Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Segurança da informação palestra wordcamp sp 2016

903 views

Published on

Palestra sobre segurança da informação para aplicações wordpress e WooCommerce, guia para a WordCamp São Paulo.

Published in: Internet
  • Be the first to comment

Segurança da informação palestra wordcamp sp 2016

  1. 1. SEGURANÇA DA INFORMAÇÃO PARA APLICAÇÕES WORDPRESS E WOOCOMMERCE
  2. 2. Introdução Neste Workshop vamos tratar sobre a segurança de aplicações WordPress e WooCommerce partindo do ponto de vista da Segurança da Informação. Vamos também discutir quais são as maiores recorrências de vulnerabilidades e falhas, como evita-las e em último caso, quais contramedidas devem ser tomadas para reduzir os danos causados em um possível ataque ao seu sistema.
  3. 3. O que é Segurança da Informação “A Segurança da Informação se baseia na proteção de um conjunto de informações, a fim de preservar o valor que estas informações possuem para um indivíduo ou organização.” Quais os pilares da segurança da Informação? • Integridade – Garante que a informação permaneça no seu estado original. • Disponibilidade – Garante que a informação esteja disponível para o acesso. • Confidencialidade – Garante que a informação seja acessada apenas por pessoas autorizadas. • Autenticidade – Garante que a informação pertence à origem que anuncia.
  4. 4. Ambiente para Segurança da Informação. • Aplicação Segura. • Servidor de dados Seguro. • Rede de acesso segura. Aplicação Servidor Web Rede de Acesso
  5. 5. Principais ameaças em instalações WordPress • Fatores Humanos • Vulnerabilidades causadas por Plugins e Temas desatualizados ou de origem duvidosa • Falhas na configuração do Servidor WEB
  6. 6. FATORES HUMANOS • Vulnerabilidades por fatores humanos são muito comuns e na maioria dos casos a principal causa de comprometimento dos sistemas. • Quais são as principais falhas causadas por fatores humanos? • Engenharia Social • Baixa Qualificação para a função exercida • Falta de cuidado ao acessar dados sensíveis
  7. 7. Vulnerabilidades em Temas e Plugins desatualizados • Falhas conhecidas e que já foram corrigidas em versões mais recentes das aplicações, que ainda podem ser exploradas em versões mais antigas. • Falhas de validação de entradas de dados em Apps mal programados. • Backdoors ou Falhas propositais implantadas por hackers em plug- ins e temas “crackeados”, obtidos de forma duvidosa pelo administrador do site.
  8. 8. Vulnerabilidades Comuns em Servidores Web A maioria das vulnerabilidades em servidores WEB se dá pela falta de experiência dos usuários, que muitas vezes utilizam o famoso método “next → next → next →” para configurar seus sistemas. Quais são elas? • Portas de Serviços não utilizados, abertas para conexão externa. • Navegação de diretórios em servidores WEB. • Método de Conexão que permitem acesso a usuários privilegiados no sistema operacional. • Permissões de acesso para diretórios e arquivos desnecessários.
  9. 9. MEDIDAS DE SEGURANÇA PARA A PREVENÇÃO DE ATAQUES
  10. 10. • Utilize software de boa procedência. • Mantenha seu sistema sempre atualizado. • Faça scanners periódicos. • Exija senhas FORTES para usuários com acesso privilegiado ao seu sistema. • Tome cuidado com as informações que você torna públicas. • Desative a edição de códigos no Painel do WordPress. • Configure um Firewall para filtrar os dados de entrada e saída do seu servidor.
  11. 11. • Cuidado com as aplicações que instala no seu Servidor de dados. • Não acesse seu sistema em computadores desconhecidos. • Desative o acesso do usuário ROOT em conexão SSH. • Se possível, acesse seu servidor apenas com CHAVE PRIVADA. • Utilize conexões criptografadas em seu servidor. • Mantenha-se sempre atualizado sobre o seu sistema.
  12. 12. CONTRAMEDIDAS DE SEGURANÇA PARA A MINIMIZAÇÃO DE DANOS
  13. 13. • Tenha um plano de contingência para o caso de falhas. • Faça Backups da base de dados periodicamente. • Mantenha um servidor de redundância de dados. • Leia os logs de Acesso e de Erros gerados pelo seu servidor. • Altere as credenciais de acesso e se possível portas de conexões externas para o seu sistema.
  14. 14. HORA DE COLOCAR A MÃO NA MASSA VAMOS PRATICAR UM POUCO DO QUE APRENDEMOS HOJE

×