WordPress vs HackerDescubra o que ainda é preciso saber para blindar seu CMS

Quem somos?Thiago DiebLenon Leite

ASZone www.aszone.com.br

Como blindar o WordPress

Fonte https://wappalyzer.com/categories/cms (01/06/2015)

Atual realidade

● 100% seguro == false;● WordPress ou CMS próprio?● WordPress

○ Fácil acoplamento;○ Estável;○ Rápida resposta da

comunidade;

WordPress é seguro ?

Plugins e temas?

● Todos os Plugins e Temas são do WordPress.org == false;

● Utilidade X Segurança == (?);● Pagos X Não pagos == (?);● Quanto ++ Plugins == ++ Risco;● Temas ou plugins piratas == ++

Risco;

Vamos começar….

Algumas falhas conhecidas● LFD (local file download);● File Upload;● Sql Injection;● Brute Force;● XSS - (Cross-site Scripting)

○ Jetpack, Google Analitcs Yost, WordPress SEO;

LFD

“É a vulnerabilidade que possibilita a apresentação ou o download de arquivos”

LFD

http://www.aszone.com.br/2015/06/list-of-potentially-affected-themes-wordpress/

Falha no plugin

Mais de mil temas

LFD

LFD

File upload

“Vulnerabilidade que permite efetuar upload de algum arquivo, no qual o sistema não está preparado.”

File upload

Falha no Tema

File uploadExemplo ...

http://wordpress.local/wp-content/themes/curvo/functions/upload-handler.php

Sql injection

“Ataque que proporciona o invasor inserir ou manipular consultas SQL`s utilizadas por uma

aplicação”

Sql injection

Falha no Plugin

Sql injection

!passo

Dork: inurl:season=*league_id=*matchday

https://google.com/search?q=inurl%3Aseason%3D*league_id%3D*match_day

Sql Injection

python sqlmap.py -u "http://wordpress.local/?season=1&league_id=1&match_day=1&team_id=1" --dbs

Sql Injection

Bruteforce

Modo de proteção

● Utilize senha HARDCORE;● Deixe instalado somente Plugins e Temas que vai utilizar;● Não utilize vários plugins de segurança;● Antes de instalar pesquise sobre os plugins e temas;● Mantenha o core, temas e plugins atualizados;● Ative autenticação de 2 etapas;● Monitore constatemente;● É recomendado alterar do nome do usuário “admin” ?

Previnir - Easy

Previnir - Medium● Altere o "Modo Debug" para false; ● Não habilite a função de edição dos temas e plugins;● Aplique bloqueio de Brute force (WAF/Plugin);● Bloquei visualização de pasta;● Configure adequadamente as permissões de pastas;● Sempre utilize robots.txt;● É mais seguro comprar temas ou plugins ?

Previnir - Hard● Usar as constantes no wp-config:

○ WP_CONTENT_DIR, WP_PLUGIN_DIR, UPLOADS;○ WP_AUTO_UPDATE_CORE, WP_HTTP_BLOCK_EXTERNAL;

● Configurar camadas de segurança na infra;● Aplique pentest no próprio site:

○ Use WpScan;○ Use Metaexploit;

● Altere ou bloquei o endereço do wp-admin/;● Bloquei identificação de usuários;

Mudança de conceito

● Siga os padrões de criação de temas e plugins do WordPress;● Implemente testes unitários;● Pratique "Par Programming";● Pratique "Code Review";● Pentest em ciclos evolutivos;● Utilize metodologia de desenvolvimento seguro;

Proteção além do WordPress

WpScan -> Scan de vunerabilidades em WordPress.http://wpscan.org/SqlMap -> Exploração de sql injection.http://sqlmap.org/MetaSploit -> Exploração de vulnerabilidades. http://www.metasploit.com/John the Ripper -> Ferramenta de Brute Force, e quebra de hashs.http://www.openwall.com/john/InurlBr -> Buscar customizadas em Massa.https://github.com/googleinurl/SCANNER-INURLBR

Ferramentas

Sites e Links importantes.Exploitershttp://www.exploit-db.com/http://1337day.com/http://www.cvedetails.com/

Links interessanteshttp://www.wordpressexploit.com/https://www.facebook.com/inj3ct0rshttps://wordpress.org/

Finalizando...

@lenonleite @ThiagoDieb