Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Como manter o WordPress seguro

1,093 views

Published on

Palestra apresentada na Confêrencia Anual Orientada a Segurança da Universidade Federal do Rio de Janeiro, edição 2015 (CAOS UFRJ 2015)

Published in: Internet
  • Be the first to comment

Como manter o WordPress seguro

  1. 1. Como manter o WordPress seguro Rudá Almeida Universidade Federal do Rio de Janeiro Diretoria de Segurança da Informação e Gestão de TIC
  2. 2. Quem sou eu Rudá Almeida Integrante da Diretoria de Segurança da Informação e Governança de TI da UFRJ
  3. 3. Quem sou eu Rudá Almeida Entusiasta do WordPress e integrante da comunidade carioca de WordPress
  4. 4. Quem sou eu Rudá Almeida Já palestrei em Meetups e WordCamps. Ajudei a organizar eventos no Rio de Janeiro.
  5. 5. O que é WordPress?
  6. 6. ◎ Ferramenta de Gestão de Conteúdo ◎ Plataforma de publicação ◎ Criado em 2003 ◎ Usado em blogs, sites de notícias, páginas institucionais, portfolio, e- commerce, plataforma de ensino, entre inúmeras aplicações. WordPress
  7. 7. ◎ É a ferramenta mais popular do gênero ◎ Presente em 25% da web* ◎ Domina 59% do mercado* WordPress * entre os 10 milhões de sites mais visitados em novembro de 2015 (w3techs)
  8. 8. O preço da fama Quanto mais popular, mais visado Imagem: OpenClipartVectors
  9. 9. “ Basta de 30 a 45 dias para que um site recém-criado, mesmo sem conteúdo ou audiência, passe a ser alvo de varreduras maliciosas frequentes. Tony Perez, sucuri.net (adaptado)
  10. 10. Não importa o tamanho ou a natureza do seu site: se ele está na internet, é seguro assumir que ele está sendo alvo constante de ataques.
  11. 11. 10 a 20 mil ataques por minuto
  12. 12. Hackers O que eles querem Imagem: Freepik
  13. 13. O objetivo de um hacker é, na maioria dos casos, comprometer o seu site e usar os recursos computacionais do servidor para fins ilícitos.
  14. 14. Consequências
  15. 15. ◎ Inclusão em blacklists ◎ Perda de reputação ◎ Perda de recursos ◎ Perda de tempo e dinheiro ◎ Responsabilização por dano a terceiros Consequências
  16. 16. Como ocorrem as invasões
  17. 17. 1. Uso do WordPress desatualizado 2. Brechas de segurança na hospedagem 3. Temas e plugins comprometidos 4. Autenticação Principais vulnerabilidades exploradas
  18. 18. Como se proteger Imagem: Freepik Combatendo as vulnerabilidades
  19. 19. 1.Atualização Não use versões antigas! Imagem: Freepik
  20. 20. ◎ Ciclo de lançamento freqüente. ◎ Equipe em tempo integral. ◎ Correções lançadas rapidamente. ◎ Long-term support Núcleo do WordPress
  21. 21. Nunca, jamais deixe o núcleo desatualizado
  22. 22. “ Mais de 73% dos sites* em WordPress estão usando versões desatualizadas e vulneráveis do core, contendo brechas de segurança conhecidas. Sandro Gauci, Enable Security (adaptado) * em julho de 2013, de uma amostra de 42 mil sites.
  23. 23. A partir da versão 3.7, lançada em outubro de 2013, o WordPress passou a receber atualizações automáticas para minor releases do seu núcleo.
  24. 24. Para forçar a atualização de mais componentes // Edite o arquivo wp-config.php // e adicione as seguintes linhas: // Para forçar atualização automática // para qualquer versão do núcleo define('WP_AUTO_UPDATE_CORE', true); // Para forçar atualização automática de plugins add_filter( 'auto_update_plugin', '__return_true' ); // Para forçar atualização automática de temas add_filter( 'auto_update_theme', '__return_true' );
  25. 25. 2.Hospedagem Ambiente do servidor Imagem: Flaticon
  26. 26. ◎ Usar versões atuais dos serviços ◎ Garantir a integridade dos dados ◎ Detectar atividade de malware ◎ Oferecer isolamento entre os sites Sua hospedagem precisa:
