WordPress vs Hacker
Descubra o que ainda é preciso saber para blindar seu CMS
Quem somos?
Thiago DiebLenon Leite
ASZone www.aszone.com.br
Como blindar o WordPress
Fonte https://wappalyzer.com/categories/cms (01/06/2015)
Atual realidade
● 100% seguro == false;
● WordPress ou CMS próprio?
● WordPress
○ Fácil acoplamento;
○ Estável;
○ Rápida resposta da
comun...
Plugins e temas?
● Todos os Plugins e Temas são do
WordPress.org == false;
● Utilidade X Segurança == (?);
● Pagos X Não p...
Vamos começar….
Algumas falhas conhecidas
● LFD (local file download);
● File Upload;
● Sql Injection;
● Brute Force;
● XSS - (Cross-site ...
LFD
“É a vulnerabilidade que possibilita a
apresentação ou o download de arquivos”
LFD
http://www.aszone.com.br/2015/06/list-of-potentially-affected-themes-wordpress/
Falha no plugin
Mais de mil temas
LFD
LFD
File upload
“Vulnerabilidade que permite efetuar upload
de algum arquivo, no qual o sistema não está
preparado.”
File upload
Falha no Tema
File upload
Exemplo ...
http://wordpress.local/wp-
content/themes/curvo/functions/upload-handler.php
Sql injection
“Ataque que proporciona o invasor inserir ou
manipular consultas SQL`s utilizadas por uma
aplicação”
Sql injection
Falha no Plugin
Sql injection
!passo
Dork:
inurl:season=*league_id=*matchday
https://google.com/search?q=inurl%3Aseason%3D*league_id%3D*ma...
Sql Injection
python sqlmap.py -u "http://wordpress.local/?
season=1&league_id=1&match_day=1&team_id=1" --dbs
Sql Injection
Bruteforce
Modo de proteção
● Utilize senha HARDCORE;
● Deixe instalado somente Plugins e Temas que vai utilizar;
● Não utilize vários plugins de segu...
Previnir - Medium
● Altere o "Modo Debug" para false;
● Não habilite a função de edição dos temas e plugins;
● Aplique blo...
Previnir - Hard
● Usar as constantes no wp-config:
○ WP_CONTENT_DIR, WP_PLUGIN_DIR, UPLOADS;
○ WP_AUTO_UPDATE_CORE, WP_HTT...
Mudança de conceito
● Siga os padrões de criação de temas e plugins do WordPress;
● Implemente testes unitários;
● Pratiqu...
Proteção além do WordPress
WpScan -> Scan de vunerabilidades em WordPress.
http://wpscan.org/
SqlMap -> Exploração de sql injection.
http://sqlmap.or...
Sites e Links importantes.
Exploiters
http://www.exploit-db.com/
http://1337day.com/
http://www.cvedetails.com/
Links inte...
Finalizando...
@lenonleite
@ThiagoDieb
Próximos SlideShares
Carregando em…5
×

Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para blindar seu cms

362 visualizações

Publicada em

Segundo dados, 21% dos sites no mundo hoje rodam o wordpress, por essa crescente, hackers estão se especializando em técnicas e falhas voltadas para o wordpress, pois probabilidade de conseguirem uma quantidade maior de alvos com menor esforço é muito grande.

Perguntar que não quer calar, o WordPress é seguro ? Avalie nossas considerações e tire suas próprias conclusões. De qualquer maneira apresentaremos as principais vulnerabilidades encontradas. Também mostraremos quais as etapas para alcançar um ótimo nível de segurança em seu CMS.

Publicada em: Tecnologia
0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
362
No SlideShare
0
A partir de incorporações
0
Número de incorporações
34
Ações
Compartilhamentos
0
Downloads
9
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para blindar seu cms

