Successfully reported this slideshow.
Your SlideShare is downloading. ×

Amilton - Armored WordPress

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Upcoming SlideShare
Web seminario hardening
Web seminario hardening
Loading in …3
×

Check these out next

1 of 15 Ad

Amilton - Armored WordPress

Download to read offline

Vamos mostrar recomendações práticas de como deixar seu wordpress no ar com mais segurança, desde o registro do domínio, na aplicação, no monitoramento e na infraestrutura que suporta seu site/blog.

Vamos mostrar recomendações práticas de como deixar seu wordpress no ar com mais segurança, desde o registro do domínio, na aplicação, no monitoramento e na infraestrutura que suporta seu site/blog.

Advertisement
Advertisement

More Related Content

Similar to Amilton - Armored WordPress (20)

More from WordPress Floripa (13)

Advertisement

Recently uploaded (20)

Amilton - Armored WordPress

  1. 1. Armored WordPress WordCamp Floripa 04/2018
  2. 2. @amilton_justino > 1990 1º computador (Servidor BBS Unix jogado no lixo) > 1993 Desenvolvedor C, Dbase > 1995 Sysadmin > 1996 ganhei meu primeiro mouse (mas não usei muito) > 1998-2000 Certificado Conectiva Linux (in memorian) > 1998 entusiasta em seginfo > 2000 Sysadmin (Ctba/PR) > 2005 Co-Fundador da Insight Solution Team (Fpolis) > 2010 início na atuação profissional em SegInfo > 2014 Hacker ético Profissional (CEH) > 2016 Advanced Pentest Security Professional > 2017 Mikrotik Certified Network Advanced > 2018 Mikrotik Certified IPv6 Engineer
  3. 3. O que é Segurança da Informação ? Proteção da Informação e de sistemas de informação contra acesso ou modificação não autorizada, seja em armazenamento, processamento ou trânsito e contra negação de serviço aos usuários autorizados. Fonte: The History of Information Security Book - Karl de Leeuw
  4. 4. Mas porque eu preciso disso ? ● Hospedagem de dados ilegais (pirataria, pronografia infantil…) ● Hospedagem de sites para atividades ilícitas (phishing, blackmarket...) ● Propagação de artefatos maliciosos (malware, ransomware, miners…) ● Participação em ataques DDoS/DrDoS (Zombie Botnet) ● Roubo de credenciais/identidade ● Roubo de dados/segredos (pessoas famosas / negócios) ● Mineração de criptomoedas ● Envio de Spam ● Just for fun… Estima-se que 1 “owned server” pode render US$ 500.000/ano
  5. 5. Objetivos da segurança da Informação:
  6. 6. Check List ● Registro do domínio ● Servidores DNS ● Hospedagem vs Plataforma vs Infraestrutura ● Firewall ● Web Application Firewall* ● Monitoramento ● Backup* / Disaster Recovery ● Compliance ● WordPress* ● Certificados SSL/TLS*
  7. 7. Registro do domínio (registro.br) ● IDs diferentes para cada contato ● Grupos de pessoas no lugar de e-mails individuais ● Endereço de um contato diferente do domínio ● Senhas fortes nos IDs ● MFA (multi factor authentication) ● Monitorar alterações https://insight.inf.br/2018/03/15/hardening-blindando-seu-registro-br/
  8. 8. Servidores DNS ● Servidores em regiões/datacenters diferentes (Registro.br, AWS, GCP) ● Use DNSSec (registro.br) ● Use DNS Proxy/Cache servers (Akamai, CloudFlare, Incapsula...) ● Tenha uma cópia das configurações (print) ● Monitorar alterações e tempos de resposta
  9. 9. Hospedagem vs Plataforma vs Infra Estrutura Hospedagem Plataforma Infra Estrutura Exemplo Locaweb / Kinghost WordPress / WPEngine AWS/Digital Ocean/GCP Setup Pouco Nenhum Muito Compliance não atende não atende alguns casos pode atender Customização Médio Pouco Divirta-se Segurança Compartilhada com o Hospedeiro e com os terceiros que estão no mesmo servidor Compartilhada com o Hospedeiro Compartilhada com o datacenter (conectividade e hardware)
  10. 10. Firewall ● FORWARD: DROP ALL ● INPUT: filtradas portas 80 e 443 TCP ● INPUT: Acessos de manutenção (22, 3306…) somente para ips específicos, VPN ou com port knocking ● INPUT: Restante DROP ALL ● OUTPUT: somente para destinos conhecidos (updates) ● LOG: ALL, registre tudo ● Válido para IPv4 e IPv6
  11. 11. Monitore (Nagios/Zabbix) 1. Vencimento domínio no registro.br 2. alterações nos Servidores DNS e nos apontamentos 3. Tempo de resposta dos servidores DNS 4. Bloqueios efetuados pelo Firewall 5. Bloqueios efetuados pelo Web Aplication Firewall* 6. Acessos ao que é permitido (SSH...) 7. Backup efetuados * 8. Tamanho dos backups 9. Data de vencimento dos Certificados SSL/TLS 10. Capacidades em uso de hardware e rede
  12. 12. Disaster Recovery ● Cópia dos arquivos e dumps dos bancos (Backup*) ● Snapshot do ambiente (imagem) ● Replicação do banco master-slave ● Replicação do banco e do WordPress (Warm Stand-by) ● Replicação banco master-master, aplicação rodando simultaneamente em dois ambientes distintos e com os dados estáticos em CDN (Alta Disponibilidade)
  13. 13. Compliance / Conformidade ● Marco Civil ○ Artº 15 prevê guarda de logs de acesso por 6 meses para aplicações com fins comerciais ● Lei do E-Commerce ○ Expor endereço físico completo na página ○ Expor CNPJ/CPF e Razão social na página ● PCI-DSS (Cartões de crédito) ○ Dados armazenados e em trânsito criptografados ○ Testes de intrusão recorrentes http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/decreto/d7962.htm https://www.pcisecuritystandards.org/
  14. 14. Yoda era binário “Do (1) Or do not (0) There is no try.” Questionar você deve. Perguntas certas, melhores respostas, obter você irá.
  15. 15. OBRIGADO a todos !!!! Manifesto: O uso da palavra Hacker para se referir a um criminoso violador da segurança é uma conclusão equivocada que vem por parte dos meios de comunicação em massa. “Hacker é um indivíduo que se dedica, com intensidade incomum, a conhecer profundamente algo. Frequentemente consegue obter soluções e efeitos extraordinários, que extrapolam os limites do funcionamento normal”. (Wikipedia) São pessoas que vão além do manual, pensam fora da caixa, gostam de ser hábeis e engenhosos. amilton.justino@gmail.com (12/2016) Glider

×