Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms

•

1 like•461 views

Este documento fornece dicas para blindar sites WordPress de hackers, discutindo vulnerabilidades comuns como LFD, upload de arquivos e SQL injection. Ele recomenda manter plugins e temas atualizados, usar senhas fortes, limitar funcionalidades de edição e monitorar o site. Além disso, fornece links para ferramentas de varredura e exploração de vulnerabilidades para teste de segurança.

Technology

WordPress vs Hacker
Descubra o que ainda é preciso saber para blindar seu CMS

Fonte https://wappalyzer.com/categories/cms (01/06/2015)
Atual realidade

● 100% seguro == false;
● WordPress ou CMS próprio?
● WordPress
○ Fácil acoplamento;
○ Estável;
○ Rápida resposta da
comunidade;
WordPress é seguro ?

Plugins e temas?
● Todos os Plugins e Temas são do
WordPress.org == false;
● Utilidade X Segurança == (?);
● Pagos X Não pagos == (?);
● Quanto ++ Plugins == ++ Risco;
● Temas ou plugins piratas == ++
Risco;

Algumas falhas conhecidas
● LFD (local file download);
● File Upload;
● Sql Injection;
● Brute Force;
● XSS - (Cross-site Scripting)
○ Jetpack, Google Analitcs Yost,
WordPress SEO;

LFD
“É a vulnerabilidade que possibilita a
apresentação ou o download de arquivos”

LFD
http://www.aszone.com.br/2015/06/list-of-potentially-affected-themes-wordpress/
Falha no plugin
Mais de mil temas

File upload
“Vulnerabilidade que permite efetuar upload
de algum arquivo, no qual o sistema não está
preparado.”

File upload
Exemplo ...
http://wordpress.local/wp-
content/themes/curvo/functions/upload-handler.php

Sql injection
“Ataque que proporciona o invasor inserir ou
manipular consultas SQL`s utilizadas por uma
aplicação”

Sql injection
!passo
Dork:
inurl:season=*league_id=*matchday
https://google.com/search?q=inurl%3Aseason%3D*league_id%3D*match_day

Sql Injection
python sqlmap.py -u "http://wordpress.local/?
season=1&league_id=1&match_day=1&team_id=1" --dbs

● Utilize senha HARDCORE;
● Deixe instalado somente Plugins e Temas que vai utilizar;
● Não utilize vários plugins de segurança;
● Antes de instalar pesquise sobre os plugins e temas;
● Mantenha o core, temas e plugins atualizados;
● Ative autenticação de 2 etapas;
● Monitore constatemente;
● É recomendado alterar do nome do usuário “admin” ?
Previnir - Easy

Previnir - Medium
● Altere o "Modo Debug" para false;
● Não habilite a função de edição dos temas e plugins;
● Aplique bloqueio de Brute force (WAF/Plugin);
● Bloquei visualização de pasta;
● Configure adequadamente as permissões de pastas;
● Sempre utilize robots.txt;
● É mais seguro comprar temas ou plugins ?

Previnir - Hard
● Usar as constantes no wp-config:
○ WP_CONTENT_DIR, WP_PLUGIN_DIR, UPLOADS;
○ WP_AUTO_UPDATE_CORE, WP_HTTP_BLOCK_EXTERNAL;
● Configurar camadas de segurança na infra;
● Aplique pentest no próprio site:
○ Use WpScan;
○ Use Metaexploit;
● Altere ou bloquei o endereço do wp-admin/;
● Bloquei identificação de usuários;

Mudança de conceito
● Siga os padrões de criação de temas e plugins do WordPress;
● Implemente testes unitários;
● Pratique "Par Programming";
● Pratique "Code Review";
● Pentest em ciclos evolutivos;
● Utilize metodologia de desenvolvimento seguro;

WpScan -> Scan de vunerabilidades em WordPress.
http://wpscan.org/
SqlMap -> Exploração de sql injection.
http://sqlmap.org/
MetaSploit -> Exploração de vulnerabilidades.
http://www.metasploit.com/
John the Ripper -> Ferramenta de Brute Force, e quebra de hashs.
http://www.openwall.com/john/
InurlBr -> Buscar customizadas em Massa.
https://github.com/googleinurl/SCANNER-INURLBR
Ferramentas

