SlideShare uma empresa Scribd logo

Detecção e prevenção de vulnerabilidades no Wordpress.

Transferir como ODP, PDF
J
João Neto

O documento discute detecção e prevenção de vulnerabilidades no WordPress. Ele aborda conceitos de segurança na web, tipos comuns de ataques no WordPress, como recuperar o controle de um site infectado e dicas de segurança como manter plugins e WordPress atualizados e usar senhas fortes.

Software
1 de 25
Detecção e prevenção de vulnerabilidades no Wordpress. Detecção e prevenção de vulnerabilidades no Wordpress. João Neto www.joaoneto.blog.br github.com/joao-gsneto @joaoneto
Detecção e prevenção de vulnerabilidades no Wordpress. Conteúdo > Fatos e conceitos sobre Segurança na Web; Tipos comuns de ataque no Wordpress; Como recuperar o controle de um site infectado; Checklist de segurança; Plugins para instalar e dicas para seguir em casa.
Detecção e prevenção de vulnerabilidades no Wordpress. Fatos e conceitos sobre segurança na Web Vulnerabilidade Suscetibilidade no sistema Possibilidade de Acesso Capacidade de explorar
Detecção e prevenção de vulnerabilidades no Wordpress. > Vulnerabilidade Suscetibilidade no sistema
Detecção e prevenção de vulnerabilidades no Wordpress. > Vulnerabilidade Possibilidade de Acesso
Detecção e prevenção de vulnerabilidades no Wordpress. > Vulnerabilidade Capacidade de explorar
Detecção e prevenção de vulnerabilidades no Wordpress. Fatos e conceitos sobre segurança na Web
Detecção e prevenção de vulnerabilidades no Wordpress. Conteúdo Fatos e conceitos sobre Segurança na Web; > Tipos comuns de ataque no Wordpress; Como recuperar o controle de um site infectado; Checklist de segurança; Plugins para instalar e dicas para seguir em casa.
Detecção e prevenção de vulnerabilidades no Wordpress. Tipos comuns de ataque no Wordpress; Exemplo clássico: Versão 4.1.4 Slider Revolution http://example.com/ wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php
Detecção e prevenção de vulnerabilidades no Wordpress. Tipos comuns de ataque no Wordpress; Quem são os "atacantes"? Bots Annonymous hackers Hackers com motivações financeiras / políticas Script kiddies
Detecção e prevenção de vulnerabilidades no Wordpress. Tipos comuns de ataque no Wordpress; Suscetibilidades a falha (Como?) Falhas em Plugins e temas Quebra de senhas Vulnerabilidades no core do Wordpress Vulnerabilidades nos "vizinhos" - em hospedagens compartilhadas Ataques indiretos (Keyloggers, falhas no software de FTP, Sistema Operacional, Eng Social...)
Detecção e prevenção de vulnerabilidades no Wordpress. Tipos comuns de ataque no Wordpress; Quais os objetivos (Para quê)? Spam de emails, links, propagandas Espalhar malwares Clientes zumbi Roubar dados pessoais e de clientes do site Tornar o site indisponível (Dos)
Detecção e prevenção de vulnerabilidades no Wordpress. Tipos comuns de ataque no Wordpress; Como eles descobrem as vulnerabilidades wpscan ()
Detecção e prevenção de vulnerabilidades no Wordpress. Tipos comuns de ataque no Wordpress; Como eles descobrem as vulnerabilidades google () e outros
Detecção e prevenção de vulnerabilidades no Wordpress. Fui hackeado =/
Detecção e prevenção de vulnerabilidades no Wordpress. Conteúdo Fatos e conceitos sobre Segurança na Web; Tipos comuns de ataque no Wordpress; > Como recuperar o controle de um site infectado; Checklist de segurança; Plugins para instalar e dicas para seguir em casa.
Detecção e prevenção de vulnerabilidades no Wordpress. Como recuperar o controle do site infectado 1) Crie um ZIP com o site atual (Infectado) Guarde os logs (apache,nginx,php,access_log) 2) Restaure um backup limpo (Se não tiver, tire seu site do ar e vamos pular para a limpeza) 3) Crie uma nova instalação limpa do WP atualizando todos os plugins 4) Investigue o que aconteceu (Com os arquivos ZIP)
Detecção e prevenção de vulnerabilidades no Wordpress. Como recuperar o controle do site infectado INVESTIGAR MITIGAR EDUCAR 4.1) Descubra o que aconteceu wp-cli (hash arquivos) find . -mtime 1 -print grep -ril “hacked by” SELECT LIKE ‘%script|iframe|eval|base64_encode%’ Plugins no Wordpress 4.2) Resolva as vulnerabilidades Update, apagar arquivos vulneraveis, remover malwares e backdoors 4.3) Trabalhe para que não aconteça novamente Checklist
Detecção e prevenção de vulnerabilidades no Wordpress. Conteúdo Fatos e conceitos sobre Segurança na Web; Tipos comuns de ataque no Wordpress; Como recuperar o controle de um site infectado; > Checklist de segurança; Plugins para instalar e dicas para seguir em casa.
Detecção e prevenção de vulnerabilidades no Wordpress. Checklist de segurança http://wpsecuritychecklist.org/br/items/
Detecção e prevenção de vulnerabilidades no Wordpress. Checklist de segurança http://wpsecuritychecklist.org/br/items/ Mantenha seu Wordpress Atualizado Desabilite o editor pelo wp-config.php com o código: define('DISALLOW_FILE_EDIT',true); Previna a pesquisa de diretórios via .htaccess com o código: Options All -Indexes Configure as permissões das pastas para 755 e arquivos para 644 (conforme a documentação) Contrate uma hospedagem de confiança Use senhas fortes Gestão inteligente dos plugins
Detecção e prevenção de vulnerabilidades no Wordpress. Plugins para instalar + dicas Sucuri Security Auditoria | Monitoração | Scanner | Hardening Wordfence Security Monitoração | 2Factor Login | AntiSpam | Premium Two-Factor Login Camada extra de segurança no login WP Security Audit Log WP Activity Log
Detecção e prevenção de vulnerabilidades no Wordpress. Plugins para instalar + dicas Mantenha seu WP e plugins Atualizados Faça backups regularmente (Verifique com sua hospedagem se é incluído – o CPANEL faz isso) Faça pelo menos 50% dos itens do checklist de segurança Siga notícias sobre segurança no Wordpress www.wpvulndb.com sucuri.net/pt/seguranca-de-wordpress
Detecção e prevenção de vulnerabilidades no Wordpress. Perguntas?
Detecção e prevenção de vulnerabilidades no Wordpress. Obrigado!

