O documento fornece orientações sobre como manter um site WordPress seguro, discutindo 6 tópicos principais: 1) atualização constante do WordPress e plugins, 2) segurança da hospedagem, 3) escolha cuidadosa de temas e plugins, 4) uso de senhas fortes e autenticação de dois fatores, 5) avaliação de riscos e vulnerabilidades, e 6) proteção contra malware. O documento enfatiza a importância da atualização e dá dicas práticas para cada uma das áreas.
Evento: WordCamp Belo Horizonte 2015
Data: 13/06/2015
Palestrante: Thiago Dieb e Lenon Leite
Desenvolvimento para WordPress deve sempre levar em conta segurança e padrões de programação. Seja um Hackers implementando regras e dicas de segurança para manter seu WordPress seguro.
WordPress para Gestores de Conteúdo - WordCamp BH 2015Nauweb
Apresentação ministrada por Pablo Matta Machado, no WordCamp Belo Horizonte, em junho de 2015.
Conteúdo voltado para jornalistas, redatores e produtores de conteúdo de maneira geral que gerenciam websites, veículos e blogs que contam com sistema WordPress.
Os serviços prestados via aplicações web são cada vez mais críticos. Esse serviços na maioria das vezes envolvem pagamentos de mensalidades e até mesmo ganho de créditos que podem ser revertidos em produtos posteriormente. A segurança deve ser estudada com muita atenção e calma para minimizar as chances de invasão, prestando assim, um serviço de melhor qualidade para o cliente final.
Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...As Zone
Segundo dados, 21% dos sites no mundo hoje rodam o wordpress, por essa crescente, hackers estão se especializando em técnicas e falhas voltadas para o wordpress, pois probabilidade de conseguirem uma quantidade maior de alvos com menor esforço é muito grande.
Perguntar que não quer calar, o WordPress é seguro ? Avalie nossas considerações e tire suas próprias conclusões. De qualquer maneira apresentaremos as principais vulnerabilidades encontradas. Também mostraremos quais as etapas para alcançar um ótimo nível de segurança em seu CMS.
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...Thiago Dieb
Evento: 16º Fórum Internacional de Software Livre – Fisl 16
Data: 09/07/2015
Segundo dados, 21% dos sites no mundo hoje rodam o wordpress, por essa crescente, hackers estão se especializando em técnicas e falhas voltadas para o wordpress, pois probabilidade de conseguirem uma quantidade maior de alvos com menor esforço é muito grande. Perguntar que não quer calar, o WordPress é seguro ? Avalie nossas considerações e tire suas próprias conclusões. De qualquer maneira apresentaremos as principais vulnerabilidades encontradas. Também mostraremos quais as etapas para alcançar um ótimo nível de segurança em seu CMS.
Palestra apresentada no CONSEGI 2013, na oficina sobre Joomla, organizada pela Joomla! Calango. A palestra serviu de suporte para a demonstração prática.
Em uma visão macro, o que tiveram destaque para uma filtragem mais especificas foram o ZEND2 devido a robustez e grande credibilidade de mercado, CodeIgniter devido a grande parte do que saim do desenvolvimento "comum" e passam a ter um primeiro contado com algum tipo de framework, e suas comunidades bastante ativas, e Yii a mais jovens desse framework, porém com um grande crescimento nos últimos anos no meio do desenvolvimento PHP.
Obtive um resultado positivo, pois aderir por uma escolhe bastante objetiva e que hoje tem me dado resultado de usabilidade e tempo.
Evento: WordCamp Belo Horizonte 2015
Data: 13/06/2015
Palestrante: Thiago Dieb e Lenon Leite
Desenvolvimento para WordPress deve sempre levar em conta segurança e padrões de programação. Seja um Hackers implementando regras e dicas de segurança para manter seu WordPress seguro.
WordPress para Gestores de Conteúdo - WordCamp BH 2015Nauweb
Apresentação ministrada por Pablo Matta Machado, no WordCamp Belo Horizonte, em junho de 2015.