Sites e Links importantes.
Exploiters
http://www.exploit-db.com/
http://1337day.com/
http://www.cvedetails.com/
Links interessantes
http://www.wordpressexploit.com/
https://www.facebook.com/inj3ct0rs
https://wordpress.org/

What's hot

SEO para WordPress - Palestra WordCamp 2017

Denis Andrade

Primeira Aula do Curso de Hardening

Dell Technologies

Ricardo bernardi word press multisite - crie e gerencie sua rede de blogs

wordcamppoa

Reverse Ajax Dwr

Handerson Frota

Conceitos de Ajax

Handerson Frota

Top Plugins de Segurança para WordPress

Tales Augusto

Dwrsecomp

Handerson Frota

OWASP Top 10 - A web security cookbook

Giovane Liberato

Como instalar o WordPress no seu computador

Rudá Almeida

Introdução ao Nodejs

Márcio Silvestroni

WordPress Braga Meetup - Segurança, Performance e Optimização

Teotonio Leiras

Comet - ReverseAjax com DWR - Resumo

Handerson Frota

Instalando Drupal, Começando do Começo

sauloamui

Web seminario hardening

Dell Technologies

Desenvolva temas como um viking - ODIN framework

Jakeliny Gracielly

Conhecendo o Nodejs

Caio Cutrim

Direct Web Remoting Sun Tech Days2007

Handerson Frota

Tema: Segurança em S.O Linux Titulo da Palestra: Fortalecendo seus Servidores em Linux(Hardening) - Minimizando os ataques. Ementa: - Introdução aos conceitos de Ambiente; - Por que proteger seus Servidores; - Bloqueando Webscaners e Portscans; - Fortalecendo o Ambiente: SSH, FTP; - Protegendo de Ataques externos: DoS Proposta: Apresentar a ideia sobre segurança em servidores linux, como fortalecer seus servidores e mitigar os riscos de invasão e de ataque, irei abordar e mostrar na pratica técnicas e ferramentas. Nós como administradores de sistemas temos que zelar pela segurança de nosso ativos.

Fortalecendo seus Servidores em Linux(Hardening) - Minimizando os ataques - S...

Bruno Alexandre

What's hot (18)

SEO para WordPress - Palestra WordCamp 2017

Primeira Aula do Curso de Hardening

Ricardo bernardi word press multisite - crie e gerencie sua rede de blogs

Reverse Ajax Dwr

Conceitos de Ajax

Top Plugins de Segurança para WordPress

Dwrsecomp

OWASP Top 10 - A web security cookbook

Como instalar o WordPress no seu computador

Introdução ao Nodejs

WordPress Braga Meetup - Segurança, Performance e Optimização

Comet - ReverseAjax com DWR - Resumo

Instalando Drupal, Começando do Começo

Web seminario hardening

Desenvolva temas como um viking - ODIN framework

Conhecendo o Nodejs

Direct Web Remoting Sun Tech Days2007

Fortalecendo seus Servidores em Linux(Hardening) - Minimizando os ataques - S...

Viewers also liked

Evento: 16º Fórum Internacional de Software Livre – Fisl 16 Data: 09/07/2015 Quando se está desenvolvendo, desde do Junior ao Sênior, se você não sabe, não lembra, então qual é a primeira ideia que lhe vem a cabeça?! Os novos detentores do conhecimento, também denominados, buscados da internet possibilitam uma enorme quantidade de acesso a informações. Diante disso, podemos afirmar que muito destes informações não estão corretas por completo, especificamente voltadas para o desenvolvimento de software. Temos diversos exemplos, como tutorias de sites conhecidos e famosos, que por um motivo ou outro deixam de lado um teste de segurança ante de postar, pois eles ensinam aplicar uma camada de segurança que muitas vezes não fazem o que realmente pretendem. Nosso objetivo é expor quais são as falhas, as principais recomendações de correção propostas nos diversos sites, e provar que sua grande maioria não estão totalmente corretos.

Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...

Thiago Dieb

PNL - Para Casais

Instituto de Thalentos

Desenvolvimento de Interface Gráfica - Introdução ao desenvolvimento de int...

Cleber Fonseca

Oficina jQuery

Cleber Fonseca

PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael Jaques

Rafael Jaques

Segurança de Dados e Informações - Aula 1 - Introdução à Segurança da Informação

Ministério Público da Paraíba

Todos os dias, diversas de pessoas ao redor do mundo começam a programar em PHP. É uma linguagem fácil de ser aprendida e, por isso, pode fazer com que desenvolvedores despreparados criem sistemas vulneráveis. O objetivo dessa palestra é apresentar as principais vulnerabilidades de aplicações PHP e a maneira de contorná-las. Serão mostradas também técnicas de programação defensiva, resposta a incidentes, prevenção de perdas e outros tópicos relevantes à segurança da informação. Princípios de segurança, técnicas de invasão e defesa, identificação e prevenção de ataques, boas práticas e proteção do usuário fazem parte dos assuntos abordados nessa palestra.

[FISL 16] PHP no Campo de Batalha: Segurança Avançada e Programação Defensiva...

Rafael Jaques

Introdução a segurança da informação

Cleber Fonseca

Viewers also liked (8)

Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...

PNL - Para Casais

Desenvolvimento de Interface Gráfica - Introdução ao desenvolvimento de int...

Oficina jQuery

PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael Jaques

Segurança de Dados e Informações - Aula 1 - Introdução à Segurança da Informação

[FISL 16] PHP no Campo de Batalha: Segurança Avançada e Programação Defensiva...

Introdução a segurança da informação

Similar to Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms

Flisol DF 2015 - WordPress vs Hacker . blindando seu WordPress

Thiago Dieb

Meetup WordPress Brasília 2014 - WordPress vs Hacker

Thiago Dieb

Oficina de Squid: Filtros Inteligentes

Thiago Finardi

Joomla possibilidades infinitas em CMS

Felipe Perin

Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]

Vale Security Conference

Como manter o WordPress seguro

Rudá Almeida

Criando Sites Com CMS

Claudio Toldo

Utilizando cache com WordPress: tenha o seu website decolando sem sair do lugar

meetupwordpressfln

Squid proxy

Gabriel Martins

Melhorando o desempenho do seu WordPress [WordCamp São Paulo 2015]

Tiago Hillebrandt

Quando se está desenvolvendo, desde do Junior ao Sênior, se você não sabe, não lembra, então qual é a primeira ideia que lhe vem a cabeça?! Os novos detentores do conhecimento, também denominados, buscados da internet possibilitam uma enorme quantidade de acesso a informações. Diante disso, podemos afirmar que muito destes informações não estão corretas por completo, especificamente voltadas para o desenvolvimento de software. Temos diversos exemplos, como tutorias de sites conhecidos e famosos, que por um motivo ou outro deixam de lado um teste de segurança ante de postar, pois eles ensinam aplicar uma camada de segurança que muitas vezes não fazem o que realmente pretendem. Nosso objetivo é expor quais são as falhas, as principais recomendações de correção propostas nos diversos sites, e provar que sua grande maioria não estão totalmente corretos.

Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...

As Zone

PHP e Segurança - Uma união possível

Er Galvão Abbott

Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...

Thiago Dieb

Joomla Day Brasil 2010: Customizações para grandes portais

rafaelberlanda

Apresentação zend framework 2 parte 1

Edgar Dantas

WordPress - Faça seu blog ficar seguro!

Gustavo Silva Bordoni

Melhorando A Performance Da Sua Aplicação Web

Maurício Linhares

Segurança Web com PHP5

Douglas V. Pasqua

Blindando o site Joomla!

Júlio Coutinho

Otimização Front-end para WordPress

Guga Alves

Similar to Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para blindar seu cms (20)

Flisol DF 2015 - WordPress vs Hacker . blindando seu WordPress

Meetup WordPress Brasília 2014 - WordPress vs Hacker

Oficina de Squid: Filtros Inteligentes

Joomla possibilidades infinitas em CMS

Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]

Como manter o WordPress seguro

Criando Sites Com CMS

Utilizando cache com WordPress: tenha o seu website decolando sem sair do lugar

Squid proxy

Melhorando o desempenho do seu WordPress [WordCamp São Paulo 2015]

Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...