Recomendados

Palestra fatec
Palestra fatecPalestra fatec
Palestra fatecEdilson Feitoza
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosAlex Camargo
 
Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Gustavo Neves
 
Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)Carlos Henrique Martins da Silva
 
Aula 9 - Backdoor
Aula 9 - BackdoorAula 9 - Backdoor
Aula 9 - BackdoorCarlos Henrique Martins da Silva
 
Website security
Website securityWebsite security
Website securitythiagosenac
 
Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009Conviso Application Security
 
XSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigosXSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigosMauricio Corrêa
 

Recomendados

Palestra fatec
Palestra fatecPalestra fatec
Palestra fatecEdilson Feitoza
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosAlex Camargo
 
Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Gustavo Neves
 
Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)Carlos Henrique Martins da Silva
 
Aula 9 - Backdoor
Aula 9 - BackdoorAula 9 - Backdoor
Aula 9 - BackdoorCarlos Henrique Martins da Silva
 
Website security
Website securityWebsite security
Website securitythiagosenac
 
Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009Conviso Application Security
 
XSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigosXSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigosMauricio Corrêa
 
Segurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerceSegurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerceThauã Cícero Santos Silva
 
Como Limpar Seu Site WordPress
Como Limpar Seu Site WordPressComo Limpar Seu Site WordPress
Como Limpar Seu Site WordPressSucuri
 
Seu Joomla está seguro?
Seu Joomla está seguro?Seu Joomla está seguro?
Seu Joomla está seguro?Júlio Coutinho
 
Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Kleitor Franklint Correa Araujo
 
XSS Desvendado
XSS DesvendadoXSS Desvendado
XSS Desvendadoricardophp
 
Segurança na Internet
Segurança na InternetSegurança na Internet
Segurança na InternetDiogo Passos
 
Blindando o site Joomla!
Blindando o site Joomla!Blindando o site Joomla!
Blindando o site Joomla!Júlio Coutinho
 
Segurança do WordPress
Segurança do WordPressSegurança do WordPress
Segurança do WordPressJaqueline Arruda
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPFabiano Pereira
 
Construindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasConstruindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasRafael Jaques
 