  1. 1. WordPress vs Hacker Descubra o que ainda é preciso saber para blindar seu CMS
  2. 2. Quem somos? Thiago DiebLenon Leite
  3. 3. ASZone www.aszone.com.br
  4. 4. Como blindar o WordPress
  5. 5. Fonte https://wappalyzer.com/categories/cms (01/06/2015) Atual realidade
  6. 6. ● 100% seguro == false; ● WordPress ou CMS próprio? ● WordPress ○ Fácil acoplamento; ○ Estável; ○ Rápida resposta da comunidade; WordPress é seguro ?
  7. 7. Plugins e temas? ● Todos os Plugins e Temas são do WordPress.org == false; ● Utilidade X Segurança == (?); ● Pagos X Não pagos == (?); ● Quanto ++ Plugins == ++ Risco; ● Temas ou plugins piratas == ++ Risco;
  8. 8. Vamos começar….
  9. 9. Algumas falhas conhecidas ● LFD (local file download); ● File Upload; ● Sql Injection; ● Brute Force; ● XSS - (Cross-site Scripting) ○ Jetpack, Google Analitcs Yost, WordPress SEO;
  10. 10. LFD “É a vulnerabilidade que possibilita a apresentação ou o download de arquivos”
  11. 11. LFD http://www.aszone.com.br/2015/06/list-of-potentially-affected-themes-wordpress/ Falha no plugin Mais de mil temas
  12. 12. LFD
  13. 13. LFD
  14. 14. File upload “Vulnerabilidade que permite efetuar upload de algum arquivo, no qual o sistema não está preparado.”
  15. 15. File upload Falha no Tema
  16. 16. File upload Exemplo ... http://wordpress.local/wp- content/themes/curvo/functions/upload-handler.php
  17. 17. Sql injection “Ataque que proporciona o invasor inserir ou manipular consultas SQL`s utilizadas por uma aplicação”
  18. 18. Sql injection Falha no Plugin
  19. 19. Sql injection !passo Dork: inurl:season=*league_id=*matchday https://google.com/search?q=inurl%3Aseason%3D*league_id%3D*match_day
  20. 20. Sql Injection python sqlmap.py -u "http://wordpress.local/? season=1&league_id=1&match_day=1&team_id=1" --dbs
  21. 21. Sql Injection
  22. 22. Bruteforce
  23. 23. Modo de proteção
  24. 24. ● Utilize senha HARDCORE; ● Deixe instalado somente Plugins e Temas que vai utilizar; ● Não utilize vários plugins de segurança; ● Antes de instalar pesquise sobre os plugins e temas; ● Mantenha o core, temas e plugins atualizados; ● Ative autenticação de 2 etapas; ● Monitore constatemente; ● É recomendado alterar do nome do usuário “admin” ? Previnir - Easy
  25. 25. Previnir - Medium ● Altere o "Modo Debug" para false; ● Não habilite a função de edição dos temas e plugins; ● Aplique bloqueio de Brute force (WAF/Plugin); ● Bloquei visualização de pasta; ● Configure adequadamente as permissões de pastas; ● Sempre utilize robots.txt; ● É mais seguro comprar temas ou plugins ?
  26. 26. Previnir - Hard ● Usar as constantes no wp-config: ○ WP_CONTENT_DIR, WP_PLUGIN_DIR, UPLOADS; ○ WP_AUTO_UPDATE_CORE, WP_HTTP_BLOCK_EXTERNAL; ● Configurar camadas de segurança na infra; ● Aplique pentest no próprio site: ○ Use WpScan; ○ Use Metaexploit; ● Altere ou bloquei o endereço do wp-admin/; ● Bloquei identificação de usuários;
  27. 27. Mudança de conceito ● Siga os padrões de criação de temas e plugins do WordPress; ● Implemente testes unitários; ● Pratique "Par Programming"; ● Pratique "Code Review"; ● Pentest em ciclos evolutivos; ● Utilize metodologia de desenvolvimento seguro;
  28. 28. Proteção além do WordPress
  29. 29. WpScan -> Scan de vunerabilidades em WordPress. http://wpscan.org/ SqlMap -> Exploração de sql injection. http://sqlmap.org/ MetaSploit -> Exploração de vulnerabilidades. http://www.metasploit.com/ John the Ripper -> Ferramenta de Brute Force, e quebra de hashs. http://www.openwall.com/john/ InurlBr -> Buscar customizadas em Massa. https://github.com/googleinurl/SCANNER-INURLBR Ferramentas
  30. 30. Sites e Links importantes. Exploiters http://www.exploit-db.com/ http://1337day.com/ http://www.cvedetails.com/ Links interessantes http://www.wordpressexploit.com/ https://www.facebook.com/inj3ct0rs https://wordpress.org/
  31. 31. Finalizando... @lenonleite @ThiagoDieb

×