Transcript of Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para blindar seu cms
- 1. WordPress vs Hacker Descubra o que ainda preciso saber para
blindar seu CMS
- 2. Quem somos? Thiago DiebLenon Leite
- 3. ASZone www.aszone.com.br
- 4. Como blindar o WordPress
- 5. Fonte https://wappalyzer.com/categories/cms (01/06/2015)
Atual realidade
- 6. 100% seguro == false; WordPress ou CMS prprio? WordPress
Fcil acoplamento; Estvel; Rpida resposta da comunidade; WordPress
seguro ?
- 7. Plugins e temas? Todos os Plugins e Temas so do
WordPress.org == false; Utilidade X Segurana == (?); Pagos X No
pagos == (?); Quanto ++ Plugins == ++ Risco; Temas ou plugins
piratas == ++ Risco;
- 8. Vamos comear.
- 9. Algumas falhas conhecidas LFD (local file download); File
Upload; Sql Injection; Brute Force; XSS - (Cross-site Scripting)
Jetpack, Google Analitcs Yost, WordPress SEO;
- 10. LFD a vulnerabilidade que possibilita a apresentao ou o
download de arquivos
- 11. LFD
http://www.aszone.com.br/2015/06/list-of-potentially-affected-themes-wordpress/
Falha no plugin Mais de mil temas
- 12. LFD
- 13. LFD
- 14. File upload Vulnerabilidade que permite efetuar upload de
algum arquivo, no qual o sistema no est preparado.
- 15. File upload Falha no Tema
- 16. File upload Exemplo ... http://wordpress.local/wp-
content/themes/curvo/functions/upload-handler.php
- 17. Sql injection Ataque que proporciona o invasor inserir ou
manipular consultas SQL`s utilizadas por uma aplicao
- 18. Sql injection Falha no Plugin
- 19. Sql injection !passo Dork:
inurl:season=*league_id=*matchday
https://google.com/search?q=inurl%3Aseason%3D*league_id%3D*match_day
- 20. Sql Injection python sqlmap.py -u "http://wordpress.local/?
season=1&league_id=1&match_day=1&team_id=1" --dbs
- 21. Sql Injection
- 22. Bruteforce
- 23. Modo de proteo
- 24. Utilize senha HARDCORE; Deixe instalado somente Plugins e
Temas que vai utilizar; No utilize vrios plugins de segurana; Antes
de instalar pesquise sobre os plugins e temas; Mantenha o core,
temas e plugins atualizados; Ative autenticao de 2 etapas; Monitore
constatemente; recomendado alterar do nome do usurio admin ?
Previnir - Easy
- 25. Previnir - Medium Altere o "Modo Debug" para false; No
habilite a funo de edio dos temas e plugins; Aplique bloqueio de
Brute force (WAF/Plugin); Bloquei visualizao de pasta; Configure
adequadamente as permisses de pastas; Sempre utilize robots.txt;
mais seguro comprar temas ou plugins ?
- 26. Previnir - Hard Usar as constantes no wp-config:
WP_CONTENT_DIR, WP_PLUGIN_DIR, UPLOADS; WP_AUTO_UPDATE_CORE,
WP_HTTP_BLOCK_EXTERNAL; Configurar camadas de segurana na infra;
Aplique pentest no prprio site: Use WpScan; Use Metaexploit; Altere
ou bloquei o endereo do wp-admin/; Bloquei identificao de
usurios;
- 27. Mudana de conceito Siga os padres de criao de temas e
plugins do WordPress; Implemente testes unitrios; Pratique "Par
Programming"; Pratique "Code Review"; Pentest em ciclos evolutivos;
Utilize metodologia de desenvolvimento seguro;
- 28. Proteo alm do WordPress
- 29. WpScan -> Scan de vunerabilidades em WordPress.
http://wpscan.org/ SqlMap -> Explorao de sql injection.
http://sqlmap.org/ MetaSploit -> Explorao de vulnerabilidades.
http://www.metasploit.com/ John the Ripper -> Ferramenta de
Brute Force, e quebra de hashs. http://www.openwall.com/john/
InurlBr -> Buscar customizadas em Massa.
https://github.com/googleinurl/SCANNER-INURLBR Ferramentas
- 30. Sites e Links importantes. Exploiters
http://www.exploit-db.com/ http://1337day.com/
http://www.cvedetails.com/ Links interessantes
http://www.wordpressexploit.com/ https://www.facebook.com/inj3ct0rs
https://wordpress.org/
- 31. Finalizando... @lenonleite @ThiagoDieb