O documento discute as principais ameaças à segurança de aplicações WordPress e WooCommerce, como vulnerabilidades causadas por plugins e temas desatualizados, falhas na configuração do servidor web, e fatores humanos. Ele também fornece medidas de segurança como manter o sistema atualizado, usar senhas fortes, e configurar um firewall, além de contramedidas como backups periódicos e planos de contingência.
2. Introdução
Neste Workshop vamos tratar sobre a segurança de aplicações
WordPress e WooCommerce partindo do ponto de vista da Segurança
da Informação.
Vamos também discutir quais são as maiores recorrências de
vulnerabilidades e falhas, como evita-las e em último caso, quais
contramedidas devem ser tomadas para reduzir os danos causados
em um possível ataque ao seu sistema.
3. O que é Segurança da Informação
“A Segurança da Informação se baseia na proteção de um conjunto de
informações, a fim de preservar o valor que estas informações
possuem para um indivíduo ou organização.”
Quais os pilares da segurança da Informação?
• Integridade – Garante que a informação permaneça no seu estado original.
• Disponibilidade – Garante que a informação esteja disponível para o acesso.
• Confidencialidade – Garante que a informação seja acessada apenas por pessoas
autorizadas.
• Autenticidade – Garante que a informação pertence à origem que anuncia.
4. Ambiente para Segurança da Informação.
• Aplicação Segura.
• Servidor de dados Seguro.
• Rede de acesso segura.
Aplicação
Servidor Web
Rede de Acesso
5. Principais ameaças em instalações WordPress
• Fatores Humanos
• Vulnerabilidades causadas por Plugins e Temas desatualizados ou
de origem duvidosa
• Falhas na configuração do Servidor WEB
6. FATORES HUMANOS
• Vulnerabilidades por fatores humanos são muito comuns e na
maioria dos casos a principal causa de comprometimento dos
sistemas.
• Quais são as principais falhas causadas por fatores humanos?
• Engenharia Social
• Baixa Qualificação para a função exercida
• Falta de cuidado ao acessar dados sensíveis
7. Vulnerabilidades em Temas e Plugins desatualizados
• Falhas conhecidas e que já foram corrigidas em versões mais
recentes das aplicações, que ainda podem ser exploradas em
versões mais antigas.
• Falhas de validação de entradas de dados em Apps mal
programados.
• Backdoors ou Falhas propositais implantadas por hackers em plug-
ins e temas “crackeados”, obtidos de forma duvidosa pelo
administrador do site.
8. Vulnerabilidades Comuns em Servidores Web
A maioria das vulnerabilidades em servidores WEB se dá pela falta de
experiência dos usuários, que muitas vezes utilizam o famoso método
“next → next → next →” para configurar seus sistemas.
Quais são elas?
• Portas de Serviços não utilizados, abertas para conexão externa.
• Navegação de diretórios em servidores WEB.
• Método de Conexão que permitem acesso a usuários privilegiados
no sistema operacional.
• Permissões de acesso para diretórios e arquivos desnecessários.
10. • Utilize software de boa procedência.
• Mantenha seu sistema sempre atualizado.
• Faça scanners periódicos.
• Exija senhas FORTES para usuários com acesso privilegiado ao seu
sistema.
• Tome cuidado com as informações que você torna públicas.
• Desative a edição de códigos no Painel do WordPress.
• Configure um Firewall para filtrar os dados de entrada e saída do
seu servidor.
11. • Cuidado com as aplicações que instala no seu Servidor de dados.
• Não acesse seu sistema em computadores desconhecidos.
• Desative o acesso do usuário ROOT em conexão SSH.
• Se possível, acesse seu servidor apenas com CHAVE PRIVADA.
• Utilize conexões criptografadas em seu servidor.
• Mantenha-se sempre atualizado sobre o seu sistema.
13. • Tenha um plano de contingência para o caso de falhas.
• Faça Backups da base de dados periodicamente.
• Mantenha um servidor de redundância de dados.
• Leia os logs de Acesso e de Erros gerados pelo seu servidor.
• Altere as credenciais de acesso e se possível portas de conexões
externas para o seu sistema.
14. HORA DE COLOCAR A MÃO NA
MASSA
VAMOS PRATICAR UM POUCO DO QUE
APRENDEMOS HOJE