Palestra - Meetup WordPress Brasília 2014 - WordPress vs Hacker

309 visualizações

Publicada em

Evento: WordPress Meetup Brasília 2014
Data: 22/11/2014
Palestrante: Lenon Leite e Thiago Dieb

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
309
No SlideShare
0
A partir de incorporações
0
Número de incorporações
7
Ações
Compartilhamentos
0
Downloads
3
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Palestra - Meetup WordPress Brasília 2014 - WordPress vs Hacker

  1. 1. WordPress vs Hacker Blindando seu WordPress
  2. 2. Quem somos?
  3. 3. Quem sou ? Lenon Leite @lenonleite DevOps + Workholic + TDAH = EU
  4. 4. Quem sou ? Thiago Dieb @thiagodieb -- -- -- Fresco ++ Ansioso; -- TDAH; … que o Lenon;
  5. 5. WordPress é Seguro ● 100% seguro == false; ● WordPress ou Cms próprio? ● WordPress ○ Estável; ○ Rápida resposta de atualização; ○ Colaborativo;
  6. 6. E os plugins e temas? ● Todos os Plugins e Temas são do WordPress == false; ● Utilidade X Segurança == (?); ● Pagos X Não pagos == (?); ● Quanto ++ Plugins == ++ Risco; ● Temas falsificados == ++ Risco;
  7. 7. Vamos começar….
  8. 8. A falhas em temas e plugins... ● LFD; ( local file download ) ● File Upload; ● Sql Injection; ● Brute Force;
  9. 9. LFD ThemeForest e CodeCanyon; Lista mais de mil temas… =O http://marketblog.envato.com/news/affected-themes/
  10. 10. LFD
  11. 11. LFD Exemplo ... http://wordpress.local/wp-admin/admin-ajax.php? action=revslider_show_image&img=../wp-config.php http://wordpress.local/wp-admin/admin-ajax.php? action=revslider_show_image&img=../../../../etc/passwd
  12. 12. File upload
  13. 13. Sql injection Exemplo ... http://wordpress.local/wp-content/plugins/formcraft/form. php?id=1%27 python sqlmap.py -u 'http://wordpress.local/wp- content/plugins/formcraft/form.php?id=1' --dbs
  14. 14. Bruteforce
  15. 15. Modo de proteção
  16. 16. Previnir - Easy ● Admin para outro nome == false; ● Senha HARDCORE == true; ● Somente Plugins e Temas que vai utilizar == true; ● Vários plugin de segurança == false; ● Pesquisar sobre os plugins e temas utilizados == true; ● Modo Debug false; ● Manter sistemas atualizados;
  17. 17. Previnir - Medium ● Desabilitar a função de edição de tema == true; ● Bloquear Brute force 1 == true; ● Bloquear visualização de pasta == true; ● Usar robots.txt == true; ● Acessar todos os dias == true; ● Comprar temas ou plugins == false;
  18. 18. Previnir - Hard ● Prepração de infra == true; ● Pentest no próprio site == true pra porra! ○ Use WpScan; ○ Use Accunetix; ○ Use Metaexploit; ● Alterar e bloquear o wp-admin/ == true; ● Sempre informado == true;
  19. 19. Não basta só proteger o WordPress
  20. 20. O cuidado deve ser além
  21. 21. Olha quem caiu… kkkk
  22. 22. Olha quem caiu… kkkk Globo
  23. 23. Olha quem caiu… kkkk Extra
  24. 24. Finalizando... @lenonleite www. lenonleite.com.br @ThiagoDieb www.dieb.com.br
  25. 25. Ferramentas WpScan -> Scan de vunerabilidades em WordPress. http://wpscan.org/ SqlMap -> Exploração de sql injection. http://sqlmap.org/ MetaSploit -> Exploração de vulnerabilidades. http://www.metasploit.com/ Acunetix -> Exploração de vulnerabilidades. http://www.acunetix.com/ John the Ripper -> Ferramenta de Brute Force, e quebra de hashs. http://www.openwall.com/john/ InurlBr -> Vunerabilidades em Massa. https://github.com/googleinurl/SCANNER-INURLBR
  26. 26. Sites e Links importantes. Exploiters http://www.exploit-db.com/ http://1337day.com/ https://www.facebook.com/inj3ct0rs http://www.cvedetails.com/ Links interessantes http://www.wordpressexploit.com/ https://www.facebook.com/inj3ct0rs

×