Conteúdo voltado para jornalistas, redatores e produtores de conteúdo de maneira geral que gerenciam websites, veículos e blogs que contam com sistema WordPress.
Os serviços prestados via aplicações web são cada vez mais críticos. Esse serviços na maioria das vezes envolvem pagamentos de mensalidades e até mesmo ganho de créditos que podem ser revertidos em produtos posteriormente. A segurança deve ser estudada com muita atenção e calma para minimizar as chances de invasão, prestando assim, um serviço de melhor qualidade para o cliente final.
Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...As Zone
Segundo dados, 21% dos sites no mundo hoje rodam o wordpress, por essa crescente, hackers estão se especializando em técnicas e falhas voltadas para o wordpress, pois probabilidade de conseguirem uma quantidade maior de alvos com menor esforço é muito grande.
Perguntar que não quer calar, o WordPress é seguro ? Avalie nossas considerações e tire suas próprias conclusões. De qualquer maneira apresentaremos as principais vulnerabilidades encontradas. Também mostraremos quais as etapas para alcançar um ótimo nível de segurança em seu CMS.
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...Thiago Dieb
Evento: 16º Fórum Internacional de Software Livre – Fisl 16
Data: 09/07/2015
Segundo dados, 21% dos sites no mundo hoje rodam o wordpress, por essa crescente, hackers estão se especializando em técnicas e falhas voltadas para o wordpress, pois probabilidade de conseguirem uma quantidade maior de alvos com menor esforço é muito grande. Perguntar que não quer calar, o WordPress é seguro ? Avalie nossas considerações e tire suas próprias conclusões. De qualquer maneira apresentaremos as principais vulnerabilidades encontradas. Também mostraremos quais as etapas para alcançar um ótimo nível de segurança em seu CMS.
Palestra apresentada no CONSEGI 2013, na oficina sobre Joomla, organizada pela Joomla! Calango. A palestra serviu de suporte para a demonstração prática.
Em uma visão macro, o que tiveram destaque para uma filtragem mais especificas foram o ZEND2 devido a robustez e grande credibilidade de mercado, CodeIgniter devido a grande parte do que saim do desenvolvimento "comum" e passam a ter um primeiro contado com algum tipo de framework, e suas comunidades bastante ativas, e Yii a mais jovens desse framework, porém com um grande crescimento nos últimos anos no meio do desenvolvimento PHP.
Obtive um resultado positivo, pois aderir por uma escolhe bastante objetiva e que hoje tem me dado resultado de usabilidade e tempo.
Quando se trata de proteger seu site WordPress, a tela de login é uma linha de defesa importante. Uma parte significativa disso é garantir que sua senha esteja segura, o que torna muito menos provável que os atacantes sejam capazes de quebrá-la e obter acesso.
6. ◎ Ferramenta de Gestão de Conteúdo
◎ Plataforma de publicação
◎ Criado em 2003
◎ Usado em blogs, sites de notícias,
páginas institucionais, portfolio, e-
commerce, plataforma de ensino,
entre inúmeras aplicações.
WordPress
7. ◎ É a ferramenta mais popular do gênero
◎ Presente em 25% da web*
◎ Domina 59% do mercado*
WordPress
* entre os 10 milhões de sites mais visitados em novembro de 2015 (w3techs)
8. O preço da fama
Quanto mais popular,
mais visado
Imagem: OpenClipartVectors
9. “
Basta de 30 a 45 dias para que um site recém-criado,
mesmo sem conteúdo ou audiência, passe a ser alvo
de varreduras maliciosas frequentes.
Tony Perez, sucuri.net
(adaptado)
10. Não importa o tamanho ou a natureza
do seu site: se ele está na internet,
é seguro assumir que ele está sendo
alvo constante de ataques.
16. ◎ Inclusão em blacklists
◎ Perda de reputação
◎ Perda de recursos
◎ Perda de tempo e dinheiro
◎ Responsabilização por dano a terceiros
Consequências
18. 1. Uso do WordPress desatualizado
2. Brechas de segurança na hospedagem
3. Temas e plugins comprometidos
4. Autenticação
Principais vulnerabilidades
exploradas
23. “
Mais de 73% dos sites* em WordPress estão usando
versões desatualizadas e vulneráveis do core,
contendo brechas de segurança conhecidas.
