O documento discute detecção e prevenção de vulnerabilidades no WordPress. Ele aborda conceitos de segurança na web, tipos comuns de ataques no WordPress, como recuperar o controle de um site infectado e dicas de segurança como manter plugins e WordPress atualizados e usar senhas fortes.
Os 10 erros mais comuns de segurança na operação de um ecommerce
Detecção e prevenção de vulnerabilidades no Wordpress.
1. Detecção e prevenção de vulnerabilidades no Wordpress.
Detecção e prevenção de
vulnerabilidades no Wordpress.
João Neto
www.joaoneto.blog.br
github.com/joao-gsneto
@joaoneto
2. Detecção e prevenção de vulnerabilidades no Wordpress.
Conteúdo
> Fatos e conceitos sobre Segurança na Web;
Tipos comuns de ataque no Wordpress;
Como recuperar o controle de um site infectado;
Checklist de segurança;
Plugins para instalar e dicas para seguir em casa.
3. Detecção e prevenção de vulnerabilidades no Wordpress.
Fatos e conceitos sobre segurança na Web
Vulnerabilidade
Suscetibilidade no sistema Possibilidade de Acesso Capacidade de explorar
4. Detecção e prevenção de vulnerabilidades no Wordpress.
> Vulnerabilidade
Suscetibilidade no sistema
5. Detecção e prevenção de vulnerabilidades no Wordpress.
> Vulnerabilidade
Possibilidade de Acesso
6. Detecção e prevenção de vulnerabilidades no Wordpress.
> Vulnerabilidade
Capacidade de explorar
7. Detecção e prevenção de vulnerabilidades no Wordpress.
Fatos e conceitos sobre segurança na Web
8. Detecção e prevenção de vulnerabilidades no Wordpress.
Conteúdo
Fatos e conceitos sobre Segurança na Web;
> Tipos comuns de ataque no Wordpress;
Como recuperar o controle de um site infectado;
Checklist de segurança;
Plugins para instalar e dicas para seguir em casa.
9. Detecção e prevenção de vulnerabilidades no Wordpress.
Tipos comuns de ataque no Wordpress;
Exemplo clássico:
Versão 4.1.4 Slider Revolution
http://example.com/
wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php
10. Detecção e prevenção de vulnerabilidades no Wordpress.
Tipos comuns de ataque no Wordpress;
Quem são os "atacantes"?
Bots
Annonymous hackers
Hackers com motivações financeiras / políticas
Script kiddies
11. Detecção e prevenção de vulnerabilidades no Wordpress.
Tipos comuns de ataque no Wordpress;
Suscetibilidades a falha (Como?)
Falhas em Plugins e temas
Quebra de senhas
Vulnerabilidades no core do Wordpress
Vulnerabilidades nos "vizinhos" - em hospedagens
compartilhadas
Ataques indiretos (Keyloggers, falhas no software de
FTP, Sistema Operacional, Eng Social...)
12. Detecção e prevenção de vulnerabilidades no Wordpress.
Tipos comuns de ataque no Wordpress;
Quais os objetivos (Para quê)?
Spam de emails, links, propagandas
Espalhar malwares
Clientes zumbi
Roubar dados pessoais e de clientes do site
Tornar o site indisponível (Dos)
13. Detecção e prevenção de vulnerabilidades no Wordpress.
Tipos comuns de ataque no Wordpress;
Como eles descobrem as vulnerabilidades
wpscan ()
14. Detecção e prevenção de vulnerabilidades no Wordpress.
Tipos comuns de ataque no Wordpress;
Como eles descobrem as vulnerabilidades
google () e outros
16. Detecção e prevenção de vulnerabilidades no Wordpress.
Conteúdo
Fatos e conceitos sobre Segurança na Web;
Tipos comuns de ataque no Wordpress;
> Como recuperar o controle de um site infectado;
Checklist de segurança;
Plugins para instalar e dicas para seguir em casa.
17. Detecção e prevenção de vulnerabilidades no Wordpress.
Como recuperar o controle do site infectado
1) Crie um ZIP com o site atual (Infectado)
Guarde os logs (apache,nginx,php,access_log)
2) Restaure um backup limpo
(Se não tiver, tire seu site do ar e vamos pular para a
limpeza)
3) Crie uma nova instalação limpa do WP atualizando todos
os plugins
4) Investigue o que aconteceu (Com os arquivos ZIP)
18. Detecção e prevenção de vulnerabilidades no Wordpress.
Como recuperar o controle do site infectado
INVESTIGAR MITIGAR EDUCAR
4.1) Descubra o que aconteceu
wp-cli (hash arquivos)
find . -mtime 1 -print
grep -ril “hacked by”
SELECT LIKE ‘%script|iframe|eval|base64_encode%’
Plugins no Wordpress
4.2) Resolva as vulnerabilidades
Update, apagar arquivos vulneraveis, remover malwares e backdoors
4.3) Trabalhe para que não aconteça novamente
Checklist
19. Detecção e prevenção de vulnerabilidades no Wordpress.
Conteúdo
Fatos e conceitos sobre Segurança na Web;
Tipos comuns de ataque no Wordpress;
Como recuperar o controle de um site infectado;
> Checklist de segurança;
Plugins para instalar e dicas para seguir em casa.
20. Detecção e prevenção de vulnerabilidades no Wordpress.
Checklist de segurança
http://wpsecuritychecklist.org/br/items/
21. Detecção e prevenção de vulnerabilidades no Wordpress.
Checklist de segurança
http://wpsecuritychecklist.org/br/items/
Mantenha seu Wordpress Atualizado
Desabilite o editor pelo wp-config.php com o código:
define('DISALLOW_FILE_EDIT',true);
Previna a pesquisa de diretórios via .htaccess com o código: Options All
-Indexes
Configure as permissões das pastas para 755 e arquivos para 644
(conforme a documentação)
Contrate uma hospedagem de confiança
Use senhas fortes
Gestão inteligente dos plugins
22. Detecção e prevenção de vulnerabilidades no Wordpress.
Plugins para instalar + dicas
Sucuri Security
Auditoria | Monitoração | Scanner | Hardening
Wordfence Security
Monitoração | 2Factor Login | AntiSpam | Premium
Two-Factor Login
Camada extra de segurança no login
WP Security Audit Log
WP Activity Log
23. Detecção e prevenção de vulnerabilidades no Wordpress.
Plugins para instalar + dicas
Mantenha seu WP e plugins Atualizados
Faça backups regularmente (Verifique com sua hospedagem
se é incluído – o CPANEL faz isso)
Faça pelo menos 50% dos itens do checklist de segurança
Siga notícias sobre segurança no Wordpress
www.wpvulndb.com
sucuri.net/pt/seguranca-de-wordpress