1. 1. WordPress vs Hacker Descubra o que ainda preciso saber para blindar seu CMS
2. 2. Quem somos? Thiago DiebLenon Leite
3. 3. ASZone www.aszone.com.br
4. 4. Como blindar o WordPress
5. 5. Fonte https://wappalyzer.com/categories/cms (01/06/2015) Atual realidade
6. 6. 100% seguro == false; WordPress ou CMS prprio? WordPress Fcil acoplamento; Estvel; Rpida resposta da comunidade; WordPress seguro ?
7. 7. Plugins e temas? Todos os Plugins e Temas so do WordPress.org == false; Utilidade X Segurana == (?); Pagos X No pagos == (?); Quanto ++ Plugins == ++ Risco; Temas ou plugins piratas == ++ Risco;
8. 8. Vamos comear.
9. 9. Algumas falhas conhecidas LFD (local file download); File Upload; Sql Injection; Brute Force; XSS - (Cross-site Scripting) Jetpack, Google Analitcs Yost, WordPress SEO;
10. 10. LFD a vulnerabilidade que possibilita a apresentao ou o download de arquivos
11. 11. LFD http://www.aszone.com.br/2015/06/list-of-potentially-affected-themes-wordpress/ Falha no plugin Mais de mil temas
12. 12. LFD
13. 13. LFD
14. 14. File upload Vulnerabilidade que permite efetuar upload de algum arquivo, no qual o sistema no est preparado.
15. 15. File upload Falha no Tema
16. 16. File upload Exemplo ... http://wordpress.local/wp- content/themes/curvo/functions/upload-handler.php
17. 17. Sql injection Ataque que proporciona o invasor inserir ou manipular consultas SQL`s utilizadas por uma aplicao
18. 18. Sql injection Falha no Plugin
19. 19. Sql injection !passo Dork: inurl:season=*league_id=*matchday https://google.com/search?q=inurl%3Aseason%3D*league_id%3D*match_day
20. 20. Sql Injection python sqlmap.py -u "http://wordpress.local/? season=1&league_id=1&match_day=1&team_id=1" --dbs
21. 21. Sql Injection
22. 22. Bruteforce
23. 23. Modo de proteo
24. 24. Utilize senha HARDCORE; Deixe instalado somente Plugins e Temas que vai utilizar; No utilize vrios plugins de segurana; Antes de instalar pesquise sobre os plugins e temas; Mantenha o core, temas e plugins atualizados; Ative autenticao de 2 etapas; Monitore constatemente; recomendado alterar do nome do usurio admin ? Previnir - Easy
25. 25. Previnir - Medium Altere o "Modo Debug" para false; No habilite a funo de edio dos temas e plugins; Aplique bloqueio de Brute force (WAF/Plugin); Bloquei visualizao de pasta; Configure adequadamente as permisses de pastas; Sempre utilize robots.txt; mais seguro comprar temas ou plugins ?
26. 26. Previnir - Hard Usar as constantes no wp-config: WP_CONTENT_DIR, WP_PLUGIN_DIR, UPLOADS; WP_AUTO_UPDATE_CORE, WP_HTTP_BLOCK_EXTERNAL; Configurar camadas de segurana na infra; Aplique pentest no prprio site: Use WpScan; Use Metaexploit; Altere ou bloquei o endereo do wp-admin/; Bloquei identificao de usurios;
27. 27. Mudana de conceito Siga os padres de criao de temas e plugins do WordPress; Implemente testes unitrios; Pratique "Par Programming"; Pratique "Code Review"; Pentest em ciclos evolutivos; Utilize metodologia de desenvolvimento seguro;
28. 28. Proteo alm do WordPress
29. 29. WpScan -> Scan de vunerabilidades em WordPress. http://wpscan.org/ SqlMap -> Explorao de sql injection. http://sqlmap.org/ MetaSploit -> Explorao de vulnerabilidades. http://www.metasploit.com/ John the Ripper -> Ferramenta de Brute Force, e quebra de hashs. http://www.openwall.com/john/ InurlBr -> Buscar customizadas em Massa. https://github.com/googleinurl/SCANNER-INURLBR Ferramentas
30. 30. Sites e Links importantes. Exploiters http://www.exploit-db.com/ http://1337day.com/ http://www.cvedetails.com/ Links interessantes http://www.wordpressexploit.com/ https://www.facebook.com/inj3ct0rs https://wordpress.org/
31. 31. Finalizando... @lenonleite @ThiagoDieb