fisl 16 - wordpress vs hacker - descubra o que ainda é preciso saber para blindar seu cms
TRANSCRIPT
- 1. WordPress vs Hacker Descubra o que ainda preciso saber para blindar seu CMS
- 2. Quem somos? Thiago DiebLenon Leite
- 3. ASZone www.aszone.com.br
- 4. Como blindar o WordPress
- 5. Fonte https://wappalyzer.com/categories/cms (01/06/2015) Atual realidade
- 6. 100% seguro == false; WordPress ou CMS prprio? WordPress Fcil acoplamento; Estvel; Rpida resposta da comunidade; WordPress seguro ?
- 7. Plugins e temas? Todos os Plugins e Temas so do WordPress.org == false; Utilidade X Segurana == (?); Pagos X No pagos == (?); Quanto ++ Plugins == ++ Risco; Temas ou plugins piratas == ++ Risco;
- 8. Vamos comear.
- 9. Algumas falhas conhecidas LFD (local file download); File Upload; Sql Injection; Brute Force; XSS - (Cross-site Scripting) Jetpack, Google Analitcs Yost, WordPress SEO;
- 10. LFD a vulnerabilidade que possibilita a apresentao ou o download de arquivos
- 11. LFD http://www.aszone.com.br/2015/06/list-of-potentially-affected-themes-wordpress/ Falha no plugin Mais de mil temas
- 12. LFD
- 13. LFD
- 14. File upload Vulnerabilidade que permite efetuar upload de algum arquivo, no qual o sistema no est preparado.
- 15. File upload Falha no Tema
- 16. File upload Exemplo ... http://wordpress.local/wp- content/themes/curvo/functions/upload-handler.php
- 17. Sql injection Ataque que proporciona o invasor inserir ou manipular consultas SQL`s utilizadas por uma aplicao
- 18. Sql injection Falha no Plugin
- 19. Sql injection !passo Dork: inurl:season=*league_id=*matchday https://google.com/search?q=inurl%3Aseason%3D*league_id%3D*match_day
- 20. Sql Injection python sqlmap.py -u "http://wordpress.local/? season=1&league_id=1&match_day=1&team_id=1" --dbs
- 21. Sql Injection
- 22. Bruteforce
- 23. Modo de proteo
- 24. Utilize senha HARDCORE; Deixe instalado somente Plugins e Temas que vai utilizar; No utilize vrios plugins de segurana; Antes de instalar pesquise sobre os plugins e temas; Mantenha o core, temas e plugins atualizados; Ative autenticao de 2 etapas; Monitore constatemente; recomendado alterar do nome do usurio admin ? Previnir - Easy
- 25. Previnir - Medium Altere o "Modo Debug" para false; No habilite a funo de edio dos temas e plugins; Aplique bloqueio de Brute force (WAF/Plugin); Bloquei visualizao de pasta; Configure adequadamente as permisses de pastas; Sempre utilize robots.txt; mais seguro comprar temas ou plugins ?
- 26. Previnir - Hard Usar as constantes no wp-config: WP_CONTENT_DIR, WP_PLUGIN_DIR, UPLOADS; WP_AUTO_UPDATE_CORE, WP_HTTP_BLOCK_EXTERNAL; Configurar camadas de segurana na infra; Aplique pentest no prprio site: Use WpScan; Use Metaexploit; Altere ou bloquei o endereo do wp-admin/; Bloquei identificao de usurios;
- 27. Mudana de conceito Siga os padres de criao de temas e plugins do WordPress; Implemente testes unitrios; Pratique "Par Programming"; Pratique "Code Review"; Pentest em ciclos evolutivos; Utilize metodologia de desenvolvimento seguro;
- 28. Proteo alm do WordPress
- 29. WpScan -> Scan de vunerabilidades em WordPress. http://wpscan.org/ SqlMap -> Explorao de sql injection. http://sqlmap.org/ MetaSploit -> Explorao de vulnerabilidades. http://www.metasploit.com/ John the Ripper -> Ferramenta de Brute Force, e quebra de hashs. http://www.openwall.com/john/ InurlBr -> Buscar customizadas em Massa. https://github.com/googleinurl/SCANNER-INURLBR Ferramentas
- 30. Sites e Links importantes. Exploiters http://www.exploit-db.com/ http://1337day.com/ http://www.cvedetails.com/ Links interessantes http://www.wordpressexploit.com/ https://www.facebook.com/inj3ct0rs https://wordpress.org/
- 31. Finalizando... @lenonleite @ThiagoDieb