PHP e Segurança - Uma união possível

Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...

Joomla Day Brasil 2010: Customizações para grandes portais

Apresentação zend framework 2 parte 1

WordPress - Faça seu blog ficar seguro!

Melhorando A Performance Da Sua Aplicação Web

Segurança Web com PHP5

Blindando o site Joomla!

Otimização Front-end para WordPress

More from Thiago Dieb

Agile Day - Gestão de Projetos com Métodos ágeis de Larga escala:Fatores d...

Thiago Dieb

Qual o papel de um bom líder no acompanhamento e até mesmo no crescimento de uma equipe? Nesta talk vou falar sobre a relevância de entender qual o nosso papel dentro de uma equipe, enquanto líder ou liderado, assim como debater a importância de estar disponível para receber feedback. Incentivar e expor os benefícios de sempre estar pronto a tomar um posto de liderança, seja ela situacional ou não. O tema é relevante diante do cenário atual na qual temos necessidades distintas e ao mesmo trabalhando remotamente. Portanto, evoluir algumas características podem possibilitar sua equipe a evoluir em conjunto, independente se é ou não um líder, se está ou não no mesmo local.

Agile trends 2021 - Ser líder ou ser liderado, qual o mais difícil

Thiago Dieb

Realmente é mais difícil encontrar na Administração Pública o uso de novas tecnologias especialmente para processos de indexação de informações. A montagem de uma arquitetura complexa com clusterização e sincronismo de informações utilizando MongoDB e Elastic, tudo para aperfeiçoar e otimizar o processo de pesquisa e indexação de conteúdos. Entenda os problema, dificuldades e as soluções.

TDC 2017 SP - NoSQL - Sistema de busca na administração pública, com MongoDb ...

Thiago Dieb

TDC 2017 SP - Agile Coaching - Os segredos e os benefícios de se tornar um pr...

Thiago Dieb

No desenvolvimento de uma aplicação PHP, o procedimento adotado pela maioria, ainda continua sendo a pesquisa na internet para achar exemplos de códigos, utilizando o google, bing, e os diversos motores de busca. O fator preocupante relaciona-se as buscas a respeito de desenvolvimento seguro, muito programados não sabem como criar seus código com segurança e consequentemente recorrerem à internet. A grande questão está voltada para a confiabilidade das informações publicadas nesses sites. O objetivo da palestra é apresentar diversos códigos que estão predominantemente entre os primeiros resultados das pesquisas sobre desenvolvimento seguro e dentre os quais existem vulnerabilidades e problemas nas dicas e tutoriais descritos. Além de demonstrar e explorar as vulnerabilidades dos códigos publicados, também será apresentado as correções e os procedimentos de teste.

Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...

Thiago Dieb

A Palestra relata um caso de sucesso na aplicação de Metodologia Ágil. A Empresa Brasil de Comunicação (EBC), empresa vinculada ao Governo Federal, foi criada em 2007 com desafio de implantar e gerir os canais público de comunicação. Ela é composta por três plataformas de comunicação : Tv, Rádio e Web. A atual área responsável pelo desenvolvimento de sistemas, sites e aplicativos para a plataforma Web, tem trabalhado há alguns anos com metodologias ágeis e vem buscando amadurecer esta cultura ao longo do tempo. Um dos principais veículos da Plataforma Web da empresa, o Portal EBC, completou dois anos em 2014, com diversos desafios e vontade de mudança. Este projeto de mudança se iniciou com inúmeras incertezas. A reestruturação do Portal deveria ser tanto no visual quanto em seus componentes internos, além de atualização de tecnologia. Contudo, o projeto se apontava como algo impossível de ser executado em meio ao cenário desenhado. Tínhamos um equipe pequena, tempo insuficiente, incertezas por todos os lados do projeto e um fator agravante, o ambiente burocrático da Administração Pública. Um dos fatores que tornaram o Projeto uma realidade e em um case de sucesso foi a confiança sobre o processo e a metodologia ágil do Framework Scrum. A sessão trará ao público indagações de como um projeto com diversos problemas pode se tornar uma realidade em 3 semanas, com o minimo de recursos possíveis. Será apresentado inicialmente qual era o ambiente atual, quais as principais incertezas, seguindo como o projeto foi gerenciado e desenvolvido, ao final expondo quais foram os pontos negativos e as lições aprendidas da experiência de como fazer um projeto ágil em um cenário do governo federal.

