O documento discute como proteger sites WordPress de hackers, mencionando que usar apenas WordPress não é totalmente seguro e que é importante manter softwares e plugins atualizados, usar senhas fortes e verificar temas e plugins por vulnerabilidades. Também recomenda ferramentas como WpScan e SqlMap para testar sites e listas vários sites e ferramentas úteis para segurança.

1. WordPress vs Hacker
Blindando seu WordPress

2. Quem somos?

3. Quem sou ?
Lenon Leite @lenonleite
DevOps + Workholic + TDAH
=
EU

4. Quem sou ?
Thiago Dieb @thiagodieb
-- -- -- Fresco
++ Ansioso;
-- TDAH;
… que o Lenon;

5. WordPress é Seguro
● 100% seguro == false;
● WordPress ou Cms próprio?
● WordPress
○ Estável;
○ Rápida resposta de
atualização;
○ Colaborativo;

6. E os plugins e temas?
● Todos os Plugins e Temas são do
WordPress == false;
● Utilidade X Segurança == (?);
● Pagos X Não pagos == (?);
● Quanto ++ Plugins == ++ Risco;
● Temas falsificados == ++ Risco;

7. Vamos começar….

8. A falhas em temas e plugins...
● LFD; ( local file
download )
● File Upload;
● Sql Injection;
● Brute Force;

9. LFD
ThemeForest e CodeCanyon;
Lista mais de mil temas… =O
http://marketblog.envato.com/news/affected-themes/

10. LFD

11. LFD
Exemplo ...
http://wordpress.local/wp-admin/admin-ajax.php?
action=revslider_show_image&img=../wp-config.php
http://wordpress.local/wp-admin/admin-ajax.php?
action=revslider_show_image&img=../../../../etc/passwd

12. File upload

13. Sql injection
Exemplo ...
http://wordpress.local/wp-content/plugins/formcraft/form.
php?id=1%27
python sqlmap.py -u 'http://wordpress.local/wp-
content/plugins/formcraft/form.php?id=1' --dbs

14. Bruteforce

15. Modo de proteção

16. Previnir - Easy
● Admin para outro nome == false;
● Senha HARDCORE == true;
● Somente Plugins e Temas que
vai utilizar == true;
● Vários plugin de segurança ==
false;
● Pesquisar sobre os plugins e
temas utilizados == true;
● Modo Debug false;
● Manter sistemas atualizados;

17. Previnir - Medium
● Desabilitar a função de edição
de tema == true;
● Bloquear Brute force 1 == true;
● Bloquear visualização de pasta
== true;
● Usar robots.txt == true;
● Acessar todos os dias == true;
● Comprar temas ou plugins ==
false;

18. Previnir - Hard
● Prepração de infra == true;
● Pentest no próprio site == true
pra porra!
○ Use WpScan;
○ Use Accunetix;
○ Use Metaexploit;
● Alterar e bloquear o wp-admin/ ==
true;
● Sempre informado == true;

19. Não basta só proteger o WordPress

20. O cuidado deve ser além

21. Olha quem caiu… kkkk

22. Olha quem caiu… kkkk
Globo

23. Olha quem caiu… kkkk
Extra

24. Finalizando...
@lenonleite www.
lenonleite.com.br
@ThiagoDieb
www.dieb.com.br

25. Ferramentas
WpScan -> Scan de vunerabilidades em WordPress.
http://wpscan.org/
SqlMap -> Exploração de sql injection.
http://sqlmap.org/
MetaSploit -> Exploração de vulnerabilidades.
http://www.metasploit.com/
Acunetix -> Exploração de vulnerabilidades.
http://www.acunetix.com/
John the Ripper -> Ferramenta de Brute Force, e quebra de hashs.
http://www.openwall.com/john/
InurlBr -> Vunerabilidades em Massa.
https://github.com/googleinurl/SCANNER-INURLBR

26. Sites e Links importantes.
Exploiters
http://www.exploit-db.com/
http://1337day.com/
https://www.facebook.com/inj3ct0rs
http://www.cvedetails.com/
Links interessantes
http://www.wordpressexploit.com/
https://www.facebook.com/inj3ct0rs