cero y llevarlo al nivel de difusión del que actualmente goza, con un volumen de consultas muy alto, pudiendo contabilizar artículos con más de 266.000 lecturas en apenas 1 año desde su publicación y manteniendo la segunda posición en resultados de búsqueda en Google.

Aunque también he tenido oportunidad de aportar contenidos como invitado en blog externos y uno de los que más satisfecho me han dejado ha sido el publicado en el blog de José Facchin titulado “Seguridad en WordPress ¡La mega guía para blindar tu página web o blog!” http://josefacchin.com/seguridad-en-wordpress que os invito a leer 🙂

¿Qué recursos o herramientas utilizas cada día y porqué?

Tantas como la situación lo requiera, pero principalmente y como medida perimetral una VPN (trabajo dentro de una VPN propia, creada por Webempresa) y adicionalmente dentro de máquinas virtuales dentro de un sistema anfitrión. A pesar de lo que diga Tim Berners-Lee sobre las VPNs.

Herramientas como LastPass me acompañan hasta en los dispositivos (a pesar del último susto del addon para navegadores), y por supuesto Latch para 2FA en los accesos a dashboards de WordPress y otros CMS.

Adicionalmente tiro de consola para dig, nslookup, whois y todo lo relacionado con el tracing de dominios, ns, etc. Y para cuestiones más insólitas uso nmap, dropscan, wpscan, wpforce, y lo que proceda, siempre con autorización y únicamente como herramientas de diagnóstico.

Para comparar lo mismo uso diff en consola como Meld, Beyond Compare, Kompare u otro con GUI para mi sistema operativo habitual.

Entrando en WordPress, ¿Qué puntos fuertes destacarías sobre WordPress?

El núcleo (core) sin duda es robusto y muy estable, salvo honrosas excepciones ¿pero que CMS no tiene excepciones? 😛

Luego están los desarrolladores, con los que acostumbro a comunicarme con frecuencia, ya sea para felicitar su trabajo, para citarlos en post que escribo sobre determinados plugins o bien para reportarles bugs detectados en sus plugins, los cuales suelen recibir de buen grado y de manera muy abierta y colaborativa, lo que hace que la comunidad de usuarios salga reforzada con estas sinergias.

¿Y qué cosas mejorarías o cambiarías de este CMS?

Difícil pregunta en términos de programación, pues el core de WordPress está muy logrado (comparado con otros CMS) y no me cabe a mi decir lo contrario.

Añadir un control de eventos en el dashboard de forma nativa, principalmente para no depender de plugins de terceros, y por supuesto que sean eventos notificables pudiendo ser configurados por el usuario y que además tuviesen notificaciones gestionadas desde dispositivos, usando la propia App de Automattic.

Sería importante que se mejorase el control de calidad de plugins y temas de terceros. No es asumible que en enero tuviésemos 33 plugins vulnerables (reconocidos), en febrero 15 y en marzo 50 plugins se hayan visto afectados, sin contabilizar aquellos que llevan siendo vulnerables desde hace tiempo, están retirados temporalmente del directorio oficial de plugins, pero siguen estando instalados en miles de webs de usuarios finales. Es necesario un mayor control antes de dejarlos pasar al directorio, esto evitaría muchos ataques a sitios en producción.

¿Qué 5 Plugins son imprescindibles para tí en cada proyecto web?

Soy bastante escéptico a la hora de usar/recomendar plugins porque actualmente considero que cuantos menos plugins tenga una instalación de WordPress mejor funcionará, es decir, la tendencia debería ser usar más snippets, filtros, funciones, etc., y menos plugins, salvo que sea estrictamente necesario, al final, los plugins acaban convirtiéndose involuntariamente en vectores de ataque.

No obstante entiendo que facilitan la vida a los usuarios, por lo que puestos a citar, ahí van los imprescindibles:

  • Latch (2FA)
  • XCloner (+ plugin para derivar backups a CDN Dropbox).
  • Sandbox (a pesar de estar sin actualizar desde hace tiempo sigue siendo estable y es útil para los manazas).
  • ManageWP Worker para centralizar el control de los sitios WP que se administren.
  • Plugin Toggle para poder activar/desactivar bajo demanda plugins de uso puntual.
  • Como BONUS destacaría “Vcgs Toolbox” de mi amigo Victor Campuzano, porque me es muy útil para la socialización de contenidos bajo demanda.

¿Qué crees que aporta un Grupo de Meetup a la Comunidad? ¿Y que te aporta a tí?

En general aporta difusión de la herramienta a los usuarios, sea cual sea su implicación con el CMS y sus conocimientos. Gracias a los meetups que suelen tratar todo tipo de temáticas relacionadas con WordPress, cada vez más personas son las que pueden crear sus proyectos web de forma sencilla y con información de calidad.

A mi me permite satisfacer mi necesidad de pertenecer a una comunidad, aportar humildemente mis conocimientos (muchos o pocos) y ayudar a democratizar su uso quitándole hierro y texto complicado a todo lo que hay entre el código y el navegador.

¡Os esperamos el 9 de Mayo!
Seguridad en WordPress para Principiantes.

Deja un comentario