Este documento habla sobre la seguridad en WordPress. Proporciona información sobre herramientas y técnicas para fortalecer la seguridad de un sitio WordPress, incluyendo configurar la base de datos y servidor de manera segura, actualizar plugins y temas regularmente, escanear para malware, y utilizar la herramienta de línea de comando WPHardening para automatizar cambios de seguridad. También enfatiza la importancia de backups, pruebas, y monitoreo continuo.

1. Seguridad en WordPress
WPHardening
/Daniel Maldonado @elcodigok

3. Daniel Maldonado
Ing. en Computación, Analista de Sistemas y Técnico
Informático, SysAdmin, Certificado Tecnologías
MikroTik, Consultor de Seguridad y Activista del
So ware Libre

4. @elcodigok

5. www.caceriadespammers.com.ar
Cacería de Spammers

6. 27.9%
de toda la web

7. +49.800
Plugins

8. +18.000
Themes

9. 111.000 base de datos de Wordpress
públicas
13/03/2014

10. vulnerabilidad 0-day en el script
TimThumb
25/06/2014

11. Ataques de fuerza bruta en Wordpress
utilizando XML-RPC
28/07/2014

12. Exploit for stealing backups on WP sites
with WP-DB-Backup v2.2.4 plugin
22/11/2014

13. 06/12/2016 se publica WordPress 4.7
11/01/2017 v4.7.1 corrige 8 fallos de Seguridad.
26/01/2017 v4.7.2 corrige 3 fallos de Seguridad.
06/03/2017 v4.7.3 corrige 6 fallos de Seguridad.
20/04/2017 v4.7.4.

14. Seguridad Informática

15. El Principio KISS
... las cosas simples y fáciles de entender suelen tener
mejor aceptación que las complejas ...

16. Leyes de Fortificación
Mínimo Punto de Exposición (MPE)
Mínimo Privilegio Posible (MPP)
Defensa en Profundidad (DP)

17. Configurar WordPress al extremo

18. Configurar la Base de datos
llevarlo fuera del proyecto
define('DB_NAME', 'NombreBaseDeDatos');
define('DB_USER', 'UsuarioBaseDeDatos');
define('DB_PASSWORD', 'contrasena');
define('DB_HOST', 'localhost');
define('DB_CHARSET', 'utf8');

19. Modificar el prefix de tablas
$table_prefix = 'wph419_';

20. Agregar un firewall
limitar conexiones en .htaccess

21. Limitar la memoria
define('WP_MEMORY_LIMIT', '64M');

22. Descativar wp-cron.php
define('DISABLE_WP_CRON', false);

23. Forzar el uso de Certificados SSL
define('FORCE_SSL_LOGIN', true);
define('FORCE_SSL_ADMIN', true);

24. Cambiar los permisos en
Archivos y Directorios

25. Desactivar el Debugging mode
define('WP_DEBUG', false);

26. Evitar la navegación por
Directorios

27. Analizar código estático de
Plugins y Themes

28. Desactivar la edición de Plugins y
Themes
define('DISALLOW_FILE_EDIT', true);

29. Seguridad

30. Evitar Fingerprinting

31. Evitar Enumeración

32. Reparar Full Path Disclosure

33. Escaneo de Malware

34. Inventario de librería

35. Modificar archivos estáticos
*.css y *.js

36. Políticas de Actualización

37. Actualizaciones
Core de WordPress 4.7.4
Plugins
Themes
Componente de los Themes

38. Entorno de Producción y
Desarrollo

39. Ejecutar las Actualizaciones

40. Documentar las Actualización
Fecha y Hora de Actualización
Responsable de la Actualización
Componentes Actualizados
Nuevas Versiones

41. WPHardening

42. WPHardening
Herramienta de línea de comando *UNIX
Escrita en Lenguaje Python 2.7
Licencia GPLv3
Automatización de Cambios
Generador de Archivo
Versión estable v1.5

43. v1.6

44. WPHardening
1. Validación de Proyecto WordPress
2. Asignación de Permisos
3. Eliminación de Componentes
4. Creación de robots.txt
5. Eliminación de Fingerprinting
6. Búsqueda de librerías TimThumb
7. Generador de Archivo de Configuración
8. Eliminación de Versión
9. Plugins de Seguridad
10. Creación de archivos Index
11. Escaneo de Malware

45. WPHardening v1.6
1. Compresión *.css y *.js
2. Asignación de Usuario y Grupos
3. Enumeración de malware
4. Integración con Travis CI
5. Compatibilidad con versiones anteriores
6. Codigo fuente normalizado a PEP8
7. Creación de Archivo LOG
8. Implementación de 6G Firewall
9. Desactivar REST API

46. Como obtener WPHardening
$ git clone https://github.com/elcodigok/wphardening.git

47. DEMO

48. Chequear un Proyecto en
WordPress
$ ./wphardening.py -d /home/path/wordpress -v

49. Cambiar permisos en Archivos y
Directorios
$ ./wphardening.py -d /home/path/wordpress --chmod -v

50. Eliminar Archivos que no se
utilizan
$ ./wphardening.py -d /home/path/wordpress --remove -v

51. Generador de Archivo Robots.txt
$ ./wphardening.py -d /home/path/wordpress --robots -v

52. Remover todos los Fingerprinting
$ ./wphardening.py -d /home/path/wordpress --fingerprinting -v

53. Chequear librería TimThumb
$ ./wphardening.py -d /home/path/wordpress --timthumb -v

54. Creación de Archivos Index
$ ./wphardening.py -d /home/path/wordpress --indexes -v

55. Descarga de Plugins
Recomendados
$ ./wphardening.py -d /home/path/wordpress --plugins

56. Generador del Archivo wp-
config.php
$ ./wphardening.py -d /home/path/wordpress --wp-config

57. Eliminación de Versión de
WordPress
$ ./wphardening.py -d /home/path/wordpress --delete-version -v

58. Combinando todas las opciones
$ ./wphardening.py -d /home/user/wordpress -c -r -f -t --wp-config -

59. Mecanismo de Monitoreo

60. Análisis Cualitativo y
Cuantitativo

61. Control de Versiones

62. Adoptar metodologías
de
Desarrollo

63. Entornos de Prueba
y
Entornos de Producción

64. BACKUPS
... el 47%de las empresas nuncarealiza copias
de seguridad de sus datos ...

65. Conclusiones.

66. Revisar las Configuraciones

67. Ejecutar las Actualizaciones

68. Plan de Backup

69. Está TODO por hacer

70. I + D
Investigación + desarrollo

71. Máxima Seguridad en WordPress

72. Buscar ...
Niveles de Seguridad Aceptables

73. HackersClub.academy

74. Instalación en 5'
Instalación Segura en 7'

75. Muchas Gracias.
-
-
-
-
Ing. Daniel Maldonado
@elcodigok
info@danielmaldonado.com.ar
caceriadespammers.com.ar