Este documento fornece dicas para blindar sites WordPress de hackers, discutindo vulnerabilidades comuns como LFD, upload de arquivos e SQL injection. Ele recomenda maneiras de prevenir ataques, como usar senhas fortes, manter plugins e temas atualizados, ativar autenticação de dois fatores e monitorar o site. Também lista ferramentas como WpScan e MetaSploit para testar a segurança.

1. WordPress vs Hacker
Descubra o que ainda é preciso saber para blindar seu CMS

2. Quem somos?
Thiago DiebLenon Leite

3. ASZone www.aszone.com.br

4. Como blindar o WordPress

5. Fonte https://wappalyzer.com/categories/cms (01/06/2015)
Atual realidade

6. ● 100% seguro == false;
● WordPress ou CMS próprio?
● WordPress
○ Fácil acoplamento;
○ Estável;
○ Rápida resposta da
comunidade;
WordPress é seguro ?

7. Plugins e temas?
● Todos os Plugins e Temas são do
WordPress.org == false;
● Utilidade X Segurança == (?);
● Pagos X Não pagos == (?);
● Quanto ++ Plugins == ++ Risco;
● Temas ou plugins piratas == ++
Risco;

8. Vamos começar….

9. Algumas falhas conhecidas
● LFD (local file download);
● File Upload;
● Sql Injection;
● Brute Force;
● XSS - (Cross-site Scripting)
○ Jetpack, Google Analitcs Yost,
WordPress SEO;

10. LFD
“É a vulnerabilidade que possibilita a
apresentação ou o download de arquivos”

11. LFD
http://www.aszone.com.br/2015/06/list-of-potentially-affected-themes-wordpress/
Falha no plugin
Mais de mil temas

12. LFD

13. LFD

14. File upload
“Vulnerabilidade que permite efetuar upload
de algum arquivo, no qual o sistema não está
preparado.”

15. File upload
Falha no Tema

16. File upload
Exemplo ...
http://wordpress.local/wp-
content/themes/curvo/functions/upload-handler.php

17. Sql injection
“Ataque que proporciona o invasor inserir ou
manipular consultas SQL`s utilizadas por uma
aplicação”

18. Sql injection
Falha no Plugin

19. Sql injection
!passo
Dork:
inurl:season=*league_id=*matchday
https://google.com/search?q=inurl%3Aseason%3D*league_id%3D*match_day

20. Sql Injection
python sqlmap.py -u "http://wordpress.local/?
season=1&league_id=1&match_day=1&team_id=1" --dbs

21. Sql Injection

22. Bruteforce

23. Modo de proteção

24. ● Utilize senha HARDCORE;
● Deixe instalado somente Plugins e Temas que vai utilizar;
● Não utilize vários plugins de segurança;
● Antes de instalar pesquise sobre os plugins e temas;
● Mantenha o core, temas e plugins atualizados;
● Ative autenticação de 2 etapas;
● Monitore constatemente;
● É recomendado alterar do nome do usuário “admin” ?
Previnir - Easy

25. Previnir - Medium
● Altere o "Modo Debug" para false;
● Não habilite a função de edição dos temas e plugins;
● Aplique bloqueio de Brute force (WAF/Plugin);
● Bloquei visualização de pasta;
● Configure adequadamente as permissões de pastas;
● Sempre utilize robots.txt;
● É mais seguro comprar temas ou plugins ?

26. Previnir - Hard
● Usar as constantes no wp-config:
○ WP_CONTENT_DIR, WP_PLUGIN_DIR, UPLOADS;
○ WP_AUTO_UPDATE_CORE, WP_HTTP_BLOCK_EXTERNAL;
● Configurar camadas de segurança na infra;
● Aplique pentest no próprio site:
○ Use WpScan;
○ Use Metaexploit;
● Altere ou bloquei o endereço do wp-admin/;
● Bloquei identificação de usuários;

27. Mudança de conceito
● Siga os padrões de criação de temas e plugins do WordPress;
● Implemente testes unitários;
● Pratique "Par Programming";
● Pratique "Code Review";
● Pentest em ciclos evolutivos;
● Utilize metodologia de desenvolvimento seguro;

28. Proteção além do WordPress

29. WpScan -> Scan de vunerabilidades em WordPress.
http://wpscan.org/
SqlMap -> Exploração de sql injection.
http://sqlmap.org/
MetaSploit -> Exploração de vulnerabilidades.
http://www.metasploit.com/
John the Ripper -> Ferramenta de Brute Force, e quebra de hashs.
http://www.openwall.com/john/
InurlBr -> Buscar customizadas em Massa.
https://github.com/googleinurl/SCANNER-INURLBR
Ferramentas

30. Sites e Links importantes.
Exploiters
http://www.exploit-db.com/
http://1337day.com/
http://www.cvedetails.com/
Links interessantes
http://www.wordpressexploit.com/
https://www.facebook.com/inj3ct0rs
https://wordpress.org/

31. Finalizando...
@lenonleite
@ThiagoDieb