Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Repita 7 vezes: 

o WordPress é Seguro.
Leandro Vieira / Fundador e CEO da Apiki
leandro@apiki.com
O WordPress é seguro. I...
1. O WordPress não é
seguro …
Ouço isso muito. Várias e repetidas vezes.
O WordPress é seguro. Inseguro é você. / apiki.co...
O WordPress é seguro.
Inseguro é você.
Sobre a iniciativa
O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seg...
Movimento de
mudança
iMasters Developer Week Edição Vitória / ES
O WordPress é seguro. Inseguro é você. / apiki.com/wordpr...
Guia e educação
apiki.com/wordpress-seguro
O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
Conteúdo semanal
blog.apiki.com/category/wordpressseguro/
O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seg...
2. Os problemas da
popularidade
O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
3. Nem tudo são flores
O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
Full Path Disclosure
(FPD)
O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
/wp-includes/rss-functions....
Senhas
O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
Diretório de Plugins
O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
4. Você não está
fazendo isso certo.
Mas deveria.
O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
• functions.php.bkp
• functions.php.old
• algum-arquivo.php.qualquercoisa
• medo.php.maismedo
O WordPress é seguro. Insegu...
DISALLOW_FILE_EDIT
X
DISALLOW_FILE_MODS
O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
5. Você deveria usar
mais vezes
O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
6. Você deveria fazer
isso sempre …
O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
@Atualizações
Core. Temas. Plugins. Sistema Operacional. Bibliotecas.
Tudo.
O WordPress é seguro. Inseguro é você. / apiki...
@Usuário e senhas
O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
@Usuário e senhas
https://api.wordpress.org/secret-key/1.1/salt/
O WordPress é seguro. Inseguro é você. / apiki.com/wordpr...
@Autenticação de dois
fatores
Quem é você. O que você tem. O que você sabe.
O WordPress é seguro. Inseguro é você. / apiki...
@Autenticação de dois fatores
O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
@wp-config.php
• Manter o arquivo um nível acima do diretório público;
• Usar a permissão 400 (readonly) ou 600;
• No arqui...
@Debug
/wp-content/debug.log
define( 'WP_DEBUG', true );
define( 'WP_DEBUG_LOG', true );
@ini_set( 'log_errors', 'On' );
d...
@Exclusão de arquivos
1./wp-config-sample.php
2./readme.html
3./license.txt
4./wp-admin/install.php
5./wp-admin/upgrade.ph...
@Permissões
• 400/600 para o wp-config.php;
• 600 para o debug.log;
• 644 para os arquivos;
• 755 para os diretórios.
O Wo...
@robots.txt
User-agent: *
Disallow: /feed/
Disallow: /trackback/
Disallow: /wp-admin/
Disallow: /wp-content/
Disallow: /wp...
@Fornecedores
Desenvolvimento. Conteúdo. Hospedagem.
O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
@Banco de Dados
Prefixo.
O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
@Banco de Dados
wp_
O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
@.htaccess
Mágico. Indexes. Debug. wp-config. wp-includes. Spam.
O WordPress é seguro. Inseguro é você. / apiki.com/wordpre...
@.htaccess
#1
Options -Indexes
O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
@.htaccess
#2
<Files debug.log>
Order allow,deny
Deny from all
</Files>
#3
<files wp-config.php>
order allow,deny
deny fro...
@.htaccess
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .(wp-co...
@.htaccess
Full Path Disclosure (FPD). site-em-wp.com.br/wp-includes/rss-functions.php
O WordPress é seguro. Inseguro é vo...
@.htaccess 

-Full Path Disclosure (FPD)
#4
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/...
-Full Path Disclosure (FPD)
O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
<?php if ( ! function_exis...
@Backups
Banco de dados. Arquivos. Redundância.
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é voc...
7. Vamos nos ajudar?
Muito obrigado o/.
O WordPress é seguro. E você também.O WordPress é seguro. Inseguro é você. / apiki...
Upcoming SlideShare
Loading in …5
×

Repita 7 vezes: o WordPress é seguro

1,081 views

Published on

A palestra "O WordPress é seguro. Inseguro é você" ministra no 7Masters na edição de Segurança em 22/07/2015

