This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
1. WordPress vs Hacker Blindando seu WordPress
2. Quem somos?
3. Quem sou ? Lenon Leite @lenonleite DevOps + Workholic + TDAH
= EU
4. Quem sou ? Thiago Dieb @thiagodieb -- -- -- Fresco ++
Ansioso; -- TDAH; que o Lenon;
5. WordPress Seguro 100% seguro == false; WordPress ou Cms
prprio? WordPress Estvel; Rpida resposta de atualizao;
Colaborativo;
6. E os plugins e temas? Todos os Plugins e Temas so do
WordPress == false; Utilidade X Segurana == (?); Pagos X No pagos
== (?); Quanto ++ Plugins == ++ Risco; Temas falsificados == ++
Risco;
7. Vamos comear.
8. A falhas em temas e plugins... LFD; ( local file download )
File Upload; Sql Injection; Brute Force;
9. LFD ThemeForest e CodeCanyon; Lista mais de mil temas =O
http://marketblog.envato.com/news/affected-themes/
16. Previnir - Easy Admin para outro nome == false; Senha
HARDCORE == true; Somente Plugins e Temas que vai utilizar == true;
Vrios plugin de segurana == false; Pesquisar sobre os plugins e
temas utilizados == true; Modo Debug false; Manter sistemas
atualizados;
17. Previnir - Medium Desabilitar a funo de edio de tema ==
true; Bloquear Brute force 1 == true; Bloquear visualizao de pasta
== true; Usar robots.txt == true; Acessar todos os dias == true;
Comprar temas ou plugins == false;
18. Previnir - Hard Preprao de infra == true; Pentest no prprio
site == true pra porra! Use WpScan; Use Accunetix; Use Metaexploit;
Alterar e bloquear o wp-admin/ == true; Sempre informado ==
true;
25. Ferramentas WpScan -> Scan de vunerabilidades em
WordPress. http://wpscan.org/ SqlMap -> Explorao de sql
injection. http://sqlmap.org/ MetaSploit -> Explorao de
vulnerabilidades. http://www.metasploit.com/ Acunetix ->
Explorao de vulnerabilidades. http://www.acunetix.com/ John the
Ripper -> Ferramenta de Brute Force, e quebra de hashs.
http://www.openwall.com/john/ InurlBr -> Vunerabilidades em
Massa. https://github.com/googleinurl/SCANNER-INURLBR