Como manter o WordPress seguro

423 visualizações

Publicada em

Palestra apresentada na Confêrencia Anual Orientada a Segurança da Universidade Federal do Rio de Janeiro, edição 2015 (CAOS UFRJ 2015)

Publicada em: Internet
0 comentários
3 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
423
No SlideShare
0
A partir de incorporações
0
Número de incorporações
6
Ações
Compartilhamentos
0
Downloads
4
Comentários
0
Gostaram
3
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Como manter o WordPress seguro

  1. 1. Como manter o WordPress seguro Rudá Almeida Universidade Federal do Rio de Janeiro Diretoria de Segurança da Informação e Gestão de TIC
  2. 2. Quem sou eu Rudá Almeida Integrante da Diretoria de Segurança da Informação e Governança de TI da UFRJ
  3. 3. Quem sou eu Rudá Almeida Entusiasta do WordPress e integrante da comunidade carioca de WordPress
  4. 4. Quem sou eu Rudá Almeida Já palestrei em Meetups e WordCamps. Ajudei a organizar eventos no Rio de Janeiro.
  5. 5. O que é WordPress?
  6. 6. ◎ Ferramenta de Gestão de Conteúdo ◎ Plataforma de publicação ◎ Criado em 2003 ◎ Usado em blogs, sites de notícias, páginas institucionais, portfolio, e- commerce, plataforma de ensino, entre inúmeras aplicações. WordPress
  7. 7. ◎ É a ferramenta mais popular do gênero ◎ Presente em 25% da web* ◎ Domina 59% do mercado* WordPress * entre os 10 milhões de sites mais visitados em novembro de 2015 (w3techs)
  8. 8. O preço da fama Quanto mais popular, mais visado Imagem: OpenClipartVectors
  9. 9. “ Basta de 30 a 45 dias para que um site recém-criado, mesmo sem conteúdo ou audiência, passe a ser alvo de varreduras maliciosas frequentes. Tony Perez, sucuri.net (adaptado)
  10. 10. Não importa o tamanho ou a natureza do seu site: se ele está na internet, é seguro assumir que ele está sendo alvo constante de ataques.
  11. 11. 10 a 20 mil ataques por minuto
  12. 12. Hackers O que eles querem Imagem: Freepik
  13. 13. O objetivo de um hacker é, na maioria dos casos, comprometer o seu site e usar os recursos computacionais do servidor para fins ilícitos.
  14. 14. Consequências
  15. 15. ◎ Inclusão em blacklists ◎ Perda de reputação ◎ Perda de recursos ◎ Perda de tempo e dinheiro ◎ Responsabilização por dano a terceiros Consequências
  16. 16. Como ocorrem as invasões
  17. 17. 1. Uso do WordPress desatualizado 2. Brechas de segurança na hospedagem 3. Temas e plugins comprometidos 4. Autenticação Principais vulnerabilidades exploradas
  18. 18. Como se proteger Imagem: Freepik Combatendo as vulnerabilidades
  19. 19. 1.Atualização Não use versões antigas! Imagem: Freepik
  20. 20. ◎ Ciclo de lançamento freqüente. ◎ Equipe em tempo integral. ◎ Correções lançadas rapidamente. ◎ Long-term support Núcleo do WordPress
  21. 21. Nunca, jamais deixe o núcleo desatualizado
  22. 22. “ Mais de 73% dos sites* em WordPress estão usando versões desatualizadas e vulneráveis do core, contendo brechas de segurança conhecidas. Sandro Gauci, Enable Security (adaptado) * em julho de 2013, de uma amostra de 42 mil sites.
  23. 23. A partir da versão 3.7, lançada em outubro de 2013, o WordPress passou a receber atualizações automáticas para minor releases do seu núcleo.
  24. 24. Para forçar a atualização de mais componentes // Edite o arquivo wp-config.php // e adicione as seguintes linhas: // Para forçar atualização automática // para qualquer versão do núcleo define('WP_AUTO_UPDATE_CORE', true); // Para forçar atualização automática de plugins add_filter( 'auto_update_plugin', '__return_true' ); // Para forçar atualização automática de temas add_filter( 'auto_update_theme', '__return_true' );
  25. 25. 2.Hospedagem Ambiente do servidor Imagem: Flaticon
  26. 26. ◎ Usar versões atuais dos serviços ◎ Garantir a integridade dos dados ◎ Detectar atividade de malware ◎ Oferecer isolamento entre os sites Sua hospedagem precisa:
