1. WordPress vs Hacker Descubra o que ainda preciso saber para
blindar seu CMS
2. Quem somos? Thiago DiebLenon Leite
3. ASZone www.aszone.com.br
4. Como blindar o WordPress
5. Fonte https://wappalyzer.com/categories/cms (01/06/2015)
Atual realidade
6. 100% seguro == false; WordPress ou CMS prprio? WordPress
Fcil acoplamento; Estvel; Rpida resposta da comunidade; WordPress
seguro ?
7. Plugins e temas? Todos os Plugins e Temas so do
WordPress.org == false; Utilidade X Segurana == (?); Pagos X No
pagos == (?); Quanto ++ Plugins == ++ Risco; Temas ou plugins
piratas == ++ Risco;
24. Utilize senha HARDCORE; Deixe instalado somente Plugins e
Temas que vai utilizar; No utilize vrios plugins de segurana; Antes
de instalar pesquise sobre os plugins e temas; Mantenha o core,
temas e plugins atualizados; Ative autenticao de 2 etapas; Monitore
constatemente; recomendado alterar do nome do usurio admin ?
Previnir - Easy
25. Previnir - Medium Altere o "Modo Debug" para false; No
habilite a funo de edio dos temas e plugins; Aplique bloqueio de
Brute force (WAF/Plugin); Bloquei visualizao de pasta; Configure
adequadamente as permisses de pastas; Sempre utilize robots.txt;
mais seguro comprar temas ou plugins ?
26. Previnir - Hard Usar as constantes no wp-config:
WP_CONTENT_DIR, WP_PLUGIN_DIR, UPLOADS; WP_AUTO_UPDATE_CORE,
WP_HTTP_BLOCK_EXTERNAL; Configurar camadas de segurana na infra;
Aplique pentest no prprio site: Use WpScan; Use Metaexploit; Altere
ou bloquei o endereo do wp-admin/; Bloquei identificao de
usurios;
27. Mudana de conceito Siga os padres de criao de temas e
plugins do WordPress; Implemente testes unitrios; Pratique "Par
Programming"; Pratique "Code Review"; Pentest em ciclos evolutivos;
Utilize metodologia de desenvolvimento seguro;
28. Proteo alm do WordPress
29. WpScan -> Scan de vunerabilidades em WordPress.
http://wpscan.org/ SqlMap -> Explorao de sql injection.
http://sqlmap.org/ MetaSploit -> Explorao de vulnerabilidades.
http://www.metasploit.com/ John the Ripper -> Ferramenta de
Brute Force, e quebra de hashs. http://www.openwall.com/john/
InurlBr -> Buscar customizadas em Massa.
https://github.com/googleinurl/SCANNER-INURLBR Ferramentas