Protege o teu site WordPress

37 visualizações

Publicada em

Vulnerabilidades comuns e como podemos minimizar o problema. Uma apresentação em co-autoria com o Lenon Leite.

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
37
No SlideShare
0
A partir de incorporações
0
Número de incorporações
0
Ações
Compartilhamentos
0
Downloads
0
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Protege o teu site WordPress

  1. 1. PROTEGE O TEU SITE WORDPRESS Lenon Leite | Ricardo Castelhano
  2. 2. Ricardo Castelhano 2 Lenon Leite @riccastelhano@lenonleite Olá !
  3. 3. 3Reflexão...
  4. 4. eu? 4 Porque
  5. 5. E porque não? 5
  6. 6. Ataque automatizado a um sistema. 6
  7. 7. E porquê? 7
  8. 8. E porquê? 8 Existem vulnerabilidades à espera de serem exploradas.
  9. 9. Ataques 9 Técnico » SQL Injection » Local File Download » Brute Force » File Upload
  10. 10. Falhas técnicas. Developers e Administradores de sistemas são o problema. 10 1.
  11. 11. SQL Injection » Exemplo: » http://target/wp-admin/options-general.php?page=custom_s lider&showall=a&edit=0+UNION+SELECT+1,CONCAT(na me,char(58),slug),3,4,5,6,7+FROM+wp_terms+WHERE+ term_id=1 11
  12. 12. SQL Injection » Resultado: 12
  13. 13. Local File Download » Exemplo: http://wordpress.local/wp-admin/admin-ajax.php?action=revslide r_show_image&img=/uploads/2015/06/wordpress-camp.jpg http://wordpress.local/wp-admin/admin-ajax.php?action=revslide r_show_image&img=../wp-config.php 13
  14. 14. Local File Download » Resultado: 14
  15. 15. Brute Force » Exemplo: php avenger sh --dork="site:com inurl:wp-content/uploads" --check="isAdmin" --exploit="btwp" https://github.com/aszone/avenger-sh 15
  16. 16. Brute Force » Resultado: 16
  17. 17. File Upload » Exemplo / Resultado: 17
  18. 18. Plugins de segurança 18 2.
  19. 19. Plugins de segurança » Wordfence (https://www.wordfence.com/) » Sucuri (https://sucuri.net/pt/) » Ithemes security (https://ithemes.com/security/) » All In One WpSecurity e Firewall (https://pt.wordpress.org/plugins/all-in-one-wp-security-and-firewall/) 19
  20. 20. DONE ! ... 20
  21. 21. Mentira !!!! 21
  22. 22. Falhas humanas. 22 3.
  23. 23. Onde está o problema? 23
  24. 24. O perigo não termina no vosso site 24
  25. 25. Max Ray Butler aka Max Ray Vision aka “Iceman” 25 » Ano 2003 => 100% de sucesso
  26. 26. Max Ray Butler aka Max Ray Vision aka “Iceman” 26 » 2 milhões cartões crédito » 86 milhões em compras
  27. 27. Palavras-Chave » Palavras-Chave diferentes entre sistemas » Alteração da palavra-chave por períodos de tempo » Ferramentas de gestão de palavras-chave » Palavras-Chave “fortes” » Mais de 10 caracteres (números, letras, especiais, espaços) 27
  28. 28. WiFi público 28
  29. 29. WiFi público » Ao final do dia » Faça logout » Hora do Almoço / Hora do café / Hora da cerveja » Bloqueie o sistema (crt alt del ) 29
  30. 30. WiFi público » Verifique se não está sendo observado 30
  31. 31. WiFi público » HTTP » Se possível, não use » HTTPS » Atenção também existem formas de burlar 31
  32. 32. Engenharia Social 32
  33. 33. Engenharia Social » Emails Falsos (SPAM) » Pedindo registro de uma nova senha » Pedindo para aceder a conteúdo restrito, onde tem que colocar Utilizador e Palavra-Chave » Malware disfarçado de anexos 33
  34. 34. Engenharia Social » Telefonemas Falsos » Help Desk » Administrador do sistema » Operadora de Telecomunicação Desconfie de qualquer pessoa que peça sua Palavra-Chave 34
  35. 35. “Nós somos o problema” 35
  36. 36. “Nós somos o problema” » Falhas internas em empresas » Utilizadores compartilhados » Palavras-Chave guardadas fisicamente » Registros default » Palavras-Chave “fofinhas” ou óbvias » Alterar ASAP !!!!!! 36
  37. 37. “Nós somos o problema” » Falhas internas em empresas » Não exclusão do sistema de ex-funcionários » Utilizadores inativos 37
  38. 38. Enquanto Administrador, o que posso fazer? 38 4.
  39. 39. “The Gate Keeper” Atualizações automáticas SEMPRE !!!! 39
  40. 40. “The Gate Keeper” » O que fazer aos Plugins » Quando foi a última atualização? » Quantas instalações efetivas tem? » Que avaliação tem? Remover TODOS os plugins desativados 40
  41. 41. “The Gate Keeper” » O que fazer aos Themes » Quando foi a última atualização? » Quantas instalações efetivas tem? » Que avaliação tem? Remover TODOS os themes desativados 41
  42. 42. “The Gate Keeper” » O que fazer aos utilizadores » Registo de utilizador com confirmação » Email » Telefone » Validar se as Palavras-Chave default foram alteradas » Remover utilizadores inativos 42
  43. 43. Próximo passo, minimizar vulnerabilidades do código Obrigado

×