PHP Seguro em 2013
PHP Seguro em 2013PHP Seguro em 2013
PHP Seguro em 2013Patrick Kaminski
 
THE WebSec
THE WebSecTHE WebSec
THE WebSecKelvin Campelo
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasMagno Logan
 
Redes Sociais Virtuais3
Redes Sociais Virtuais3Redes Sociais Virtuais3
Redes Sociais Virtuais3PMBS 1995
 
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael Jaques
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael JaquesPHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael Jaques
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael JaquesRafael Jaques
 
Xss Desvendado!
Xss Desvendado!Xss Desvendado!
Xss Desvendado!ricardophp
 
Invasão e Segurança
Invasão e SegurançaInvasão e Segurança
Invasão e SegurançaCarlos Henrique Martins da Silva
 
Construindo uma Aplicação PHP à Prova de Balas - 2010
Construindo uma Aplicação PHP à Prova de Balas - 2010Construindo uma Aplicação PHP à Prova de Balas - 2010
Construindo uma Aplicação PHP à Prova de Balas - 2010Rafael Jaques
 
Prevenindo XSS: Execute apenas o SEU código
Prevenindo XSS: Execute apenas o SEU códigoPrevenindo XSS: Execute apenas o SEU código
Prevenindo XSS: Execute apenas o SEU códigoEr Galvão Abbott
 
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.Alexandro Silva
 
Fshn Presentation
Fshn PresentationFshn Presentation
Fshn Presentationguestc98def
 
Thai Family Histories
Thai Family HistoriesThai Family Histories
Thai Family HistoriesAjaanPaul
 

Mais conteúdo relacionado

Mais procurados

Segurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerceSegurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerceThauã Cícero Santos Silva
 
Como Limpar Seu Site WordPress
Como Limpar Seu Site WordPressComo Limpar Seu Site WordPress
Como Limpar Seu Site WordPressSucuri
 
Seu Joomla está seguro?
Seu Joomla está seguro?Seu Joomla está seguro?
Seu Joomla está seguro?Júlio Coutinho
 
XSS Desvendado
XSS DesvendadoXSS Desvendado
XSS Desvendadoricardophp
 
Segurança na Internet
Segurança na InternetSegurança na Internet
Segurança na InternetDiogo Passos
 
Blindando o site Joomla!
Blindando o site Joomla!Blindando o site Joomla!
Blindando o site Joomla!Júlio Coutinho
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPFabiano Pereira
 
Construindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasConstruindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasRafael Jaques
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasMagno Logan
 
Redes Sociais Virtuais3
Redes Sociais Virtuais3Redes Sociais Virtuais3
Redes Sociais Virtuais3PMBS 1995
 
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael Jaques
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael JaquesPHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael Jaques
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael JaquesRafael Jaques
 
Xss Desvendado!
Xss Desvendado!Xss Desvendado!
Xss Desvendado!ricardophp
 
Construindo uma Aplicação PHP à Prova de Balas - 2010
Construindo uma Aplicação PHP à Prova de Balas - 2010Construindo uma Aplicação PHP à Prova de Balas - 2010
Construindo uma Aplicação PHP à Prova de Balas - 2010Rafael Jaques
 
Prevenindo XSS: Execute apenas o SEU código
Prevenindo XSS: Execute apenas o SEU códigoPrevenindo XSS: Execute apenas o SEU código
Prevenindo XSS: Execute apenas o SEU códigoEr Galvão Abbott
 
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.Alexandro Silva
 

Mais procurados (20)

Segurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerceSegurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerce
 
Como Limpar Seu Site WordPress
Como Limpar Seu Site WordPressComo Limpar Seu Site WordPress
Como Limpar Seu Site WordPress
 
Seu Joomla está seguro?
Seu Joomla está seguro?Seu Joomla está seguro?
Seu Joomla está seguro?
 
Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013
 
XSS Desvendado
XSS DesvendadoXSS Desvendado
XSS Desvendado
 
Segurança na Internet
Segurança na InternetSegurança na Internet
Segurança na Internet
 
Blindando o site Joomla!
Blindando o site Joomla!Blindando o site Joomla!
Blindando o site Joomla!
 