Sandro Gauci, Enable Security
(adaptado)
* em julho de 2013, de uma amostra de 42 mil sites.
24. A partir da versão 3.7, lançada em outubro de 2013,
o WordPress passou a receber atualizações
automáticas para minor releases do seu núcleo.
25. Para forçar a atualização de mais componentes
// Edite o arquivo wp-config.php
// e adicione as seguintes linhas:
// Para forçar atualização automática
// para qualquer versão do núcleo
define('WP_AUTO_UPDATE_CORE', true);
// Para forçar atualização automática de plugins
add_filter( 'auto_update_plugin', '__return_true' );
// Para forçar atualização automática de temas
add_filter( 'auto_update_theme', '__return_true' );
27. ◎ Usar versões atuais dos serviços
◎ Garantir a integridade dos dados
◎ Detectar atividade de malware
◎ Oferecer isolamento entre os sites
Sua hospedagem precisa:
28. ● Desative protocolos inseguros(SFTP ou SSH em vez de FTP)
● Dê a permissão correta para pastas e arquivos
● Desative a listagem de pastas e arquivos
● Use um prefixo aleatório nas tabelas no banco
● Mova o arquivo wp-config.php uma pasta acima
● Force o uso de SSL no acesso ao painel
Alguns ajustes básicos:
29. ● Desative a edição de arquivos no painel,
inserindo no arquivo wp-config.php a linha
define('DISALLOW_FILE_EDIT',true);
● Restrinja acesso a wp-admin, wp-includes e
wp-config.php
● Use uma senha forte para o usuário MySQL
● Desative acesso remoto e permissões
desnecessárias no banco de dados
● Desative a execução de scripts nas pastas
de upload
31. ● Sempre atualize temas e plugins
● Parou de sair atualização? Pare de usar!
● Não basta desativar, é preciso apagar
● Nunca, jamais use “fontes alternativas”
● Mantenha-se informado sobre vulnerabilidades
32. ● Se possível, analise o código
● Ofereça atualizações frequentes
● Seja desenvolvido por nomes confiáveis
● Baixe sempre do site oficial
Como escolher um plugin
36. “
Autenticação por dois fatores oferece identificação
através da combinação de dois componentes diferentes:
algo que o usuário sabe, possui ou lhe é inseparável.
Wikipédia
(adaptado)
39. ● Não use o username “admin”
● Para postar, use uma conta de autor.
● Não dê acesso de administrador a terceiros.
● Bloqueio de logins incorretos(iThemes Security, WordFence)
● Altere o endereço de login(iThemes Security)
● Remova o alerta no erro de login
Alguns ajustes básicos:
41. ● Acompanhe listas de vulnerabilidades
(NVD, CVE e WPScan)
● Efetue code review de temas e plugins.
● Rastreie alterações em arquivos
(WP Security Scan, Wordfence, iThemes Security)
● Execute varreduras preventivas
● Avalie os impactos de segurança
Vulnerabilidades e riscos:
44. “
Nenhuma medida de segurança adotada, seja em
relação ao WordPress ou ao servidor, fará a menor
diferença se o seu computador estiver comprometido.
Codex do WordPress
(adaptado)
45. ● Atualize sempre seu sistema operacional.
● Use anti-vírus e anti-malware.
● Não salve a senha do WordPress.
● Use sempre o bom senso.
Segurança começa em casa
47. “
A única forma de garantir a segurança de um site
comprometido é restaurar um backup anterior ao
incidente e corrigir as brechas que permitiram o ataque.
Samuel “Otto” Wood, WordPress Core Contributor
(adaptado)
49. ● Incluir arquivos e banco de dados
● Pode ser feito com plugins…
● … ou direto no servidor (ex: cron & rsync)
Backups no WordPress:
WordPress
Backup
WP-DB-Backup