Palestra sobre segurança para WordPress ministrada no WordCamp POA em 6 de Maio de 2017

1. O WordPress é seguro.
Inseguro é você.
Leandro Vieira
Fundador e CEO da Apiki
linkedin.com/in/leandrovieirapinho
@leandrovieira
apiki.com
leandro@apiki.com

2. 1. O cenário

3. Popularidade

4. E contando …

5. Ecossistema

6. Plugins no WordPress.org
50+ mil / 1+ bilhão downloads

7. Themes no WordPress.org
Comercial / Gratuito

8. Internacionalizado
70+ idiomas

9. Negócios
Desenvolvimento / Hospedagem / Suporte /
Consultoria / Treinamentos / Produtos / …

10. Mídia

12. Personas negativas

13. Iniciativa
O WordPress é seguro. Inseguro é você.

14. Iniciativa
Guia prático / Blog Posts / Palestras / Webinars /
Workshops / Entrevistas / Dicas

15. 2. Evitar

16. “Versionamento / Backup“

17. .bkp / .old / .whatever
functions.php.bkp
functions.php.old
algum-arquivo.php.qualquercoisa
medo.php.maismedo

18. Senhas fracas

19. Pare agora com isso.
O WordPress ajuda, mas a escolha é sua.

20. Editor de códigos do WordPress

21. Constantes PHP
DISALLOW_FILE_EDIT ou DISALLOW_FILE_MODS

22. Servidor compartilhado sem gestão

23. Quem são seus vizinhos?

24. 3. Fazer sempre

25. Backup

26. Faça sempre
Banco de dados. Arquivos. Redundância.

27. Atualizações

28. Faça sempre
Core. Temas. Plugins. OS. Bibliotecas. Tudo.

29. Versão do WordPress

30. Pense a respeito.
Remover? Ocultar? Deixar exposta?

31. Nomes de usuários e Senhas

32. Monitore
“admin”. Senhas fracas. Ataques. Logout remoto.

35. Listagem de nomes de usuários

36. Fique ligado
•Sobre a listagem dos nomes de usuários;
•Feito através de Shell, Curl, Requisições manuais, WP Scan;
•Evite a listagem dos nomes de usuários;
•Dificulte os acessos de força bruta.

37. # Evita listagem dos nomes de usuários
RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ https://url-do-site.com/? [L,R=301]

38. Autenticação de dois fatores

39. Camada adicional
Quem é você. O que você tem. O que você sabe.

41. wp-config.php

42. O arquivo mais importante
Localização. Permissão. .htaccess.

43. O arquivo mais importante
•Manter o arquivo um nível acima do diretório público;
•Usar a permissão 400 (readonly) ou 600;
•No arquivo .htaccess fazer uso de diretiva para
proteção do arquivo.

44. <Files wp-config.php>
order allow,deny
deny from all
</Files>

45. Debug

46. Como e quando usar?
Ambientes: desenvolvimento, homolog, produção.

47. /wp-content/debug.log
define( 'WP_DEBUG', true );
define( 'WP_DEBUG_LOG', true );
@ini_set( 'log_errors', 'On' );
define( 'WP_DEBUG_DISPLAY', false );
@ini_set( 'display_errors', 'Off' );

48. <Files debug.log>
Order allow,deny
Deny from all
</Files>

49. Exclusão de arquivos do Core

50. Hã?
•/wp-config-sample.php
•/readme.html
•/license.txt
•/wp-admin/install.php
•/wp-admin/upgrade.php
•HIGIENIZAÇÃO

51. Permissões de arquivos e pastas

52. 400. 600. 644. 755.
• 400 ou 600 para o wp-config.php;
• 600 para o debug.log;
• 644 para os arquivos;
• 755 para os diretórios.

53. Fornecedores de serviços

54. Eles se preocupam com segurança?
Desenvolvimento. Suporte. Conteúdo. Hospedagem.

55. Banco de dados

56. Se preocupe com: estrutura, prefixo.
“wp_”?

58. SPAM

59. E a segurança com isso?

60. <IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .(wp-comments-post|wp-login).php*
RewriteCond %{HTTP_REFERER} !.*example.com.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) http://%{REMOTE_ADDR}/$ [R=301,L]
</ifModule>

61. XSS

62. Não confie nos seus usuários.
Input X Output

63. Use funções nativas.
1. esc_html();
2. esc_attr();
3. esc_url().

64. Listagem de diretório

65. Evite.
Exposição de informações do sistema

66. Options -Indexes

67. Full Path Disclosure

68. Arquivos PHP
Localizados em /wp-includes/

70. De quem é a responsabilidade?
WordPress? DevOps?

71. <IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

72. O que os Developers precisam fazer?
Protegendo os arquivos PHP de plugins e temas de
serem acessados diretamente.

73. <?php if ( !function_exists( 'add_action' ) ) exit; ?>

74. phpinfo()

75. Usado para depuração
Remova de produção.

76. grep -r /path/to/wordpress ‘PHPINFO()’

77. Arquivos PHP na pasta uploads

78. Você não deve permitir.
/wp-content/uploads/*.php?

79. <Directory “/var/www/wp-content/uploads/”>
<Files “*.php”>
Order Deny,Allow
Deny from All
</Files>
</Directory>

82. 4. Estudar sempre

83. WordCamps + Eventos diversos

84. Conteúdos especializados

86. Obrigado!
Leandro Vieira
Fundador e CEO da Apiki
linkedin.com/in/leandrovieirapinho
@leandrovieira
apiki.com
leandro@apiki.com