Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Protege o teu site WordPress

108 Aufrufe

Veröffentlicht am

Vulnerabilidades comuns e como podemos minimizar o problema. Uma apresentação em co-autoria com o Lenon Leite.

Veröffentlicht in: Technologie
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Protege o teu site WordPress

  1. 1. PROTEGE O TEU SITE WORDPRESS Lenon Leite | Ricardo Castelhano
  2. 2. Ricardo Castelhano 2 Lenon Leite @riccastelhano@lenonleite Olá !
  3. 3. 3Reflexão...
  4. 4. eu? 4 Porque
  5. 5. E porque não? 5
  6. 6. Ataque automatizado a um sistema. 6
  7. 7. E porquê? 7
  8. 8. E porquê? 8 Existem vulnerabilidades à espera de serem exploradas.
  9. 9. Ataques 9 Técnico » SQL Injection » Local File Download » Brute Force » File Upload
  10. 10. Falhas técnicas. Developers e Administradores de sistemas são o problema. 10 1.
  11. 11. SQL Injection » Exemplo: » http://target/wp-admin/options-general.php?page=custom_s lider&showall=a&edit=0+UNION+SELECT+1,CONCAT(na me,char(58),slug),3,4,5,6,7+FROM+wp_terms+WHERE+ term_id=1 11
  12. 12. SQL Injection » Resultado: 12
  13. 13. Local File Download » Exemplo: http://wordpress.local/wp-admin/admin-ajax.php?action=revslide r_show_image&img=/uploads/2015/06/wordpress-camp.jpg http://wordpress.local/wp-admin/admin-ajax.php?action=revslide r_show_image&img=../wp-config.php 13
  14. 14. Local File Download » Resultado: 14
  15. 15. Brute Force » Exemplo: php avenger sh --dork="site:com inurl:wp-content/uploads" --check="isAdmin" --exploit="btwp" https://github.com/aszone/avenger-sh 15
  16. 16. Brute Force » Resultado: 16
  17. 17. File Upload » Exemplo / Resultado: 17
  18. 18. Plugins de segurança 18 2.
  19. 19. Plugins de segurança » Wordfence (https://www.wordfence.com/) » Sucuri (https://sucuri.net/pt/) » Ithemes security (https://ithemes.com/security/) » All In One WpSecurity e Firewall (https://pt.wordpress.org/plugins/all-in-one-wp-security-and-firewall/) 19
  20. 20. DONE ! ... 20
  21. 21. Mentira !!!! 21
  22. 22. Falhas humanas. 22 3.
  23. 23. Onde está o problema? 23
  24. 24. O perigo não termina no vosso site 24
  25. 25. Max Ray Butler aka Max Ray Vision aka “Iceman” 25 » Ano 2003 => 100% de sucesso
  26. 26. Max Ray Butler aka Max Ray Vision aka “Iceman” 26 » 2 milhões cartões crédito » 86 milhões em compras
  27. 27. Palavras-Chave » Palavras-Chave diferentes entre sistemas » Alteração da palavra-chave por períodos de tempo » Ferramentas de gestão de palavras-chave » Palavras-Chave “fortes” » Mais de 10 caracteres (números, letras, especiais, espaços) 27
  28. 28. WiFi público 28
  29. 29. WiFi público » Ao final do dia » Faça logout » Hora do Almoço / Hora do café / Hora da cerveja » Bloqueie o sistema (crt alt del ) 29
  30. 30. WiFi público » Verifique se não está sendo observado 30
  31. 31. WiFi público » HTTP » Se possível, não use » HTTPS » Atenção também existem formas de burlar 31
  32. 32. Engenharia Social 32
  33. 33. Engenharia Social » Emails Falsos (SPAM) » Pedindo registro de uma nova senha » Pedindo para aceder a conteúdo restrito, onde tem que colocar Utilizador e Palavra-Chave » Malware disfarçado de anexos 33
  34. 34. Engenharia Social » Telefonemas Falsos » Help Desk » Administrador do sistema » Operadora de Telecomunicação Desconfie de qualquer pessoa que peça sua Palavra-Chave 34
  35. 35. “Nós somos o problema” 35
  36. 36. “Nós somos o problema” » Falhas internas em empresas » Utilizadores compartilhados » Palavras-Chave guardadas fisicamente » Registros default » Palavras-Chave “fofinhas” ou óbvias » Alterar ASAP !!!!!! 36
  37. 37. “Nós somos o problema” » Falhas internas em empresas » Não exclusão do sistema de ex-funcionários » Utilizadores inativos 37
  38. 38. Enquanto Administrador, o que posso fazer? 38 4.
  39. 39. “The Gate Keeper” Atualizações automáticas SEMPRE !!!! 39
  40. 40. “The Gate Keeper” » O que fazer aos Plugins » Quando foi a última atualização? » Quantas instalações efetivas tem? » Que avaliação tem? Remover TODOS os plugins desativados 40
  41. 41. “The Gate Keeper” » O que fazer aos Themes » Quando foi a última atualização? » Quantas instalações efetivas tem? » Que avaliação tem? Remover TODOS os themes desativados 41
  42. 42. “The Gate Keeper” » O que fazer aos utilizadores » Registo de utilizador com confirmação » Email » Telefone » Validar se as Palavras-Chave default foram alteradas » Remover utilizadores inativos 42
  43. 43. Próximo passo, minimizar vulnerabilidades do código Obrigado

×