Transcript of Palestra - Meetup WordPress Brasília 2014 - WordPress vs Hacker
- 1. WordPress vs Hacker Blindando seu WordPress
- 2. Quem somos?
- 3. Quem sou ? Lenon Leite @lenonleite DevOps + Workholic + TDAH
= EU
- 4. Quem sou ? Thiago Dieb @thiagodieb -- -- -- Fresco ++
Ansioso; -- TDAH; que o Lenon;
- 5. WordPress Seguro 100% seguro == false; WordPress ou Cms
prprio? WordPress Estvel; Rpida resposta de atualizao;
Colaborativo;
- 6. E os plugins e temas? Todos os Plugins e Temas so do
WordPress == false; Utilidade X Segurana == (?); Pagos X No pagos
== (?); Quanto ++ Plugins == ++ Risco; Temas falsificados == ++
Risco;
- 7. Vamos comear.
- 8. A falhas em temas e plugins... LFD; ( local file download )
File Upload; Sql Injection; Brute Force;
- 9. LFD ThemeForest e CodeCanyon; Lista mais de mil temas =O
http://marketblog.envato.com/news/affected-themes/
- 10. LFD
- 11. LFD Exemplo ...
http://wordpress.local/wp-admin/admin-ajax.php?
action=revslider_show_image&img=../wp-config.php
http://wordpress.local/wp-admin/admin-ajax.php?
action=revslider_show_image&img=../../../../etc/passwd
- 12. File upload
- 13. Sql injection Exemplo ...
http://wordpress.local/wp-content/plugins/formcraft/form.
php?id=1%27 python sqlmap.py -u 'http://wordpress.local/wp-
content/plugins/formcraft/form.php?id=1' --dbs
- 14. Bruteforce
- 15. Modo de proteo
- 16. Previnir - Easy Admin para outro nome == false; Senha
HARDCORE == true; Somente Plugins e Temas que vai utilizar == true;
Vrios plugin de segurana == false; Pesquisar sobre os plugins e
temas utilizados == true; Modo Debug false; Manter sistemas
atualizados;
- 17. Previnir - Medium Desabilitar a funo de edio de tema ==
true; Bloquear Brute force 1 == true; Bloquear visualizao de pasta
== true; Usar robots.txt == true; Acessar todos os dias == true;
Comprar temas ou plugins == false;
- 18. Previnir - Hard Preprao de infra == true; Pentest no prprio
site == true pra porra! Use WpScan; Use Accunetix; Use Metaexploit;
Alterar e bloquear o wp-admin/ == true; Sempre informado ==
true;
- 19. No basta s proteger o WordPress
- 20. O cuidado deve ser alm
- 21. Olha quem caiu kkkk
- 22. Olha quem caiu kkkk Globo
- 23. Olha quem caiu kkkk Extra
- 24. Finalizando... @lenonleite www. lenonleite.com.br
@ThiagoDieb www.dieb.com.br
- 25. Ferramentas WpScan -> Scan de vunerabilidades em
WordPress. http://wpscan.org/ SqlMap -> Explorao de sql
injection. http://sqlmap.org/ MetaSploit -> Explorao de
vulnerabilidades. http://www.metasploit.com/ Acunetix ->
Explorao de vulnerabilidades. http://www.acunetix.com/ John the
Ripper -> Ferramenta de Brute Force, e quebra de hashs.
http://www.openwall.com/john/ InurlBr -> Vunerabilidades em
Massa. https://github.com/googleinurl/SCANNER-INURLBR
- 26. Sites e Links importantes. Exploiters
http://www.exploit-db.com/ http://1337day.com/
https://www.facebook.com/inj3ct0rs http://www.cvedetails.com/ Links
interessantes http://www.wordpressexploit.com/
https://www.facebook.com/inj3ct0rs