Wordpressa - Hardening en Wordpress

1,333 views
1,194 views

Published on

Explicación del proyecto Wordpressa y algunos consejos de seguridad en wordpress para no caer como víctima en un ciber ataque.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,333
On SlideShare
0
From Embeds
0
Number of Embeds
665
Actions
Shares
0
Downloads
16
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Wordpressa - Hardening en Wordpress

  1. 1. Hardening en Wordpress Jorge WebSec
  2. 2. ¿Quién soy yo? ● ● ● Jorge Websec ● Autor del blog www.websec.es ● @Jorgewebsec ● Socio fundador de QuantiKa14 Fundador del FSI Creador del proyecto WordPressa www.quantika14.com || WORDPRESSA 2
  3. 3. ¿Qué es el Hardening? En seguridad informática, es el proceso de asegurar un sistema mediante la reducción de vulnerabilidades, buenas configuraciones... ● Poner barreras y dificultades para que un atacante no pueda conseguir el objetivo de su ataque. www.quantika14.com || WORDPRESSA 3
  4. 4. ¿Qué es Wordpressa? ● Un laboratorio para aprender técnicas ofensivas y defensivas. http://www.websec.es/2013/07/04/wo rdpressa-laboratorio-wordpress/ ● Auditorías de seguridad en Wordpress. ● Manuales: – Empezando con Wordpress – Hardening – Exploiting – Creación de una plantilla – Creación de plugins www.quantika14.com || WORDPRESSA 4
  5. 5. Hardening en Wordpress Wordpressa.quantika14.com www.quantika14.com || WORDPRESSA 5
  6. 6. Cada vez usan más ● Empresas ● Gubernamentales ● Blogs ● Foros ● Páginas personales ● Comunidades etc www.quantika14.com || WORDPRESSA 6
  7. 7. Wordpress sin Fortificar: www.quantika14.com || WORDPRESSA 7
  8. 8. Wordpress Fortificado: www.quantika14.com || WORDPRESSA 8
  9. 9. ¿Y por qué a mí? Si yo no tengo nada ● ● ● Atacaran grandes empresas. Webs conocidas. Webs con datos valiosos. www.quantika14.com || WORDPRESSA 9
  10. 10. Qué motiva a un atacante: ● Ego ● Malware ● Botnet ● Información ● Almacenar ● Servicios www.quantika14.com || WORDPRESSA 10
  11. 11. ¿Qué hace? www.quantika14.com || WORDPRESSA 11
  12. 12. 1.La versión de Wordpress ● ● Mirar el Readme.html Mirar el meta generator en el HTML de la página. www.quantika14.com || WORDPRESSA 12
  13. 13. Solución: ● Quitar Meta Generator: – Añadir en el archivo “functions.php” de tu plantilla: ● remove_action('wp_head', 'wp_generator'); #Muestra el generador XHTML que se genera en el gancho wp_head. #Borramos la función wp_generator enganchada wp_head ● Readme.html – Lo borramos o lo modificamos manualmente. www.quantika14.com || WORDPRESSA 13
  14. 14. Si no lo borramos... www.quantika14.com || WORDPRESSA 14
  15. 15. Si lo borramos... ● ● El atacante tendrá que comerse la cabeza un poquito más... Pero cada versión de wordpress usa diferentes tipos de archivos. www.quantika14.com || WORDPRESSA 15
  16. 16. Webs con Readme: http://blog.ebay.com/readme.html [3.6.1] ●View-source:http://blog.nexius.es/ [3.6.1] ●http://www.regalopublicidad.com/blog/readme.html [3.6] ●http://www.blog.iberdrola.com/readme.html [3.5] ●http://psoesevilla.es/readme.html [3.5] ●View-source:http://ppsevilla.com/ [3.4] ●http://blog.pepsico.es/readme.html [3.2.1] ●view-source:telefonica.com.ec/blog/ [3.0.4] ●view-source:http://www.andalucesdiario.es/ ●http://historiadelartemalaga.es/congresos/teoriayliteraturaartistica/readme.html ●view-source:http://www.cuartopoder.es/tribuna/ ● www.quantika14.com || WORDPRESSA 16
  17. 17. Los Permisos ● Lectura (r) ó (4) ● Propietario del archivo ● Escritura (w) ó (2) ● Grupo de usuarios ● Ejecución (x) ó (1) ● Cualquier usuario www.quantika14.com || WORDPRESSA 17
  18. 18. Estructura y permisos ● ● Directorio Raiz (0755) Wp-config.php (0644) Un usuario puede modificar los permisos Desde su cliente FTP o desde el Administrador de archivos de Su panel de control ● WP-ADMIN ● WP-INCLUDES ● WP-CONTENT 0755 www.quantika14.com || WORDPRESSA 18
  19. 19. Proteger WP-CONFIG es nuestro deber www.quantika14.com || WORDPRESSA 19
  20. 20. Con .htaccess ● # proteccion de wpconfig.php ● <files wp-config.php> ● order allow,deny ● deny from all ● </files> www.quantika14.com || WORDPRESSA 20
  21. 21. La cabaña no es segura... En caso de evasión es mejor que no este el objetivo fuera... (wp-config) www.quantika14.com || WORDPRESSA 21
  22. 22. Mover wp-config Creamos un php fuera con: ● ● <?php define('DB_NAME', 'Nombre_BaseDatos'); de tu base de datos // El nombre ● define('DB_USER', 'Usuario'); ● define('DB_PASSWORD', 'Password'); // password ● define('DB_HOST', 'localhost'); ● ● // El usuario de MySQL // El servidor $table_prefix = 'IMPORTANTE CAMBIARLO'; // el prefijo de las tablas, casi siempre es wp_ ?> www.quantika14.com || WORDPRESSA 22
  23. 23. En wp-config ponemos: include('/home/usuario/RUTA/ejemplo.php'); www.quantika14.com || WORDPRESSA 23
  24. 24. En un ataque las ventanas y puertas cerradas con llave ● # limitar el acceso como administrador por IP desde el .HTACCESS order deny, allow allow from 1.2.3.4 (cambiar por vuestra IP) deny from all (denegamos el acceso a todas las IPS menos la nuestra) ● En el caso de tener una ip dinámica podemos usar una VPN (OpenVPN) www.quantika14.com || WORDPRESSA 24
  25. 25. Otros consejos: Cambiar el Prefijo wp_ (“Dificulta” inyecciones sql) ●Actualizar siempre: los plugins, las plantillas y el wordpress. ●Hacer Backups de los archivos y base de datos. ●Borrar los metadatos antes de subirlos. ●Utilizar una buena contraseña y cambiarla habitualmente. ● www.quantika14.com || WORDPRESSA 25
  26. 26. Plugins de Seguridad: ● Exploit Scanner. ● Ultimate Security Checker ● LockerPress (cambia la url del acceso al backend) ● BETTER WP SECURITY (http://www.securitybydefault.com/2013/05/better-wpsecurity-completo-plugin-de.html) www.quantika14.com || WORDPRESSA 26
  27. 27. www.quantika14.com || WORDPRESSA 27
  28. 28. Muchas Gracias... ● @JorgeWebsec ● @quantika14 Www.quantika14.com www.quantika14.com || WORDPRESSA 28

×