Vulnerabilidades comuns e como podemos minimizar o problema. Uma apresentação em co-autoria com o Lenon Leite.

1. PROTEGE O TEU SITE WORDPRESS
Lenon Leite | Ricardo Castelhano

2. Ricardo Castelhano
2
Lenon Leite
@riccastelhano@lenonleite
Olá !

3. 3Reflexão...

4. eu?
4
Porque

5. E porque não?
5

6. Ataque automatizado a um sistema.
6

7. E porquê? 7

8. E porquê? 8
Existem vulnerabilidades à espera
de serem exploradas.

9. Ataques 9
Técnico
» SQL Injection
» Local File Download
» Brute Force
» File Upload

10. Falhas técnicas.
Developers e Administradores de sistemas são o problema.
10
1.

11. SQL Injection
» Exemplo:
» http://target/wp-admin/options-general.php?page=custom_s
lider&showall=a&edit=0+UNION+SELECT+1,CONCAT(na
me,char(58),slug),3,4,5,6,7+FROM+wp_terms+WHERE+
term_id=1
11

12. SQL Injection
» Resultado:
12

13. Local File Download
» Exemplo:
http://wordpress.local/wp-admin/admin-ajax.php?action=revslide
r_show_image&img=/uploads/2015/06/wordpress-camp.jpg
http://wordpress.local/wp-admin/admin-ajax.php?action=revslide
r_show_image&img=../wp-config.php
13

14. Local File Download
» Resultado:
14

15. Brute Force
» Exemplo:
php avenger sh --dork="site:com
inurl:wp-content/uploads" --check="isAdmin"
--exploit="btwp"
https://github.com/aszone/avenger-sh
15

16. Brute Force
» Resultado:
16

17. File Upload
» Exemplo / Resultado:
17

18. Plugins de segurança
18
2.

19. Plugins de segurança
» Wordfence
(https://www.wordfence.com/)
» Sucuri
(https://sucuri.net/pt/)
» Ithemes security
(https://ithemes.com/security/)
» All In One WpSecurity e Firewall
(https://pt.wordpress.org/plugins/all-in-one-wp-security-and-firewall/)
19

20. DONE !
...
20

21. Mentira !!!! 21

22. Falhas humanas.
22
3.

23. Onde está o problema? 23

24. O perigo não termina no vosso site 24

25. Max Ray Butler aka Max Ray Vision aka “Iceman” 25
» Ano 2003 => 100% de sucesso

26. Max Ray Butler aka Max Ray Vision aka “Iceman” 26
» 2 milhões cartões crédito
» 86 milhões em compras

27. Palavras-Chave
» Palavras-Chave diferentes entre sistemas
» Alteração da palavra-chave por períodos de tempo
» Ferramentas de gestão de palavras-chave
» Palavras-Chave “fortes”
» Mais de 10 caracteres (números, letras, especiais, espaços)
27

28. WiFi público 28

29. WiFi público
» Ao final do dia
» Faça logout
» Hora do Almoço / Hora do café / Hora da cerveja
» Bloqueie o sistema (crt alt del )
29

30. WiFi público
» Verifique se não está sendo observado
30

31. WiFi público
» HTTP
» Se possível, não use
» HTTPS
» Atenção também existem formas de burlar
31

32. Engenharia Social 32

33. Engenharia Social
» Emails Falsos (SPAM)
» Pedindo registro de uma nova senha
» Pedindo para aceder a conteúdo restrito, onde tem que colocar
Utilizador e Palavra-Chave
» Malware disfarçado de anexos
33

34. Engenharia Social
» Telefonemas Falsos
» Help Desk
» Administrador do sistema
» Operadora de Telecomunicação
Desconfie de qualquer pessoa que peça sua Palavra-Chave
34

35. “Nós somos o problema” 35

36. “Nós somos o problema”
» Falhas internas em empresas
» Utilizadores compartilhados
» Palavras-Chave guardadas fisicamente
» Registros default
» Palavras-Chave “fofinhas” ou óbvias
» Alterar ASAP !!!!!!
36

37. “Nós somos o problema”
» Falhas internas em empresas
» Não exclusão do sistema de ex-funcionários
» Utilizadores inativos
37

38. Enquanto Administrador, o que posso fazer?
38
4.

39. “The Gate Keeper”
Atualizações automáticas
SEMPRE !!!!
39

40. “The Gate Keeper”
» O que fazer aos Plugins
» Quando foi a última atualização?
» Quantas instalações efetivas tem?
» Que avaliação tem?
Remover TODOS os plugins desativados
40

41. “The Gate Keeper”
» O que fazer aos Themes
» Quando foi a última atualização?
» Quantas instalações efetivas tem?
» Que avaliação tem?
Remover TODOS os themes desativados
41

42. “The Gate Keeper”
» O que fazer aos utilizadores
» Registo de utilizador com confirmação
» Email
» Telefone
» Validar se as Palavras-Chave default foram
alteradas
» Remover utilizadores inativos
42

43. Próximo passo, minimizar vulnerabilidades do código
Obrigado