Evento: WordCamp Belo Horizonte 2015
Data: 13/06/2015
Desenvolvimento para WordPress deve sempre levar em conta segurança e padrões de programação. Seja um Hackers implementando regras e dicas de segurança para manter seu WordPress seguro.
5. Atual realidade do WordPress
Fonte: https://wappalyzer.com/categories/cms 24/04/2015
6. WordPress é Seguro
● 100% seguro == false;
● WordPress ou CMS próprio?
● WordPress
○ Estável;
○ Rápida resposta de
atualização;
○ Colaborativo;
7. E os plugins e temas?
● Todos os Plugins e Temas são do
WordPress.org == false;
● Utilidade X Segurança == (?);
● Pagos X Não pagos == (?);
● Quanto ++ Plugins == ++ Risco;
● Temas piratas == ++ Risco;
20. Previnir - Easy
● Alteração do nome do usuário
“admin” == false;
● Senha HARDCORE == true;
● Somente Plugins e Temas que
vai utilizar == true;
● Vários plugins de segurança ==
false;
● Pesquisar sobre os plugins e
temas utilizados == true;
● Modo Debug false;
● Manter o core, temas e plugins
atualizados;
21. Previnir - Medium
● Desabilitar a função de edição dos
temas e plugins == true;
● Bloquear Brute force == true;
● Bloquear visualização de pasta ==
true;
● Usar robots.txt == true;
● Acessar todos os dias == true;
● Comprar temas ou plugins == false;
● Usar as constantes no wp-config:
WP_CONTENT_DIR, WP_PLUGIN_DIR,
UPLOADS,WP_AUTO_UPDATE_CORE,
WP_HTTP_BLOCK_EXTERNAL
22. Previnir - Hard
● Prepração de infra == true;
● Pentest no próprio site == true
pra porra!
○ Use WpScan;
○ Use Accunetix;
○ Use Metaexploit;
● Alterar e bloquear o wp-admin/ ==
true;
● Bloquear páginas /author/*
● Sempre informado == true;
28. Ferramentas
WpScan -> Scan de vunerabilidades em WordPress.
http://wpscan.org/
SqlMap -> Exploração de sql injection.
http://sqlmap.org/
MetaSploit -> Exploração de vulnerabilidades.
http://www.metasploit.com/
Acunetix -> Exploração de vulnerabilidades.
http://www.acunetix.com/
John the Ripper -> Ferramenta de Brute Force, e quebra de hashs.
http://www.openwall.com/john/
InurlBr -> Vunerabilidades em Massa.
https://github.com/googleinurl/SCANNER-INURLBR