Segurança do WordPress
Segurança do WordPressSegurança do WordPress
Segurança do WordPress
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASP
 
Construindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasConstruindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de Balas
 
PHP Seguro em 2013
PHP Seguro em 2013PHP Seguro em 2013
PHP Seguro em 2013
 
THE WebSec
THE WebSecTHE WebSec
THE WebSec
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
 
Redes Sociais Virtuais3
Redes Sociais Virtuais3Redes Sociais Virtuais3
Redes Sociais Virtuais3
 
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael Jaques
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael JaquesPHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael Jaques
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael Jaques
 
Xss Desvendado!
Xss Desvendado!Xss Desvendado!
Xss Desvendado!
 
Invasão e Segurança
Invasão e SegurançaInvasão e Segurança
Invasão e Segurança
 
Construindo uma Aplicação PHP à Prova de Balas - 2010
Construindo uma Aplicação PHP à Prova de Balas - 2010Construindo uma Aplicação PHP à Prova de Balas - 2010
Construindo uma Aplicação PHP à Prova de Balas - 2010
 
Prevenindo XSS: Execute apenas o SEU código
Prevenindo XSS: Execute apenas o SEU códigoPrevenindo XSS: Execute apenas o SEU código
Prevenindo XSS: Execute apenas o SEU código
 
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
 

Destaque

Fshn Presentation
Fshn PresentationFshn Presentation
Fshn Presentationguestc98def
 
Thai Family Histories
Thai Family HistoriesThai Family Histories
Thai Family HistoriesAjaanPaul
 
Mockingbird Nu Jeab Juice
Mockingbird Nu Jeab JuiceMockingbird Nu Jeab Juice
Mockingbird Nu Jeab JuiceAjaanPaul
 
Using mindmaps
Using mindmapsUsing mindmaps
Using mindmapsAjaanPaul
 
The Science of a Legacy: Chapter 30
The Science of a Legacy: Chapter 30The Science of a Legacy: Chapter 30
The Science of a Legacy: Chapter 30gintasticnecat
 

Destaque (6)

Fshn Presentation
Fshn PresentationFshn Presentation
Fshn Presentation
 
Thai Family Histories
Thai Family HistoriesThai Family Histories
Thai Family Histories
 
Mockingbird Nu Jeab Juice
Mockingbird Nu Jeab JuiceMockingbird Nu Jeab Juice
Mockingbird Nu Jeab Juice
 
Kickoffsample
KickoffsampleKickoffsample
Kickoffsample
 
Using mindmaps
Using mindmapsUsing mindmaps
Using mindmaps
 
The Science of a Legacy: Chapter 30
The Science of a Legacy: Chapter 30The Science of a Legacy: Chapter 30
The Science of a Legacy: Chapter 30
 

Semelhante a Detecção e prevenção de vulnerabilidades no Wordpress.

Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações WebCassio Ramos
 
Segurança na Internet
Segurança na InternetSegurança na Internet
Segurança na Internetelliando dias
 
Dicas de segurança ti
Dicas de segurança tiDicas de segurança ti
Dicas de segurança tiJoao Johanes
 
10 problemas seguranca_ecommerce
10 problemas seguranca_ecommerce10 problemas seguranca_ecommerce
10 problemas seguranca_ecommerceSite Blindado S.A.
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...
Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...
Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...EMERSON EDUARDO RODRIGUES
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareJuliano Padilha
 
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxComo analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxEdlaine Zamora
 
Segurança da informação palestra wordcamp sp 2016
Segurança da informação palestra wordcamp sp 2016Segurança da informação palestra wordcamp sp 2016
Segurança da informação palestra wordcamp sp 2016Thauã Cícero Santos Silva
 
TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...
TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...
TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...tdc-globalcode
 
Módulo IX - Backup, Vírus e Anti-Vírus
Módulo IX - Backup, Vírus e Anti-VírusMódulo IX - Backup, Vírus e Anti-Vírus
Módulo IX - Backup, Vírus e Anti-VírusMayara Mônica
 
Protegendo Seu Computador Dos VíRus E Trojans
Protegendo Seu Computador Dos VíRus E TrojansProtegendo Seu Computador Dos VíRus E Trojans
Protegendo Seu Computador Dos VíRus E Trojansguest7eb285
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
Construindo uma aplicação PHP à Prova de Balas - Rafael Jaques
Construindo uma aplicação PHP à Prova de Balas - Rafael JaquesConstruindo uma aplicação PHP à Prova de Balas - Rafael Jaques
Construindo uma aplicação PHP à Prova de Balas - Rafael JaquesTchelinux
 
Aprendendo a criar plugins para o Wordpress - Richard Barros
Aprendendo a criar plugins para o Wordpress - Richard BarrosAprendendo a criar plugins para o Wordpress - Richard Barros
Aprendendo a criar plugins para o Wordpress - Richard BarrosRichard Barros
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
 

