Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

WP WEEKEND 2015 - O word press é seguro. Inseguro é você.

387 views

Published on

WP WEEKEND 2015 - O word press é seguro. Inseguro é você.

Published in: Technology
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

WP WEEKEND 2015 - O word press é seguro. Inseguro é você.

  1. 1. WordPress é Seguro. Inseguro é você. Leandro Vieira / Fundador e CEO da Apiki leandro@apiki.com O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  2. 2. Não sou 
 especialista em Segurança O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  3. 3. Empresa do Grupo iMasters, é a primeira empresa brasileira especializada e focada única e exclusivamente em WordPress. Responsável por grandes cases no mercado para empresas como Grupo Abril, Buscapé Company, Grupo Estadão, FIRJAN, iMasters, Walmart, Wizard, E-Commerce Brasil, Saraiva, Digitalks, VTEX, CENIBRA e outros. Fundada em 2008, mantém escritórios em Minas Gerais na cidade de Governador Valadares e em São Paulo na capital. Com serviços e soluções especializadas em WordPress organizados em produtos categorizados e certificados por nossos clientes. Apiki. Empresa orgulhosamente especializada em WordPress 
 com soluções certificadas por nossos clientes.
  4. 4. Clientes e amigos que nos renderam boas histórias para contar. Vamos construir a nossa? Clientes Apiki. Empresa orgulhosamente especializada em WordPress 
 com soluções certificadas por nossos clientes.
  5. 5. Clientes e amigos que nos renderam boas histórias para contar. Vamos construir a nossa? Clientes Apiki. Empresa orgulhosamente especializada em WordPress 
 com soluções certificadas por nossos clientes.
  6. 6. O WordPress não é seguro … ouço isso muito. Várias e repetidas vezes. O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  7. 7. Movimento de mudança iMasters Developer Week Edição Vitória / ES O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  8. 8. O WordPress é seguro. Inseguro é você. A iniciativa. O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  9. 9. Sobre a iniciativa • Um guia prático disponível em:
 apiki.com/wordpress-seguro • Conteúdo semanal sobre segurança disponível em: blog.apiki.com/ category/wordpressseguro. Mais de 30 e contando … • Dezenas de dicas específicas de segurança; • Entrevistas com especialistas; • Palestras: Vitória/ES, Belo Horizonte/MG, São Paulo/SP, Itajubá/MG; • Webinars; • Workshop (Porto alegre/RS). O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  10. 10. Segurança é processo. Vamos conversar a respeito e compartilharei dicas preciosas. O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  11. 11. Os problemas da popularidade O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  12. 12. O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro Fonte: w3techs.com
  13. 13. O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro Fonte: w3techs.com
  14. 14. O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  15. 15. O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  16. 16. O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro apiki.com/wordpress-4-4-release-overview
  17. 17. Nem tudo são flores O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  18. 18. Full Path Disclosure (FPD) O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  19. 19. Senhas O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  20. 20. Plugins O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  21. 21. Você não está fazendo isso certo. Mas deveria. O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  22. 22. • functions.php.bkp • functions.php.old • algum-arquivo.php.qualquercoisa • medo.php.maismedo O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  23. 23. • DISALLOW_FILE_EDIT x DISALLOW_FILE_MODS O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  24. 24. Você deveria usar mais vezes O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  25. 25. O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  26. 26. O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro Vamos ver um exemplo prático de ataque de força bruta
  27. 27. Você deveria fazer isso sempre … O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  28. 28. @Atualizações Core. Temas. Plugins. Sistema Operacional. Bibliotecas. Tudo. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  29. 29. @Versão do WordPress Remover? Ocultar? Deixar exposta? O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  30. 30. @Usuário e senhas “admin”. Senhas. Ataques. Desconexão. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  31. 31. @Usuário e senhas O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  32. 32. @Usuários O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro • Sobre a listagem dos nomes de usuários; • Feito através de Shell, Curl, Requisições manuais, WP Scan; • Evite a listagem dos nomes de usuários; • Dificulte os acessos de força bruta. # Evita listagem dos nomes de usuários RewriteCond %{REQUEST_URI} ^/$ RewriteCond %{QUERY_STRING} ^/?author=([0-9]*) RewriteRule ^(.*)$ https://url-do-site.com/? [L,R=301]
