1.
SEGURANÇA DA INFORMAÇÃO
PARA APLICAÇÕES WORDPRESS E WOOCOMMERCE

2.
Introdução
Neste Workshop vamos tratar sobre a segurança de aplicações
WordPress e WooCommerce partindo do ponto de vista da Segurança
da Informação.
Vamos também discutir quais são as maiores recorrências de
vulnerabilidades e falhas, como evita-las e em último caso, quais
contramedidas devem ser tomadas para reduzir os danos causados
em um possível ataque ao seu sistema.

3.
O que é Segurança da Informação
“A Segurança da Informação se baseia na proteção de um conjunto de
informações, a fim de preservar o valor que estas informações
possuem para um indivíduo ou organização.”
Quais os pilares da segurança da Informação?
• Integridade – Garante que a informação permaneça no seu estado original.
• Disponibilidade – Garante que a informação esteja disponível para o acesso.
• Confidencialidade – Garante que a informação seja acessada apenas por pessoas
autorizadas.
• Autenticidade – Garante que a informação pertence à origem que anuncia.

4.
Ambiente para Segurança da Informação.
• Aplicação Segura.
• Servidor de dados Seguro.
• Rede de acesso segura.
Aplicação
Servidor Web
Rede de Acesso

5.
Principais ameaças em instalações WordPress
• Fatores Humanos
• Vulnerabilidades causadas por Plugins e Temas desatualizados ou
de origem duvidosa
• Falhas na configuração do Servidor WEB

6.
FATORES HUMANOS
• Vulnerabilidades por fatores humanos são muito comuns e na
maioria dos casos a principal causa de comprometimento dos
sistemas.
• Quais são as principais falhas causadas por fatores humanos?
• Engenharia Social
• Baixa Qualificação para a função exercida
• Falta de cuidado ao acessar dados sensíveis

7.
Vulnerabilidades em Temas e Plugins desatualizados
• Falhas conhecidas e que já foram corrigidas em versões mais
recentes das aplicações, que ainda podem ser exploradas em
versões mais antigas.
• Falhas de validação de entradas de dados em Apps mal
programados.
• Backdoors ou Falhas propositais implantadas por hackers em plug-
ins e temas “crackeados”, obtidos de forma duvidosa pelo
administrador do site.

8.
Vulnerabilidades Comuns em Servidores Web
A maioria das vulnerabilidades em servidores WEB se dá pela falta de
experiência dos usuários, que muitas vezes utilizam o famoso método
“next → next → next →” para configurar seus sistemas.
Quais são elas?
• Portas de Serviços não utilizados, abertas para conexão externa.
• Navegação de diretórios em servidores WEB.
• Método de Conexão que permitem acesso a usuários privilegiados
no sistema operacional.
• Permissões de acesso para diretórios e arquivos desnecessários.

9.
MEDIDAS DE SEGURANÇA
PARA A PREVENÇÃO DE ATAQUES

10.
• Utilize software de boa procedência.
• Mantenha seu sistema sempre atualizado.
• Faça scanners periódicos.
• Exija senhas FORTES para usuários com acesso privilegiado ao seu
sistema.
• Tome cuidado com as informações que você torna públicas.
• Desative a edição de códigos no Painel do WordPress.
• Configure um Firewall para filtrar os dados de entrada e saída do
seu servidor.

11.
• Cuidado com as aplicações que instala no seu Servidor de dados.
• Não acesse seu sistema em computadores desconhecidos.
• Desative o acesso do usuário ROOT em conexão SSH.
• Se possível, acesse seu servidor apenas com CHAVE PRIVADA.
• Utilize conexões criptografadas em seu servidor.
• Mantenha-se sempre atualizado sobre o seu sistema.

12.
CONTRAMEDIDAS DE SEGURANÇA
PARA A MINIMIZAÇÃO DE DANOS

13.
• Tenha um plano de contingência para o caso de falhas.
• Faça Backups da base de dados periodicamente.
• Mantenha um servidor de redundância de dados.
• Leia os logs de Acesso e de Erros gerados pelo seu servidor.
• Altere as credenciais de acesso e se possível portas de conexões
externas para o seu sistema.

14.
HORA DE COLOCAR A MÃO NA
MASSA
VAMOS PRATICAR UM POUCO DO QUE
APRENDEMOS HOJE