  27. 27. ● Desative protocolos inseguros(SFTP ou SSH em vez de FTP) ● Dê a permissão correta para pastas e arquivos ● Desative a listagem de pastas e arquivos ● Use um prefixo aleatório nas tabelas no banco ● Mova o arquivo wp-config.php uma pasta acima ● Force o uso de SSL no acesso ao painel Alguns ajustes básicos:
  28. 28. ● Desative a edição de arquivos no painel, inserindo no arquivo wp-config.php a linha define('DISALLOW_FILE_EDIT',true); ● Restrinja acesso a wp-admin, wp-includes e wp-config.php ● Use uma senha forte para o usuário MySQL ● Desative acesso remoto e permissões desnecessárias no banco de dados ● Desative a execução de scripts nas pastas de upload
  29. 29. 3.Temas e plugins Imagem: whilhei
  30. 30. ● Sempre atualize temas e plugins ● Parou de sair atualização? Pare de usar! ● Não basta desativar, é preciso apagar ● Nunca, jamais use “fontes alternativas” ● Mantenha-se informado sobre vulnerabilidades
  31. 31. ● Se possível, analise o código ● Ofereça atualizações frequentes ● Seja desenvolvido por nomes confiáveis ● Baixe sempre do site oficial Como escolher um plugin
  32. 32. 4.Autenticação Não use senhas fracas! Imagem: Freepik
  33. 33. Desde a versão 4.3, o WordPress força a adoção de senhas fortes
  34. 34. por 2 fatores Imagem: Freepik 4.Autenticação
  35. 35. “ Autenticação por dois fatores oferece identificação através da combinação de dois componentes diferentes: algo que o usuário sabe, possui ou lhe é inseparável. Wikipédia (adaptado)
  36. 36. Plugins para autenticação por dois fatores
  37. 37. 4.Autenticação Usuários e permissões Imagem: WikiMedia
  38. 38. ● Não use o username “admin” ● Para postar, use uma conta de autor. ● Não dê acesso de administrador a terceiros. ● Bloqueio de logins incorretos(iThemes Security, WordFence) ● Altere o endereço de login(iThemes Security) ● Remova o alerta no erro de login Alguns ajustes básicos:
  39. 39. 5.Avalie riscos e vulnerabilidades Imagem: Freepik
  40. 40. ● Acompanhe listas de vulnerabilidades (NVD, CVE e WPScan) ● Efetue code review de temas e plugins. ● Rastreie alterações em arquivos (WP Security Scan, Wordfence, iThemes Security) ● Execute varreduras preventivas ● Avalie os impactos de segurança Vulnerabilidades e riscos:
  41. 41. WPScan
  42. 42. 6.Malware O seu computador é seguro? Imagem: Freepik
  43. 43. “ Nenhuma medida de segurança adotada, seja em relação ao WordPress ou ao servidor, fará a menor diferença se o seu computador estiver comprometido. Codex do WordPress (adaptado)
  44. 44. ● Atualize sempre seu sistema operacional. ● Use anti-vírus e anti-malware. ● Não salve a senha do WordPress. ● Use sempre o bom senso. Segurança começa em casa
  45. 45. Como se recuperar?
  46. 46. “ A única forma de garantir a segurança de um site comprometido é restaurar um backup anterior ao incidente e corrigir as brechas que permitiram o ataque. Samuel “Otto” Wood, WordPress Core Contributor (adaptado)
  47. 47. Backup você tem um… certo? Imagem: OpenIcons
  48. 48. ● Incluir arquivos e banco de dados ● Pode ser feito com plugins… ● … ou direto no servidor (ex: cron & rsync) Backups no WordPress: WordPress Backup WP-DB-Backup
  49. 49. Plugins segurança automatizada Imagem: Freepik
  50. 50. Plugins WordFence iThemes Security
  51. 51. Obrigado!
  52. 52. Dúvidas? Imagem:Bernard Lamailloux
  53. 53. ● http://codex.wordpress.org/Hardening_WordPress ● https://blog.sucuri.net/category/wordpress-security ● http://www.wpwhitesecurity.com/wordpress-security/ ● https://premium.wpmudev.org/blog/keeping- wordpress-secure-the-ultimate-guide/ ● https://blog.apiki.com/category/wordpressseguro/ ● https://rafaelfunchal.github.io/wordpress-security- checklist/br/items/ Para saber mais:

×