Semelhante a Detecção e prevenção de vulnerabilidades no Wordpress. (20)

Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações Web
 
Segurança na Internet
Segurança na InternetSegurança na Internet
Segurança na Internet
 
Dicas de segurança ti
Dicas de segurança tiDicas de segurança ti
Dicas de segurança ti
 
10 problemas seguranca_ecommerce
10 problemas seguranca_ecommerce10 problemas seguranca_ecommerce
10 problemas seguranca_ecommerce
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
 
Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...
Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...
Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
 
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxComo analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
 
Segurança da informação palestra wordcamp sp 2016
Segurança da informação palestra wordcamp sp 2016Segurança da informação palestra wordcamp sp 2016
Segurança da informação palestra wordcamp sp 2016
 
TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...
TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...
TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...
 
Vírus
VírusVírus
Vírus
 
Módulo IX - Backup, Vírus e Anti-Vírus
Módulo IX - Backup, Vírus e Anti-VírusMódulo IX - Backup, Vírus e Anti-Vírus
Módulo IX - Backup, Vírus e Anti-Vírus
 
Segurança ead
Segurança eadSegurança ead
Segurança ead
 
Protegendo Seu Computador Dos VíRus E Trojans
Protegendo Seu Computador Dos VíRus E TrojansProtegendo Seu Computador Dos VíRus E Trojans
Protegendo Seu Computador Dos VíRus E Trojans
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
 
Construindo uma aplicação PHP à Prova de Balas - Rafael Jaques
Construindo uma aplicação PHP à Prova de Balas - Rafael JaquesConstruindo uma aplicação PHP à Prova de Balas - Rafael Jaques
Construindo uma aplicação PHP à Prova de Balas - Rafael Jaques
 
Segurança na web
Segurança na webSegurança na web
Segurança na web
 
Segurança na web
Segurança na webSegurança na web
Segurança na web
 
Aprendendo a criar plugins para o Wordpress - Richard Barros
Aprendendo a criar plugins para o Wordpress - Richard BarrosAprendendo a criar plugins para o Wordpress - Richard Barros
Aprendendo a criar plugins para o Wordpress - Richard Barros
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerce
 

Detecção e prevenção de vulnerabilidades no Wordpress.

