Embed Size (px)
Citation preview
ILLO, ILLO, ILLO OTRO WORDPRESS DESACTUALIZADO
POR JORGE WEBSECWORDPRESSA.QUANTIKA14.COM
WORDPRESSA.QUANTIKA14.COM 2
TÍTULOINDICE
[¡] Autor[¡] ¿Qué es el proyecto WordPressA?[¡] ¿Qué es ILLOWP?
- Alexa top 1 millon - Detectar un WordPress- Vulnerabilidades- Soluciones
[¡] Datos y más datos...[¡] El público aplaude y grita sobre la belleza del ponente ;P
WORDPRESSA.QUANTIKA14.COM 3
TÍTULO
¿Quizás me recuerden de...?
WORDPRESSA.QUANTIKA14.COM 4
TÍTULO¿Quien es JORGE WEBSEC?
- Socio fundador de QuantiKa14 - Perito informático socio en APTAN - Creador del Proyecto WordPressA - Colaborador en Canal Sur Radio
@JorgeWebsec
WORDPRESSA.QUANTIKA14.COM 5
TÍTULO
WORDPRESSA.QUANTIKA14.COM 6
TÍTULO¿Qué tiene el proyecto WordPressA?
- Nació en 2013 con el objetivo de ordenar proyectos de WordPress en la empresa de QuantiKa14.- Documentación gratuita.- WordPressA Security Plugin.- WordPressA Challenge.- AbueloWP.
wordpressa.quantika14.com
WORDPRESSA.QUANTIKA14.COM 7
TÍTULO
WORDPRESSA.QUANTIKA14.COM 8
TÍTULO
Es un proyecto que está dentro de WordPressA y tiene 2 objetivos:
1. Concienciar en la seguridad de WordPress a través del análisis de un big data.
2. Crear una lanzadera de exploits de vulnerabilidades automatizada.
¿Qué es ILLOWP?
WORDPRESSA.QUANTIKA14.COM 9
TÍTULO
Usaremos:
- Python: para hacer los bots. - MongoDB: para almacenar los datos. - WordPress: para exponer los datos.
¿Qué vamos a usar?
WORDPRESSA.QUANTIKA14.COM 10
TÍTULO¿Qué es Alexa top web?
WORDPRESSA.QUANTIKA14.COM 11
TÍTULOCreamos top 1 millón
- Python- Modulos:
+ BeautifulSoup+ UrlLib2
https://github.com/Quantika14/illoWP/
- Python- Modulos:
+ BeautifulSoup+ UrlLib2
- Python- Modulos:
+ BeautifulSoup+ UrlLib2
- Python- Modulos:
+ BeautifulSoup+ UrlLib2
- Python- Modulos:
+ BeautifulSoup+ UrlLib2
WORDPRESSA.QUANTIKA14.COM 12
TÍTULO
- Cada bot tarda una medía de 2 segundos en analizar una web.- 1.000.000 webs = 2.000.000 seg- 33333,34 minutos = 555,56 horas- 555,56 horas = 23,15 días
No morir sentados...
WORDPRESSA.QUANTIKA14.COM 13
TÍTULOSolución
- Dividimos la lista en partes iguales.
- Creamos ejercito de bots.
WORDPRESSA.QUANTIKA14.COM 14
TÍTULOSolución
- Contratación de 2 vps en OVH = 10 €
- 10 bots funcionando paralelamente con 3 ips diferentes.
WORDPRESSA.QUANTIKA14.COM 15
TÍTULOCómo detectar un WP?
Versión 1: ● Buscamos “/wp-content/” en el
html● Buscamos link “xmlrpc.php”● Buscamos el Generator (obvius;)
Versión 2:● Buscamos “/wp-content/” y
comprobamos que tenga el mismo dominio que el target
● Hacemos una comprobación de directorios (aumenta mucho el tiempo)
● Extracción de la versión de los css● Estructura HTML – falsos positivos● Readme.html
WORDPRESSA.QUANTIKA14.COM 16
TÍTULOQué hacer para no ser detectados?
