palestra - meetup wordpress brasília 2014 - wordpress vs hacker
TRANSCRIPT
- 1. WordPress vs Hacker Blindando seu WordPress
- 2. Quem somos?
- 3. Quem sou ? Lenon Leite @lenonleite DevOps + Workholic + TDAH = EU
- 4. Quem sou ? Thiago Dieb @thiagodieb -- -- -- Fresco ++ Ansioso; -- TDAH; que o Lenon;
- 5. WordPress Seguro 100% seguro == false; WordPress ou Cms prprio? WordPress Estvel; Rpida resposta de atualizao; Colaborativo;
- 6. E os plugins e temas? Todos os Plugins e Temas so do WordPress == false; Utilidade X Segurana == (?); Pagos X No pagos == (?); Quanto ++ Plugins == ++ Risco; Temas falsificados == ++ Risco;
- 7. Vamos comear.
- 8. A falhas em temas e plugins... LFD; ( local file download ) File Upload; Sql Injection; Brute Force;
- 9. LFD ThemeForest e CodeCanyon; Lista mais de mil temas =O http://marketblog.envato.com/news/affected-themes/
- 10. LFD
- 11. LFD Exemplo ... http://wordpress.local/wp-admin/admin-ajax.php? action=revslider_show_image&img=../wp-config.php http://wordpress.local/wp-admin/admin-ajax.php? action=revslider_show_image&img=../../../../etc/passwd
- 12. File upload
- 13. Sql injection Exemplo ... http://wordpress.local/wp-content/plugins/formcraft/form. php?id=1%27 python sqlmap.py -u 'http://wordpress.local/wp- content/plugins/formcraft/form.php?id=1' --dbs
- 14. Bruteforce
- 15. Modo de proteo
- 16. Previnir - Easy Admin para outro nome == false; Senha HARDCORE == true; Somente Plugins e Temas que vai utilizar == true; Vrios plugin de segurana == false; Pesquisar sobre os plugins e temas utilizados == true; Modo Debug false; Manter sistemas atualizados;
- 17. Previnir - Medium Desabilitar a funo de edio de tema == true; Bloquear Brute force 1 == true; Bloquear visualizao de pasta == true; Usar robots.txt == true; Acessar todos os dias == true; Comprar temas ou plugins == false;
- 18. Previnir - Hard Preprao de infra == true; Pentest no prprio site == true pra porra! Use WpScan; Use Accunetix; Use Metaexploit; Alterar e bloquear o wp-admin/ == true; Sempre informado == true;
- 19. No basta s proteger o WordPress
- 20. O cuidado deve ser alm
- 21. Olha quem caiu kkkk
- 22. Olha quem caiu kkkk Globo
- 23. Olha quem caiu kkkk Extra
- 24. Finalizando... @lenonleite www. lenonleite.com.br @ThiagoDieb www.dieb.com.br
- 25. Ferramentas WpScan -> Scan de vunerabilidades em WordPress. http://wpscan.org/ SqlMap -> Explorao de sql injection. http://sqlmap.org/ MetaSploit -> Explorao de vulnerabilidades. http://www.metasploit.com/ Acunetix -> Explorao de vulnerabilidades. http://www.acunetix.com/ John the Ripper -> Ferramenta de Brute Force, e quebra de hashs. http://www.openwall.com/john/ InurlBr -> Vunerabilidades em Massa. https://github.com/googleinurl/SCANNER-INURLBR
- 26. Sites e Links importantes. Exploiters http://www.exploit-db.com/ http://1337day.com/ https://www.facebook.com/inj3ct0rs http://www.cvedetails.com/ Links interessantes http://www.wordpressexploit.com/ https://www.facebook.com/inj3ct0rs