Hardening en Wordpress
Jorge WebSec
www.quantika14.com || WORDPRESSA 2
¿Quién soy yo?
● Socio fundador de QuantiKa14
● Fundador del FSI● Creador del proyecto
WordPressa
● Jorge Websec● Autor del blog
www.websec.es● @Jorgewebsec
www.quantika14.com || WORDPRESSA 3
¿Qué es el Hardening?
En seguridad informática, es el proceso de asegurar un sistema mediante la reducción de vulnerabilidades, buenas configuraciones...
● Poner barreras y dificultades para que un atacante no pueda conseguir el objetivo de su ataque.
www.quantika14.com || WORDPRESSA 4
¿Qué es Wordpressa?
● Un laboratorio para aprender técnicas ofensivas y defensivas.
http://www.websec.es/2013/07/04/wordpressa-laboratorio-wordpress/
● Manuales:– Empezando con Wordpress– Hardening– Exploiting– Creación de una plantilla– Creación de plugins
● Auditorías de seguridad en Wordpress.
www.quantika14.com || WORDPRESSA 5
Hardening en Wordpress
Wordpressa.quantika14.com
www.quantika14.com || WORDPRESSA 6
Cada vez usan más
● Empresas● Blogs● Páginas personales
● Gubernamentales● Foros● Comunidades etc
www.quantika14.com || WORDPRESSA 7
Wordpress sin Fortificar:
www.quantika14.com || WORDPRESSA 8
Wordpress Fortificado:
www.quantika14.com || WORDPRESSA 9
¿Y por qué a mí? Si yo no tengo
nada
● Atacaran grandes empresas.
● Webs conocidas.● Webs con datos
valiosos.
www.quantika14.com || WORDPRESSA 10
Qué motiva a un atacante:
● Ego● Malware● Botnet● Información● Almacenar● Servicios
www.quantika14.com || WORDPRESSA 11
¿Qué hace?
www.quantika14.com || WORDPRESSA 12
1.La versión de Wordpress
● Mirar el Readme.html
● Mirar el meta generator en el HTML de la página.
www.quantika14.com || WORDPRESSA 13
Solución:
● Quitar Meta Generator:– Añad ir en el archivo “functions.php” de tu plantilla:
● remove_action('wp_head ', 'wp_generator');#Muestra el generador XHTML que se genera en el gancho wp_head.
#Borramos la función wp_generator enganchada wp_head
● Readme.htm l– Lo borramos o lo modificamos manualmente.
www.quantika14.com || WORDPRESSA 14
Si no lo borramos...
www.quantika14.com || WORDPRESSA 15
Si lo borramos...
● El atacante tendrá que comerse la cabeza un poquito más...
● Pero cada versión de wordpress usa diferentes tipos de archivos.
www.quantika14.com || WORDPRESSA 16
Webs con Readme:
●http://blog.ebay.com/readme.html [3.6.1]●View-source:http://blog.nexius.es/ [3.6.1]●http://www.regalopublicidad.com/blog/readme.html [3.6]●http://www.blog.iberdrola.com/readme.html [3.5]●http://psoesevilla.es/readme.html [3.5]●View-source:http://ppsevilla.com/ [3.4]●http://blog.pepsico.es/readme.html [3.2.1]●view-source:telefonica.com.ec/blog/ [3.0.4]●view-source:http://www.andalucesdiario.es/●http://historiadelartemalaga.es/congresos/teoriayliteraturaartistica/readme.html●view-source:http://www.cuartopoder.es/tribuna/
www.quantika14.com || WORDPRESSA 17
Los Permisos
● Lectura (r) ó (4)● Escritura (w) ó (2)● Ejecución (x) ó (1)
● Propietario del archivo● Grupo de usuarios● Cualquier usuario
www.quantika14.com || WORDPRESSA 18
Estructura y permisos
● Directorio Raiz (0755)
● Wp-config.php (0644)
● WP-ADMIN● WP-INCLUDES● WP-CONTENT
0755Un usuario puede modificar los permisos
Desde su cliente FTP o desde elAdministrador de archivos de
Su panel de control
www.quantika14.com || WORDPRESSA 19
Proteger WP-CONFIG es nuestro deber
www.quantika14.com || WORDPRESSA 20
Con .htaccess
● # proteccion de wpconfig.php
● <files wp-config.php>● order allow,deny● deny from all● </files>
www.quantika14.com || WORDPRESSA 21
La cabaña no es segura...En caso de evasión es mejor que noeste el objetivo fuera... (wp-config)
www.quantika14.com || WORDPRESSA 22
Mover wp-configCreamos un php fuera con:
● <?php● define('DB_NAME', 'Nombre_BaseDatos'); // El
nombre de tu base de datos● define('DB_USER', 'Usuario'); // El usuario de MySQL● define('DB_PASSWORD', 'Password'); // password● define('DB_HOST', 'localhost'); // El servidor● $table_prefix = 'IMPORTANTE CAMBIARLO'; // el
prefijo de las tablas, casi siempre es wp_● ?>
www.quantika14.com || WORDPRESSA 23
En wp-config ponemos:
include('/home/usuario/RUTA/ejemplo.php');
www.quantika14.com || WORDPRESSA 24
En un ataque las ventanas y puertas cerradas con llave
● # limitar el acceso como administrador por IP desde el .HTACCESS
order deny, allow
allow from 1.2.3.4 (cambiar por vuestra IP)
deny from all (denegamos el acceso a todas las IPS menos la nuestra)
● En el caso de tener una ip dinám ica podemos usar una VPN (OpenVPN)
www.quantika14.com || WORDPRESSA 25
Otros consejos:
●Cambiar el Prefijo wp_ (“Dificulta” inyecciones sql)●Actualizar siempre: los plugins, las plantillas y el wordpress.●Hacer Backups de los archivos y base de datos.●Borrar los metadatos antes de subirlos.●Utilizar una buena contraseña y cambiarla habitualmente.
www.quantika14.com || WORDPRESSA 26
Plugins de Seguridad:
● Exploit Scanner.● Ultimate Security Checker● LockerPress (cambia la url del acceso a l backend)
● BETTER WP SECURITY (http://www.securitybydefault.com/2013/05/better-wp-security-completo-plugin-de.html)
www.quantika14.com || WORDPRESSA 27
www.quantika14.com || WORDPRESSA 28
Muchas Gracias...
● @JorgeWebsec● @quantika14
Www.quantika14.com
Top Related