Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.

246 views

Published on

Palestra sobre segurança para WordPress ministrada no WordCamp POA em 6 de Maio de 2017

Published in: Technology
  • DOWNLOAD FULL. BOOKS INTO AVAILABLE FORMAT ......................................................................................................................... ......................................................................................................................... 1.DOWNLOAD FULL. PDF EBOOK here { https://tinyurl.com/y8nn3gmc } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB Ebook here { https://tinyurl.com/y8nn3gmc } ......................................................................................................................... 1.DOWNLOAD FULL. doc Ebook here { https://tinyurl.com/y8nn3gmc } ......................................................................................................................... 1.DOWNLOAD FULL. PDF EBOOK here { https://tinyurl.com/y8nn3gmc } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB Ebook here { https://tinyurl.com/y8nn3gmc } ......................................................................................................................... 1.DOWNLOAD FULL. doc Ebook here { https://tinyurl.com/y8nn3gmc } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Be the first to like this

WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.

  1. 1. O WordPress é seguro. Inseguro é você. Leandro Vieira Fundador e CEO da Apiki linkedin.com/in/leandrovieirapinho @leandrovieira apiki.com leandro@apiki.com
  2. 2. 1. O cenário
  3. 3. Popularidade
  4. 4. E contando …
  5. 5. Ecossistema
  6. 6. Plugins no WordPress.org 50+ mil / 1+ bilhão downloads
  7. 7. Themes no WordPress.org Comercial / Gratuito
  8. 8. Internacionalizado 70+ idiomas
  9. 9. Negócios Desenvolvimento / Hospedagem / Suporte / Consultoria / Treinamentos / Produtos / …
  10. 10. Mídia
  11. 11. Personas negativas
  12. 12. Iniciativa O WordPress é seguro. Inseguro é você.
  13. 13. Iniciativa Guia prático / Blog Posts / Palestras / Webinars / Workshops / Entrevistas / Dicas
  14. 14. 2. Evitar
  15. 15. “Versionamento / Backup“
  16. 16. .bkp / .old / .whatever functions.php.bkp functions.php.old algum-arquivo.php.qualquercoisa medo.php.maismedo
  17. 17. Senhas fracas
  18. 18. Pare agora com isso. O WordPress ajuda, mas a escolha é sua.
  19. 19. Editor de códigos do WordPress
  20. 20. Constantes PHP DISALLOW_FILE_EDIT ou DISALLOW_FILE_MODS
  21. 21. Servidor compartilhado sem gestão
  22. 22. Quem são seus vizinhos?
  23. 23. 3. Fazer sempre
  24. 24. Backup
  25. 25. Faça sempre Banco de dados. Arquivos. Redundância.
  26. 26. Atualizações
  27. 27. Faça sempre Core. Temas. Plugins. OS. Bibliotecas. Tudo.
  28. 28. Versão do WordPress
  29. 29. Pense a respeito. Remover? Ocultar? Deixar exposta?
  30. 30. Nomes de usuários e Senhas
  31. 31. Monitore “admin”. Senhas fracas. Ataques. Logout remoto.
  32. 32. Listagem de nomes de usuários
  33. 33. Fique ligado •Sobre a listagem dos nomes de usuários; •Feito através de Shell, Curl, Requisições manuais, WP Scan; •Evite a listagem dos nomes de usuários; •Dificulte os acessos de força bruta.
  34. 34. # Evita listagem dos nomes de usuários RewriteCond %{REQUEST_URI} ^/$ RewriteCond %{QUERY_STRING} ^/?author=([0-9]*) RewriteRule ^(.*)$ https://url-do-site.com/? [L,R=301]
  35. 35. Autenticação de dois fatores
  36. 36. Camada adicional Quem é você. O que você tem. O que você sabe.
  37. 37. wp-config.php
  38. 38. O arquivo mais importante Localização. Permissão. .htaccess.
  39. 39. O arquivo mais importante •Manter o arquivo um nível acima do diretório público; •Usar a permissão 400 (readonly) ou 600; •No arquivo .htaccess fazer uso de diretiva para proteção do arquivo.
  40. 40. <Files wp-config.php> order allow,deny deny from all </Files>
  41. 41. Debug
  42. 42. Como e quando usar? Ambientes: desenvolvimento, homolog, produção.
  43. 43. /wp-content/debug.log define( 'WP_DEBUG', true ); define( 'WP_DEBUG_LOG', true ); @ini_set( 'log_errors', 'On' ); define( 'WP_DEBUG_DISPLAY', false ); @ini_set( 'display_errors', 'Off' );
  44. 44. <Files debug.log> Order allow,deny Deny from all </Files>
  45. 45. Exclusão de arquivos do Core
  46. 46. Hã? •/wp-config-sample.php •/readme.html •/license.txt •/wp-admin/install.php •/wp-admin/upgrade.php •HIGIENIZAÇÃO
  47. 47. Permissões de arquivos e pastas
  48. 48. 400. 600. 644. 755. • 400 ou 600 para o wp-config.php; • 600 para o debug.log; • 644 para os arquivos; • 755 para os diretórios.
  49. 49. Fornecedores de serviços
  50. 50. Eles se preocupam com segurança? Desenvolvimento. Suporte. Conteúdo. Hospedagem.
  51. 51. Banco de dados
  52. 52. Se preocupe com: estrutura, prefixo. “wp_”?
  53. 53. SPAM
  54. 54. E a segurança com isso?
  55. 55. <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{REQUEST_METHOD} POST RewriteCond %{REQUEST_URI} .(wp-comments-post|wp-login).php* RewriteCond %{HTTP_REFERER} !.*example.com.* [OR] RewriteCond %{HTTP_USER_AGENT} ^$ RewriteRule (.*) http://%{REMOTE_ADDR}/$ [R=301,L] </ifModule>
  56. 56. XSS
  57. 57. Não confie nos seus usuários. Input X Output
  58. 58. Use funções nativas. 1. esc_html(); 2. esc_attr(); 3. esc_url().
  59. 59. Listagem de diretório
  60. 60. Evite. Exposição de informações do sistema
  61. 61. Options -Indexes
  62. 62. Full Path Disclosure
  63. 63. Arquivos PHP Localizados em /wp-includes/
  64. 64. De quem é a responsabilidade? WordPress? DevOps?
  65. 65. <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] </IfModule>
  66. 66. O que os Developers precisam fazer? Protegendo os arquivos PHP de plugins e temas de serem acessados diretamente.
  67. 67. <?php if ( !function_exists( 'add_action' ) ) exit; ?>
  68. 68. phpinfo()
  69. 69. Usado para depuração Remova de produção.
  70. 70. grep -r /path/to/wordpress ‘PHPINFO()’
  71. 71. Arquivos PHP na pasta uploads
  72. 72. Você não deve permitir. /wp-content/uploads/*.php?
  73. 73. <Directory “/var/www/wp-content/uploads/”> <Files “*.php”> Order Deny,Allow Deny from All </Files> </Directory>
  74. 74. 4. Estudar sempre
  75. 75. WordCamps + Eventos diversos
  76. 76. Conteúdos especializados
  77. 77. Obrigado! Leandro Vieira Fundador e CEO da Apiki linkedin.com/in/leandrovieirapinho @leandrovieira apiki.com leandro@apiki.com

×