15º encontro de gerenciamento de projetos #15 egp - Metodologia ágil a favo...

Thiago Dieb

Este projeto de mudança se iniciou com inúmeras incertezas. A reestruturação do Portal deveria ser tanto no visual quanto em seus componentes internos, além de atualização de tecnologia. Contudo, o projeto se apontava como algo impossível de ser executado em meio ao cenário desenhado. Tínhamos um equipe pequena, tempo insuficiente, incertezas por todos os lados do projeto e um fator agravante, o ambiente burocrático de uma Administração Pública. Um dos fatores que tornaram o Projeto uma realidade e em um case de sucesso foi a confiança sobre o processo e a metodologia ágil do Framework Scrum. A sessão trará ao público indagações de como um projeto com diversos problemas pode se tornar uma realidade em 3 semanas, com o minimo de recursos possíveis. Será apresentado inicialmente qual era o ambiente atual, quais as principais incertezas, seguindo como o projeto foi gerenciado e desenvolvido, ao final expondo quais foram os pontos negativos e as lições aprendidas da experiência de como fazer um projeto ágil em um cenário do governo federal.

Scrum Gathering Rio 2015 - Como fazer um portal de 25 milhões de usuários em ...

Thiago Dieb

WordCamp Belo Horizonte 2015 | Hackers vs WordPress – A Rebelião das Máquinas

Thiago Dieb

Facsenac - De hacker e louco, todo mundo tem um pouco

Thiago Dieb

Como entregar a apuração das eleições para a TV, rádio e web antes da fonte original dos dados, o TSE. Uma conversa sobre Scala, Node.JS, Socket.IO, Express, Redis, Elastic Search e... Matemática. Esta palestra apresenta os erros e acertos ao escolher as tecnologias que são utilizadas na comunicação pública para informar a sociedade a apuração em tempo real das eleições de forma assertiva, íntegra e confiável em diversas plataformas para assegurar o acesso à informação de todos.

Fisl 16 - Como informar os resultados da eleição antes do tse

Thiago Dieb

Atualmente em uma estrutura Governamental é muito difícil encontrar especificamente uma arquitetura completa elaborada de sistemas e sites web baseados em Drupal. A composição do catálogo de software conta com aproximadamente 21 sites e sistemas com vínculo e utilização do Drupal. Nossa intenção é expor de forma mais ampla a experiência acumulada em alguns anos na administração pública, sobre este tão famoso CMS, relacionando tanto os pontos positivos quanto negativos. de como está sendo os procedimentos de manter, administrar, sustentar e claro desenvolver novas aplicações já se preparando para as futuras tendências.

Drupalcamp SP 2015 - Como uma Empresa Pública pode construir seu legado utili...

Thiago Dieb

Sabemos que não existe aplicação 100% segura, mas sempre há maneiras de evitar problemas. A utilização do ciclo de vida de desenvolvimento seguro de software pode auxiliar bastante, independente da linguagem ou framework, entretanto não é a única solução para todos os problemas. Entender melhor quais são as principais falhas e vulnerabilidades também faz parte do skills de um desenvolvedor. A identificação de problemas ou falhas durantes a construção dos softwares, resulta em mais proteção e segurança. Portanto, é necessário saber quais são as principais técnicas e ferramentas de invasão, como funcionam e quando podem ser utilizadas! Conhecer melhor o adversário permite avaliar nossas fragilidades.

Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...

Thiago Dieb

Minicurso de Lógica e Linguagem Java 6.0

Thiago Dieb

More from Thiago Dieb (13)