  • 1. Detecção e prevenção de vulnerabilidades no Wordpress. Detecção e prevenção de vulnerabilidades no Wordpress. João Neto www.joaoneto.blog.br github.com/joao-gsneto @joaoneto
  • 2. Detecção e prevenção de vulnerabilidades no Wordpress. Conteúdo > Fatos e conceitos sobre Segurança na Web; Tipos comuns de ataque no Wordpress; Como recuperar o controle de um site infectado; Checklist de segurança; Plugins para instalar e dicas para seguir em casa.
  • 3. Detecção e prevenção de vulnerabilidades no Wordpress. Fatos e conceitos sobre segurança na Web Vulnerabilidade Suscetibilidade no sistema Possibilidade de Acesso Capacidade de explorar
  • 4. Detecção e prevenção de vulnerabilidades no Wordpress. > Vulnerabilidade Suscetibilidade no sistema
  • 5. Detecção e prevenção de vulnerabilidades no Wordpress. > Vulnerabilidade Possibilidade de Acesso
  • 6. Detecção e prevenção de vulnerabilidades no Wordpress. > Vulnerabilidade Capacidade de explorar
  • 7. Detecção e prevenção de vulnerabilidades no Wordpress. Fatos e conceitos sobre segurança na Web
  • 8. Detecção e prevenção de vulnerabilidades no Wordpress. Conteúdo Fatos e conceitos sobre Segurança na Web; > Tipos comuns de ataque no Wordpress; Como recuperar o controle de um site infectado; Checklist de segurança; Plugins para instalar e dicas para seguir em casa.
  • 9. Detecção e prevenção de vulnerabilidades no Wordpress. Tipos comuns de ataque no Wordpress; Exemplo clássico: Versão 4.1.4 Slider Revolution http://example.com/ wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php
  • 10. Detecção e prevenção de vulnerabilidades no Wordpress. Tipos comuns de ataque no Wordpress; Quem são os "atacantes"? Bots Annonymous hackers Hackers com motivações financeiras / políticas Script kiddies
  • 11. Detecção e prevenção de vulnerabilidades no Wordpress. Tipos comuns de ataque no Wordpress; Suscetibilidades a falha (Como?) Falhas em Plugins e temas Quebra de senhas Vulnerabilidades no core do Wordpress Vulnerabilidades nos "vizinhos" - em hospedagens compartilhadas Ataques indiretos (Keyloggers, falhas no software de FTP, Sistema Operacional, Eng Social...)
  • 12. Detecção e prevenção de vulnerabilidades no Wordpress. Tipos comuns de ataque no Wordpress; Quais os objetivos (Para quê)? Spam de emails, links, propagandas Espalhar malwares Clientes zumbi Roubar dados pessoais e de clientes do site Tornar o site indisponível (Dos)
  • 13. Detecção e prevenção de vulnerabilidades no Wordpress. Tipos comuns de ataque no Wordpress; Como eles descobrem as vulnerabilidades wpscan ()
  • 14. Detecção e prevenção de vulnerabilidades no Wordpress. Tipos comuns de ataque no Wordpress; Como eles descobrem as vulnerabilidades google () e outros
  • 15. Detecção e prevenção de vulnerabilidades no Wordpress. Fui hackeado =/
  • 16. Detecção e prevenção de vulnerabilidades no Wordpress. Conteúdo Fatos e conceitos sobre Segurança na Web; Tipos comuns de ataque no Wordpress; > Como recuperar o controle de um site infectado; Checklist de segurança; Plugins para instalar e dicas para seguir em casa.
  • 17. Detecção e prevenção de vulnerabilidades no Wordpress. Como recuperar o controle do site infectado 1) Crie um ZIP com o site atual (Infectado) Guarde os logs (apache,nginx,php,access_log) 2) Restaure um backup limpo (Se não tiver, tire seu site do ar e vamos pular para a limpeza) 3) Crie uma nova instalação limpa do WP atualizando todos os plugins 4) Investigue o que aconteceu (Com os arquivos ZIP)
  • 18. Detecção e prevenção de vulnerabilidades no Wordpress. Como recuperar o controle do site infectado INVESTIGAR MITIGAR EDUCAR 4.1) Descubra o que aconteceu wp-cli (hash arquivos) find . -mtime 1 -print grep -ril “hacked by” SELECT LIKE ‘%script|iframe|eval|base64_encode%’ Plugins no Wordpress 4.2) Resolva as vulnerabilidades Update, apagar arquivos vulneraveis, remover malwares e backdoors 4.3) Trabalhe para que não aconteça novamente Checklist
  • 19. Detecção e prevenção de vulnerabilidades no Wordpress. Conteúdo Fatos e conceitos sobre Segurança na Web; Tipos comuns de ataque no Wordpress; Como recuperar o controle de um site infectado; > Checklist de segurança; Plugins para instalar e dicas para seguir em casa.
  • 20. Detecção e prevenção de vulnerabilidades no Wordpress. Checklist de segurança http://wpsecuritychecklist.org/br/items/
  • 21. Detecção e prevenção de vulnerabilidades no Wordpress. Checklist de segurança http://wpsecuritychecklist.org/br/items/ Mantenha seu Wordpress Atualizado Desabilite o editor pelo wp-config.php com o código: define('DISALLOW_FILE_EDIT',true); Previna a pesquisa de diretórios via .htaccess com o código: Options All -Indexes Configure as permissões das pastas para 755 e arquivos para 644 (conforme a documentação) Contrate uma hospedagem de confiança Use senhas fortes Gestão inteligente dos plugins
  • 22. Detecção e prevenção de vulnerabilidades no Wordpress. Plugins para instalar + dicas Sucuri Security Auditoria | Monitoração | Scanner | Hardening Wordfence Security Monitoração | 2Factor Login | AntiSpam | Premium Two-Factor Login Camada extra de segurança no login WP Security Audit Log WP Activity Log
  • 23. Detecção e prevenção de vulnerabilidades no Wordpress. Plugins para instalar + dicas Mantenha seu WP e plugins Atualizados Faça backups regularmente (Verifique com sua hospedagem se é incluído – o CPANEL faz isso) Faça pelo menos 50% dos itens do checklist de segurança Siga notícias sobre segurança no Wordpress www.wpvulndb.com sucuri.net/pt/seguranca-de-wordpress
  • 24. Detecção e prevenção de vulnerabilidades no Wordpress. Perguntas?
  • 25. Detecção e prevenção de vulnerabilidades no Wordpress. Obrigado!