¿es seguro nuestro sitio web con wordpress?

Miguel Ángel Arroyo Moreno@Miguel_Arroyo76

www.proxyconsulting.eswww.aconsaseguridad.com

PresentaciónAlgo sobre mí

Proxy Servicios y Consulting, S.L.U. (2006) (Freelance, 1999)

Hacker Ético Certificado – CEH por EC-CouncilCreador blog www.hacking-etico.comOWASP Member / Asociado ISMS Forum SpainFormador habitual en IFES e Instituto Alcántara (2001)

ContactarTwitter: @Miguel_Arroyo76 @Hacking_EticoEmail: proyectos@proxyservicios.comwww.proxyconsulting.es // www.aconsaseguridad.com

ÍndiceIntroducciónPlugins de seguridadLa importancia de las actualizaciones

Vulnerabilidades y Exploits

Seguridad por oscuridad

Miguel Ángel Arroyo Moreno - @miguel_arroyo76

Miguel Ángel Arroyo Moreno - @miguel_arroyo76

Miguel Ángel Arroyo Moreno - @miguel_arroyo76

DISPONIBILIDAD DE EXPLOITS

HERRAMIENTAS DE EXPLOTACIÓN

Miguel Ángel Arroyo Moreno - @miguel_arroyo76

DESCUBRIMIENTO DE PLUGINS

TÉCNICA DE COMPARACIÓN DE HASHES

No hay error 404.

El servidor responde con un 200 OK.

La causa es la existencia de un fichero index.php de 1 kb, que nos confirma la presencia de este plugin instalado en el WordPress.

DESCUBRIMIENTO MANUAL SIMPLE

CUIDANDO DESCUBRIMIENTO DE PLUGINS

DESCUBRIENDO PLUGINS CON NMAP

OCULTANDO WP-CONTENT

NMAP NO DESCUBRE PLUGINS ;-)

EJEMPLO CAMBIO NOMBRE WP-CONTENT

RESTRINGIENDO ACCESO POR TIEMPO - HTACCESS

Miguel Ángel Arroyo Moreno - @miguel_arroyo76

www.proxyconsulting.es @PxyConsulting