Armored WordPress
WordCamp Floripa
04/2018

@amilton_justino
> 1990 1º computador (Servidor BBS Unix jogado no lixo)
> 1993 Desenvolvedor C, Dbase
> 1995 Sysadmin
> 1996 ganhei meu primeiro mouse (mas não usei muito)
> 1998-2000 Certificado Conectiva Linux (in memorian)
> 1998 entusiasta em seginfo
> 2000 Sysadmin (Ctba/PR)
> 2005 Co-Fundador da Insight Solution Team (Fpolis)
> 2010 início na atuação profissional em SegInfo
> 2014 Hacker ético Profissional (CEH)
> 2016 Advanced Pentest Security Professional
> 2017 Mikrotik Certified Network Advanced
> 2018 Mikrotik Certified IPv6 Engineer

O que é Segurança da Informação ?
Proteção da Informação e de sistemas de informação contra acesso ou
modificação não autorizada, seja em armazenamento, processamento ou
trânsito e contra negação de serviço aos usuários autorizados.
Fonte: The History of Information Security Book - Karl de Leeuw

Mas porque eu preciso disso ?
● Hospedagem de dados ilegais (pirataria, pronografia infantil…)
● Hospedagem de sites para atividades ilícitas (phishing, blackmarket...)
● Propagação de artefatos maliciosos (malware, ransomware, miners…)
● Participação em ataques DDoS/DrDoS (Zombie Botnet)
● Roubo de credenciais/identidade
● Roubo de dados/segredos (pessoas famosas / negócios)
● Mineração de criptomoedas
● Envio de Spam
● Just for fun…
Estima-se que 1 “owned server” pode
render US$ 500.000/ano

Objetivos da segurança da Informação:

Check List
● Registro do domínio
● Servidores DNS
● Hospedagem vs Plataforma vs Infraestrutura
● Firewall
● Web Application Firewall*
● Monitoramento
● Backup* / Disaster Recovery
● Compliance
● WordPress*
● Certificados SSL/TLS*

Registro do domínio (registro.br)
● IDs diferentes para cada contato
● Grupos de pessoas no lugar de e-mails individuais
● Endereço de um contato diferente do domínio
● Senhas fortes nos IDs
● MFA (multi factor authentication)
● Monitorar alterações
https://insight.inf.br/2018/03/15/hardening-blindando-seu-registro-br/

Servidores DNS
● Servidores em regiões/datacenters diferentes
(Registro.br, AWS, GCP)
● Use DNSSec (registro.br)
● Use DNS Proxy/Cache servers (Akamai, CloudFlare,
Incapsula...)
● Tenha uma cópia das configurações (print)
● Monitorar alterações e tempos de resposta

Hospedagem vs Plataforma vs Infra Estrutura
Hospedagem Plataforma Infra Estrutura
Exemplo Locaweb / Kinghost WordPress / WPEngine AWS/Digital Ocean/GCP
Setup Pouco Nenhum Muito
Compliance não atende não atende alguns casos pode atender
Customização Médio Pouco Divirta-se
Segurança Compartilhada com o
Hospedeiro e com os
terceiros que estão no
mesmo servidor
Compartilhada com o
Hospedeiro
Compartilhada com o
datacenter (conectividade
e hardware)

Firewall
● FORWARD: DROP ALL
● INPUT: filtradas portas 80 e 443 TCP
● INPUT: Acessos de manutenção (22, 3306…) somente
para ips específicos, VPN ou com port knocking
● INPUT: Restante DROP ALL
● OUTPUT: somente para destinos conhecidos (updates)
● LOG: ALL, registre tudo
● Válido para IPv4 e IPv6

Monitore (Nagios/Zabbix)
1. Vencimento domínio no registro.br
2. alterações nos Servidores DNS e nos apontamentos
3. Tempo de resposta dos servidores DNS
4. Bloqueios efetuados pelo Firewall
5. Bloqueios efetuados pelo Web Aplication Firewall*
6. Acessos ao que é permitido (SSH...)
7. Backup efetuados *
8. Tamanho dos backups
9. Data de vencimento dos Certificados SSL/TLS
10. Capacidades em uso de hardware e rede

Disaster Recovery
● Cópia dos arquivos e dumps dos bancos (Backup*)
● Snapshot do ambiente (imagem)
● Replicação do banco master-slave
● Replicação do banco e do WordPress (Warm Stand-by)
● Replicação banco master-master, aplicação rodando
simultaneamente em dois ambientes distintos e com os
dados estáticos em CDN (Alta Disponibilidade)

Compliance / Conformidade
● Marco Civil
○ Artº 15 prevê guarda de logs de acesso por 6 meses para aplicações
com fins comerciais
● Lei do E-Commerce
○ Expor endereço físico completo na página
○ Expor CNPJ/CPF e Razão social na página
● PCI-DSS (Cartões de crédito)
○ Dados armazenados e em trânsito criptografados
○ Testes de intrusão recorrentes
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/decreto/d7962.htm
https://www.pcisecuritystandards.org/

Yoda era binário
“Do (1)
Or do not (0)
There is no try.”
Questionar você deve.
Perguntas certas, melhores respostas, obter você irá.

OBRIGADO a todos !!!!
Manifesto: O uso da palavra Hacker para se referir
a um criminoso violador da segurança é uma
conclusão equivocada que vem por parte dos meios
de comunicação em massa.
“Hacker é um indivíduo que se dedica, com
intensidade incomum, a conhecer profundamente
algo. Frequentemente consegue obter soluções e
efeitos extraordinários, que extrapolam os limites
do funcionamento normal”. (Wikipedia)
São pessoas que vão além do manual, pensam fora
da caixa, gostam de ser hábeis e engenhosos.
amilton.justino@gmail.com (12/2016)
Glider