  33. 33. @Usuário e senhas O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro https://api.wordpress.org/secret-key/1.1/salt/
  34. 34. @Autenticação de dois fatores Quem é você. O que você tem. O que você sabe. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  35. 35. @Autenticação de dois fatores O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  36. 36. @wp-config.php Localização. Permissão. .htaccess. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  37. 37. @wp-config.php • Manter o arquivo um nível acima do diretório público; • Usar a permissão 400 (readonly) ou 600; • No arquivo .htaccess fazer uso de diretiva para proteção do arquivo. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  38. 38. @Debug O que os olhos não veem … O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  39. 39. @Debug /wp-content/debug.log define( 'WP_DEBUG', true ); define( 'WP_DEBUG_LOG', true ); @ini_set( 'log_errors', 'On' ); define( 'WP_DEBUG_DISPLAY', false ); @ini_set( 'display_errors', 'Off' ); O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  40. 40. @Exclusão de arquivos Hã? O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  41. 41. @Exclusão de arquivos 1./wp-config-sample.php 2./readme.html 3./license.txt 4./wp-admin/install.php 5./wp-admin/upgrade.php 6.HIGIENIZAÇÃO O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  42. 42. @Verificações Manual. Automática. Prevenção. Correção. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  43. 43. @Verificações / Backdoors • /wp-content/uploads/ … • alguma-coisa-nada-a-ver.php • php5.php • outra-coisa-estranha.php5 • single_x1.php4 • mais-coisa-esquisita.php4 • p.php • 1.php • 1.php5 • e a lista continua O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  44. 44. @Verificações / Backdoors • Entender como e por que acontece; • Sobre o mecanismo de upload do WordPress; • Plugins e temas x API do Core; • Dicas mágicas: • Atualizações; • Permissões corretas; • Desabilitar o editor de Plugin e Tema; • Bloquear execução de scripts PHP em /wp-content/ uploads. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  45. 45. @Permissões 400. 600. 644. 755. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  46. 46. @Permissões O WordPress é seguro. Inseguro é você. • 400/600 para o wp-config.php; • 600 para o debug.log; • 644 para os arquivos; • 755 para os diretórios. O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  47. 47. @Fornecedores Desenvolvimento. Conteúdo. Hospedagem. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  48. 48. @Banco de Dados Estrutura. Prefixo. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  49. 49. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  50. 50. @Banco de Dados wp_ O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  51. 51. @.htaccess Mágico. Indexes. Debug. wp-config. wp-includes. Spam. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  52. 52. @.htaccess #1 Options -Indexes #2 <Files debug.log> Order allow,deny Deny from all </Files> #3 <files wp-config.php> order allow,deny deny from all </files> #4 <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] </IfModule> O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  53. 53. @.htaccess / Spam <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{REQUEST_METHOD} POST RewriteCond %{REQUEST_URI} .(wp-comments-post|wp-login).php* RewriteCond %{HTTP_REFERER} !.*example.com.* [OR] RewriteCond %{HTTP_USER_AGENT} ^$ RewriteRule (.*) http://%{REMOTE_ADDR}/$ [R=301,L] </ifModule> O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  54. 54. @Full Path Disclosure O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro Full Path Disclosure (FPD). site-em-wp.com.br/wp-includes/rss-functions.php
  55. 55. @Full Path Disclosure O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro #4 <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] </IfModule>
  56. 56. @Full Path Disclosure O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro <?php if ( !function_exists( 'add_action' ) ) exit; ?> Em todos os arquivos de plugin e tema. A primeira linha de todas.
  57. 57. @Backups Banco de dados. Arquivos. Redundância. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  58. 58. @Guia prático apiki.com/wordpress-seguro O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  59. 59. bit.ly/comprarCursoSegurancaWP WPWeekend25% Cupom de desconto exclusivo:
  60. 60. Muito obrigado o/ O WordPress é seguro. E você também.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro Leandro Vieira / Fundador e CEO da Apiki leandro@apiki.com

×