2. ¿Quién soy yo?
●
●
●
Jorge Websec
●
Autor del blog
www.websec.es
●
@Jorgewebsec
●
Socio fundador de
QuantiKa14
Fundador del FSI
Creador del proyecto
WordPressa
www.quantika14.com || WORDPRESSA
2
3. ¿Qué es el Hardening?
En seguridad informática, es el
proceso de asegurar un sistema
mediante la reducción de
vulnerabilidades, buenas
configuraciones...
●
Poner barreras y dificultades para que un
atacante no pueda conseguir el objetivo de
su ataque.
www.quantika14.com || WORDPRESSA
3
4. ¿Qué es Wordpressa?
●
Un laboratorio para aprender
técnicas ofensivas y defensivas.
http://www.websec.es/2013/07/04/wo
rdpressa-laboratorio-wordpress/
●
Auditorías de
seguridad en
Wordpress.
●
Manuales:
–
Empezando con Wordpress
–
Hardening
–
Exploiting
–
Creación de una plantilla
–
Creación de plugins
www.quantika14.com || WORDPRESSA
4
12. 1.La versión de Wordpress
●
●
Mirar el Readme.html
Mirar el meta
generator en el HTML
de la página.
www.quantika14.com || WORDPRESSA
12
13. Solución:
●
Quitar Meta Generator:
–
Añadir en el archivo “functions.php” de tu plantilla:
●
remove_action('wp_head', 'wp_generator');
#Muestra el generador XHTML que se genera en el gancho wp_head.
#Borramos la función wp_generator enganchada wp_head
●
Readme.html
–
Lo borramos o lo modificamos manualmente.
www.quantika14.com || WORDPRESSA
13
14. Si no lo borramos...
www.quantika14.com || WORDPRESSA
14
15. Si lo borramos...
●
●
El atacante tendrá
que comerse la
cabeza un poquito
más...
Pero cada versión de
wordpress usa diferentes
tipos de archivos.
www.quantika14.com || WORDPRESSA
15
17. Los Permisos
●
Lectura (r) ó (4)
●
Propietario del archivo
●
Escritura (w) ó (2)
●
Grupo de usuarios
●
Ejecución (x) ó (1)
●
Cualquier usuario
www.quantika14.com || WORDPRESSA
17
18. Estructura y permisos
●
●
Directorio Raiz
(0755)
Wp-config.php
(0644)
Un usuario puede modificar los permisos
Desde su cliente FTP o desde el
Administrador de archivos de
Su panel de control
●
WP-ADMIN
●
WP-INCLUDES
●
WP-CONTENT
0755
www.quantika14.com || WORDPRESSA
18
20. Con .htaccess
●
# proteccion de
wpconfig.php
●
<files wp-config.php>
●
order allow,deny
●
deny from all
●
</files>
www.quantika14.com || WORDPRESSA
20
21. La cabaña no es segura...
En caso de evasión es mejor que no
este el objetivo fuera... (wp-config)
www.quantika14.com || WORDPRESSA
21
22. Mover wp-config
Creamos un php fuera con:
●
●
<?php
define('DB_NAME', 'Nombre_BaseDatos');
de tu base de datos
// El nombre
●
define('DB_USER', 'Usuario');
●
define('DB_PASSWORD', 'Password'); // password
●
define('DB_HOST', 'localhost');
●
●
// El usuario de MySQL
// El servidor
$table_prefix = 'IMPORTANTE CAMBIARLO'; // el
prefijo de las tablas, casi siempre es wp_
?>
www.quantika14.com || WORDPRESSA
22
24. En un ataque las ventanas y
puertas cerradas con llave
●
# limitar el acceso como administrador por IP desde el .HTACCESS
order deny, allow
allow from 1.2.3.4 (cambiar por vuestra IP)
deny from all (denegamos el acceso a todas las IPS menos la nuestra)
●
En el caso de tener una ip dinámica podemos
usar una VPN (OpenVPN)
www.quantika14.com || WORDPRESSA
24
25. Otros consejos:
Cambiar el Prefijo wp_ (“Dificulta” inyecciones sql)
●Actualizar siempre: los plugins, las plantillas y
el wordpress.
●Hacer Backups de los archivos y base de
datos.
●Borrar los metadatos antes de subirlos.
●Utilizar una buena contraseña y cambiarla
habitualmente.
●
www.quantika14.com || WORDPRESSA
25
26. Plugins de Seguridad:
●
Exploit Scanner.
●
Ultimate Security Checker
●
LockerPress (cambia la url del acceso al backend)
●
BETTER WP SECURITY
(http://www.securitybydefault.com/2013/05/better-wpsecurity-completo-plugin-de.html)
www.quantika14.com || WORDPRESSA
26