  27. 27. ● Desative protocolos inseguros(SFTP ou SSH em vez de FTP) ● Dê a permissão correta para pastas e arquivos ● Desative a listagem de pastas e arquivos ● Use um prefixo aleatório nas tabelas no banco ● Mova o arquivo wp-config.php uma pasta acima ● Force o uso de SSL no acesso ao painel Alguns ajustes básicos:
  28. 28. ● Desative a edição de arquivos no painel, inserindo no arquivo wp-config.php a linha define('DISALLOW_FILE_EDIT',true); ● Restrinja acesso a wp-admin, wp-includes e wp-config.php ● Use uma senha forte para o usuário MySQL ● Desative acesso remoto e permissões desnecessárias no banco de dados ● Desative a execução de scripts nas pastas de upload
  29. 29. 3.Temas e plugins Imagem: whilhei
  30. 30. ● Sempre atualize temas e plugins ● Parou de sair atualização? Pare de usar! ● Não basta desativar, é preciso apagar ● Nunca, jamais use “fontes alternativas” ● Mantenha-se informado sobre vulnerabilidades
  31. 31. ● Se possível, analise o código ● Ofereça atualizações frequentes ● Seja desenvolvido por nomes confiáveis ● Baixe sempre do site oficial Como escolher um plugin
  32. 32. 4.Autenticação Não use senhas fracas! Imagem: Freepik
  33. 33. Desde a versão 4.3, o WordPress força a adoção de senhas fortes
  34. 34. por 2 fatores Imagem: Freepik 4.Autenticação
  35. 35. “ Autenticação por dois fatores oferece identificação através da combinação de dois componentes diferentes: algo que o usuário sabe, possui ou lhe é inseparável. Wikipédia (adaptado)
  36. 36. Plugins para autenticação por dois fatores
  37. 37. 4.Autenticação Usuários e permissões Imagem: WikiMedia
  38. 38. ● Não use o username “admin” ● Para postar, use uma conta de autor. ● Não dê acesso de administrador a terceiros. ● Bloqueio de logins incorretos(iThemes Security, WordFence) ● Altere o endereço de login(iThemes Security) ● Remova o alerta no erro de login Alguns ajustes básicos:
  39. 39. 5.Avalie riscos e vulnerabilidades Imagem: Freepik
  40. 40. ● Acompanhe listas de vulnerabilidades (NVD, CVE e WPScan) ● Efetue code review de temas e plugins. ● Rastreie alterações em arquivos (WP Security Scan, Wordfence, iThemes Security) ● Execute varreduras preventivas ● Avalie os impactos de segurança Vulnerabilidades e riscos:
  41. 41. WPScan
  42. 42. 6.Malware O seu computador é seguro? Imagem: Freepik
  43. 43. “ Nenhuma medida de segurança adotada, seja em relação ao WordPress ou ao servidor, fará a menor diferença se o seu computador estiver comprometido. Codex do WordPress (adaptado)
  44. 44. ● Atualize sempre seu sistema operacional. ● Use anti-vírus e anti-malware. ● Não salve a senha do WordPress. ● Use sempre o bom senso. Segurança começa em casa
  45. 45. Como se recuperar?
  46. 46. “ A única forma de garantir a segurança de um site comprometido é restaurar um backup anterior ao incidente e corrigir as brechas que permitiram o ataque. Samuel “Otto” Wood, WordPress Core Contributor (adaptado)
  47. 47. Backup você tem um… certo? Imagem: OpenIcons
  48. 48. ● Incluir arquivos e banco de dados ● Pode ser feito com plugins… ● … ou direto no servidor (ex: cron & rsync) Backups no WordPress: WordPress Backup WP-DB-Backup
  49. 49. Plugins segurança automatizada Imagem: Freepik
  50. 50. Plugins WordFence iThemes Security
  51. 51. Obrigado!
  52. 52. Dúvidas? Imagem:Bernard Lamailloux
  53. 53. ● http://codex.wordpress.org/Hardening_WordPress ● https://blog.sucuri.net/category/wordpress-security ● http://www.wpwhitesecurity.com/wordpress-security/ ● https://premium.wpmudev.org/blog/keeping- wordpress-secure-the-ultimate-guide/ ● https://blog.apiki.com/category/wordpressseguro/ ● https://rafaelfunchal.github.io/wordpress-security- checklist/br/items/ Para saber mais:

×