fisl 16 – wordpress vs hacker – descubra o que ainda é preciso saber para blindar seu cms
TRANSCRIPT
![Page 1: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/1.jpg)
WordPress vs HackerDescubra o que ainda é preciso saber para blindar seu CMS
![Page 2: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/2.jpg)
Quem somos?Thiago DiebLenon Leite
![Page 3: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/3.jpg)
ASZone www.aszone.com.br
![Page 4: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/4.jpg)
Como blindar o WordPress
![Page 5: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/5.jpg)
Fonte https://wappalyzer.com/categories/cms (01/06/2015)
Atual realidade
![Page 6: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/6.jpg)
● 100% seguro == false;● WordPress ou CMS próprio?● WordPress
○ Fácil acoplamento;○ Estável;○ Rápida resposta da
comunidade;
WordPress é seguro ?
![Page 7: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/7.jpg)
Plugins e temas?
● Todos os Plugins e Temas são do WordPress.org == false;
● Utilidade X Segurança == (?);● Pagos X Não pagos == (?);● Quanto ++ Plugins == ++ Risco;● Temas ou plugins piratas == ++
Risco;
![Page 8: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/8.jpg)
Vamos começar….
![Page 9: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/9.jpg)
Algumas falhas conhecidas● LFD (local file download);● File Upload;● Sql Injection;● Brute Force;● XSS - (Cross-site Scripting)
○ Jetpack, Google Analitcs Yost, WordPress SEO;
![Page 10: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/10.jpg)
LFD
“É a vulnerabilidade que possibilita a apresentação ou o download de arquivos”
![Page 11: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/11.jpg)
LFD
http://www.aszone.com.br/2015/06/list-of-potentially-affected-themes-wordpress/
Falha no plugin
Mais de mil temas
![Page 12: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/12.jpg)
LFD
![Page 13: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/13.jpg)
LFD
![Page 14: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/14.jpg)
File upload
“Vulnerabilidade que permite efetuar upload de algum arquivo, no qual o sistema não está preparado.”
![Page 15: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/15.jpg)
File upload
Falha no Tema
![Page 16: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/16.jpg)
File uploadExemplo ...
http://wordpress.local/wp-content/themes/curvo/functions/upload-handler.php
![Page 17: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/17.jpg)
Sql injection
“Ataque que proporciona o invasor inserir ou manipular consultas SQL`s utilizadas por uma
aplicação”
![Page 18: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/18.jpg)
Sql injection
Falha no Plugin
![Page 19: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/19.jpg)
Sql injection
!passo
Dork: inurl:season=*league_id=*matchday
https://google.com/search?q=inurl%3Aseason%3D*league_id%3D*match_day
![Page 20: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/20.jpg)
Sql Injection
python sqlmap.py -u "http://wordpress.local/?season=1&league_id=1&match_day=1&team_id=1" --dbs
![Page 21: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/21.jpg)
Sql Injection
![Page 22: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/22.jpg)
Bruteforce
![Page 23: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/23.jpg)
Modo de proteção
![Page 24: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/24.jpg)
● Utilize senha HARDCORE;● Deixe instalado somente Plugins e Temas que vai utilizar;● Não utilize vários plugins de segurança;● Antes de instalar pesquise sobre os plugins e temas;● Mantenha o core, temas e plugins atualizados;● Ative autenticação de 2 etapas;● Monitore constatemente;● É recomendado alterar do nome do usuário “admin” ?
Previnir - Easy
![Page 25: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/25.jpg)
Previnir - Medium● Altere o "Modo Debug" para false; ● Não habilite a função de edição dos temas e plugins;● Aplique bloqueio de Brute force (WAF/Plugin);● Bloquei visualização de pasta;● Configure adequadamente as permissões de pastas;● Sempre utilize robots.txt;● É mais seguro comprar temas ou plugins ?
![Page 26: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/26.jpg)
Previnir - Hard● Usar as constantes no wp-config:
○ WP_CONTENT_DIR, WP_PLUGIN_DIR, UPLOADS;○ WP_AUTO_UPDATE_CORE, WP_HTTP_BLOCK_EXTERNAL;
● Configurar camadas de segurança na infra;● Aplique pentest no próprio site:
○ Use WpScan;○ Use Metaexploit;
● Altere ou bloquei o endereço do wp-admin/;● Bloquei identificação de usuários;
![Page 27: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/27.jpg)
Mudança de conceito
● Siga os padrões de criação de temas e plugins do WordPress;● Implemente testes unitários;● Pratique "Par Programming";● Pratique "Code Review";● Pentest em ciclos evolutivos;● Utilize metodologia de desenvolvimento seguro;
![Page 28: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/28.jpg)
Proteção além do WordPress
![Page 29: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/29.jpg)
WpScan -> Scan de vunerabilidades em WordPress.http://wpscan.org/SqlMap -> Exploração de sql injection.http://sqlmap.org/MetaSploit -> Exploração de vulnerabilidades. http://www.metasploit.com/John the Ripper -> Ferramenta de Brute Force, e quebra de hashs.http://www.openwall.com/john/InurlBr -> Buscar customizadas em Massa.https://github.com/googleinurl/SCANNER-INURLBR
Ferramentas
![Page 30: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/30.jpg)
Sites e Links importantes.Exploitershttp://www.exploit-db.com/http://1337day.com/http://www.cvedetails.com/
Links interessanteshttp://www.wordpressexploit.com/https://www.facebook.com/inj3ct0rshttps://wordpress.org/
![Page 31: Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms](https://reader034.vdocuments.pub/reader034/viewer/2022052603/55d0a59cbb61eb6e598b46b3/html5/thumbnails/31.jpg)
Finalizando...
@lenonleite @ThiagoDieb