¿es seguro nuestro sitio web con wordpress?
DESCRIPTION
Presentación en la WordPress Meetup de Córdoba, acerca de seguridad en WordPress.TRANSCRIPT
Miguel Ángel Arroyo Moreno@Miguel_Arroyo76
www.proxyconsulting.eswww.aconsaseguridad.com
PresentaciónAlgo sobre mí
Proxy Servicios y Consulting, S.L.U. (2006) (Freelance, 1999)
Hacker Ético Certificado – CEH por EC-CouncilCreador blog www.hacking-etico.comOWASP Member / Asociado ISMS Forum SpainFormador habitual en IFES e Instituto Alcántara (2001)
ContactarTwitter: @Miguel_Arroyo76 @Hacking_EticoEmail: [email protected] // www.aconsaseguridad.com
ÍndiceIntroducciónPlugins de seguridadLa importancia de las actualizaciones
Vulnerabilidades y Exploits
Seguridad por oscuridad
Miguel Ángel Arroyo Moreno - @miguel_arroyo76
Miguel Ángel Arroyo Moreno - @miguel_arroyo76
Miguel Ángel Arroyo Moreno - @miguel_arroyo76
DISPONIBILIDAD DE EXPLOITS
HERRAMIENTAS DE EXPLOTACIÓN
Miguel Ángel Arroyo Moreno - @miguel_arroyo76
DESCUBRIMIENTO DE PLUGINS
TÉCNICA DE COMPARACIÓN DE HASHES
No hay error 404.
El servidor responde con un 200 OK.
La causa es la existencia de un fichero index.php de 1 kb, que nos confirma la presencia de este plugin instalado en el WordPress.
DESCUBRIMIENTO MANUAL SIMPLE
CUIDANDO DESCUBRIMIENTO DE PLUGINS
DESCUBRIENDO PLUGINS CON NMAP
OCULTANDO WP-CONTENT
NMAP NO DESCUBRE PLUGINS ;-)
EJEMPLO CAMBIO NOMBRE WP-CONTENT
RESTRINGIENDO ACCESO POR TIEMPO - HTACCESS
Miguel Ángel Arroyo Moreno - @miguel_arroyo76
www.proxyconsulting.es @PxyConsulting