Este documento fornece dicas para blindar sites WordPress de hackers, discutindo vulnerabilidades comuns como LFD, upload de arquivos e SQL injection. Ele recomenda maneiras de prevenir ataques, como usar senhas fortes, manter plugins e temas atualizados, ativar autenticação de dois fatores e monitorar o site. Também lista ferramentas como WpScan e MetaSploit para testar a segurança.
6. ● 100% seguro == false;
● WordPress ou CMS próprio?
● WordPress
○ Fácil acoplamento;
○ Estável;
○ Rápida resposta da
comunidade;
WordPress é seguro ?
7. Plugins e temas?
● Todos os Plugins e Temas são do
WordPress.org == false;
● Utilidade X Segurança == (?);
● Pagos X Não pagos == (?);
● Quanto ++ Plugins == ++ Risco;
● Temas ou plugins piratas == ++
Risco;
24. ● Utilize senha HARDCORE;
● Deixe instalado somente Plugins e Temas que vai utilizar;
● Não utilize vários plugins de segurança;
● Antes de instalar pesquise sobre os plugins e temas;
● Mantenha o core, temas e plugins atualizados;
● Ative autenticação de 2 etapas;
● Monitore constatemente;
● É recomendado alterar do nome do usuário “admin” ?
Previnir - Easy
25. Previnir - Medium
● Altere o "Modo Debug" para false;
● Não habilite a função de edição dos temas e plugins;
● Aplique bloqueio de Brute force (WAF/Plugin);
● Bloquei visualização de pasta;
● Configure adequadamente as permissões de pastas;
● Sempre utilize robots.txt;
● É mais seguro comprar temas ou plugins ?
26. Previnir - Hard
● Usar as constantes no wp-config:
○ WP_CONTENT_DIR, WP_PLUGIN_DIR, UPLOADS;
○ WP_AUTO_UPDATE_CORE, WP_HTTP_BLOCK_EXTERNAL;
● Configurar camadas de segurança na infra;
● Aplique pentest no próprio site:
○ Use WpScan;
○ Use Metaexploit;
● Altere ou bloquei o endereço do wp-admin/;
● Bloquei identificação de usuários;
27. Mudança de conceito
● Siga os padrões de criação de temas e plugins do WordPress;
● Implemente testes unitários;
● Pratique "Par Programming";
● Pratique "Code Review";
● Pentest em ciclos evolutivos;
● Utilize metodologia de desenvolvimento seguro;
29. WpScan -> Scan de vunerabilidades em WordPress.
http://wpscan.org/
SqlMap -> Exploração de sql injection.
http://sqlmap.org/
MetaSploit -> Exploração de vulnerabilidades.
http://www.metasploit.com/
John the Ripper -> Ferramenta de Brute Force, e quebra de hashs.
http://www.openwall.com/john/
InurlBr -> Buscar customizadas em Massa.
https://github.com/googleinurl/SCANNER-INURLBR
Ferramentas