Published in: Technology
  • Be the first to comment

Repita 7 vezes: o WordPress é seguro

  1. 1. Repita 7 vezes: 
 o WordPress é Seguro. Leandro Vieira / Fundador e CEO da Apiki leandro@apiki.com O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  2. 2. 1. O WordPress não é seguro … Ouço isso muito. Várias e repetidas vezes. O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  3. 3. O WordPress é seguro. Inseguro é você. Sobre a iniciativa O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  4. 4. Movimento de mudança iMasters Developer Week Edição Vitória / ES O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  5. 5. Guia e educação apiki.com/wordpress-seguro O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  6. 6. Conteúdo semanal blog.apiki.com/category/wordpressseguro/ O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  7. 7. 2. Os problemas da popularidade O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  8. 8. O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  9. 9. O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  10. 10. O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  11. 11. 3. Nem tudo são flores O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  12. 12. Full Path Disclosure (FPD) O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro /wp-includes/rss-functions.php /wp-content/plugins/hello.php
  13. 13. Senhas O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  14. 14. Diretório de Plugins O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  15. 15. 4. Você não está fazendo isso certo. Mas deveria. O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  16. 16. • functions.php.bkp • functions.php.old • algum-arquivo.php.qualquercoisa • medo.php.maismedo O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  17. 17. DISALLOW_FILE_EDIT X DISALLOW_FILE_MODS O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  18. 18. 5. Você deveria usar mais vezes O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  19. 19. O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  20. 20. 6. Você deveria fazer isso sempre … O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  21. 21. @Atualizações Core. Temas. Plugins. Sistema Operacional. Bibliotecas. Tudo. O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  22. 22. @Usuário e senhas O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  23. 23. @Usuário e senhas https://api.wordpress.org/secret-key/1.1/salt/ O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  24. 24. @Autenticação de dois fatores Quem é você. O que você tem. O que você sabe. O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  25. 25. @Autenticação de dois fatores O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  26. 26. @wp-config.php • Manter o arquivo um nível acima do diretório público; • Usar a permissão 400 (readonly) ou 600; • No arquivo .htaccess fazer uso de diretiva para proteção do arquivo. O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  27. 27. @Debug /wp-content/debug.log define( 'WP_DEBUG', true ); define( 'WP_DEBUG_LOG', true ); @ini_set( 'log_errors', 'On' ); define( 'WP_DEBUG_DISPLAY', false ); @ini_set( 'display_errors', 'Off' ); O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  28. 28. @Exclusão de arquivos 1./wp-config-sample.php 2./readme.html 3./license.txt 4./wp-admin/install.php 5./wp-admin/upgrade.php O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  29. 29. @Permissões • 400/600 para o wp-config.php; • 600 para o debug.log; • 644 para os arquivos; • 755 para os diretórios. O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  30. 30. @robots.txt User-agent: * Disallow: /feed/ Disallow: /trackback/ Disallow: /wp-admin/ Disallow: /wp-content/ Disallow: /wp-includes/ Disallow: /xmlrpc.php Disallow: /wp- O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  31. 31. @Fornecedores Desenvolvimento. Conteúdo. Hospedagem. O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  32. 32. @Banco de Dados Prefixo. O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  33. 33. O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  34. 34. @Banco de Dados wp_ O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  35. 35. @.htaccess Mágico. Indexes. Debug. wp-config. wp-includes. Spam. O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  36. 36. @.htaccess #1 Options -Indexes O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  37. 37. @.htaccess #2 <Files debug.log> Order allow,deny Deny from all </Files> #3 <files wp-config.php> order allow,deny deny from all </files> O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  38. 38. @.htaccess <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{REQUEST_METHOD} POST RewriteCond %{REQUEST_URI} .(wp-comments-post|wp-login).php* RewriteCond %{HTTP_REFERER} !.*example.com.* [OR] RewriteCond %{HTTP_USER_AGENT} ^$ RewriteRule (.*) http://%{REMOTE_ADDR}/$ [R=301,L] </ifModule> O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  39. 39. @.htaccess Full Path Disclosure (FPD). site-em-wp.com.br/wp-includes/rss-functions.php O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  40. 40. @.htaccess 
 -Full Path Disclosure (FPD) #4 <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] </IfModule> O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  41. 41. -Full Path Disclosure (FPD) O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro <?php if ( ! function_exists( 'add_action' ) ) exit; ?> Considere o uso em seus arquivos de plugins e temas.
  42. 42. @Backups Banco de dados. Arquivos. Redundância. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  43. 43. 7. Vamos nos ajudar? Muito obrigado o/. O WordPress é seguro. E você também.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro Leandro Vieira / Fundador e CEO da Apiki leandro@apiki.com

×