1. Quitar Generator: Editamos el archivo functions.php de nuestro tema y añadimos la siguiente línea: remove_action('wp_head', 'wp_generator');
2. Quitar readme.html
3. Cambiar ruta “wp-content”: ponemos en wp-config -> define( 'WP_CONTENT_DIR', 'NUEVA RUTA A WP-CONTENT' );
4. Cambiar “/wp-content/uploads”: define('UPLOADS', 'wp-content/archivos');
5. Cambiar acceso de administración:https://es.wordpress.org/plugins/search.php?type=term&q=hide+wp-admin
WORDPRESSA.QUANTIKA14.COM 17
TÍTULOEscáner de vulnerabilidades
WORDPRESSA.QUANTIKA14.COM 18
TÍTULO¿Cuántos WP hay?
Fuente: http://one.elpais.com/gracias-a-el-se-publica-la-cuarta-parte-de-las-webs-del-mundo-matt-mullenweg-fundador-de-wordpress/
WORDPRESSA.QUANTIKA14.COM 19
TÍTULO¿Cuántos WP hay?
Fuente: http://guiadeinternet.com/2014/04/el-22-de-las-webs-de-todo-el-mundo-utilizan-wordpress/
WORDPRESSA.QUANTIKA14.COM 20
TÍTULO¿Cuántos WP hay?
Fuente:https://www.40defiebre.com/estadisticas-wordpress/
WORDPRESSA.QUANTIKA14.COM 21
TÍTULO¿Cuantos WP hay?
En Alexa Top 1 millón de 2016:
4,2%
WORDPRESSA.QUANTIKA14.COM 22
TÍTULO¿Entonces qué pasa?
WORDPRESSA.QUANTIKA14.COM 23
TÍTULOY si...¿?
Fuente: https://es.wikipedia.org/wiki/WordPress
WORDPRESSA.QUANTIKA14.COM 24
TÍTULOPuede ser que...
1. Al ser el ranking 1 millon mundial el indice de WP baja al no usar cms
2. Seguramente los datos de WP usaran los subdominios de wordpress.com como una web
WORDPRESSA.QUANTIKA14.COM 25
TÍTULO¿Cuántos están actualizados?
Versión actualizada el 26/09/2016 → 4.6.1
Actualizado
No actualizado
63% No actualizado / 37% Actualizado
WORDPRESSA.QUANTIKA14.COM 26
TÍTULO¿Qué es el readme.html?
WORDPRESSA.QUANTIKA14.COM 27
TÍTULO¿Cuántos no tienen el readme.html?
Solo el 17% no tiene readme.html
El 83% tiene el readme.html
CON SIN
WORDPRESSA.QUANTIKA14.COM 28
TÍTULOAlexa WP Themes
1. divi - by Elegant Themes: https://www.cvedetails.com/cve/CVE-2015-1579/
2. Fashionistas
3. Avada | Responsive Multi-Purpose Theme
4. BeTheme - Responsive Multi-Purpose WordPress Theme
5. Newspaper
WORDPRESSA.QUANTIKA14.COM 29
TÍTULO
WORDPRESSA.QUANTIKA14.COM 30
TÍTULOCONCLUSIONES
1. Los usuarios de WordPress no son conscientes y responsables de la seguridad de sus web
2. WordPress debe trabajar más en la actualización automática en plugins y themes
3. WordPress debe borrar el readme.html y generator por defecto
4. Viendo la facilidad de los ataques masivos entiendo la gran cantidad de intrusiones que se llevan acabo al día.
WORDPRESSA.QUANTIKA14.COM 31
TÍTULO¿ALGUNA PREGUNTA?
WORDPRESSA.QUANTIKA14.COM 32
TÍTULO
MUCHAS GRACIAS
