Embed Size (px)
Citation preview
SEGURIDAD EN WORDPRESSBY @JORGEWEBSEC
10/29/2015www.quantika14.com 1
¿QUIÉN SOY?
• SOCIO FUNDADOR DE LA EMPRESA DE
SEGURIDAD INFORMÁTICA
@QUANTIKA14
• PENTESTER /EXPERTO EN SEGURIDAD
WEB.
• FUNDADOR DEL PROYECTO
WORDPRESSA.
• COLABORADOR EN LA RADIO DE
CANALSUR LOS MARTES A LAS 12:00
• ORGANIZADOR DEL MEETUP HACKING
SEVILLA Y PYTHON SEVILLA
10/29/2015www.quantika14.com 2
@JorgeWebsec
TAMBIÉN SOY DUEÑO DE UN MARAVILLOSO RINCÓN DE SEVILLA
INVITADOS A UNA CERVEZA LAS MEJORES PREGUNTAS…
10/29/2015www.quantika14.com 3
PROYECTO WORDPRESSA
EXPERTOS EN SEGURIDAD WP
• ANEXO PRESENTACIÓN:
HTTP://ES.SLIDESHARE.NET/QUANTIKACATORCE/P
ROYECTO-WORDPRESSA-
QUANTIKA14?QID=EF7D373A-34BF-433D-
A742-
606834817924&V=QF1&B=&FROM_SEARCH
=1
10/29/2015www.quantika14.com 4
LA SEGURIDAD INFORMÁTICA
ES EL PROCESO DE ASEGURAR UN SISTEMA REDUCIENDO
LAS VULNERABILIDADES, USANDO UNAS BUENAS
CONFIGURACIONES Y CONCIENCIANDO DE LA
PROTECCIÓN DE LOS DATOS.
10/29/2015www.quantika14.com 5
FORTIFICACIÓN
PONER BARRERAS Y DIFICULTADES PARA QUE UN
ATACANTE NO PUEDE REALIZAR UNA INTRUSIÓN EN LOS
SISTEMAS.
LA SEGURIDAD DE INFORMACIÓN ES EL FUTURO
YA PRESENTE…
10/29/2015www.quantika14.com 6
LA TECNOLOGÍA WEB
• INTRANETS DE GRANDES ALMACENES, EMPRESAS, PEQUEÑOS NEGOCIOS…
• BANCOS…
• SUPERMERCADOS Y TIENDAS ONLINE…
• EMPRESAS PÚBLICAS…
• AYUNTAMIENTOS…
• PARTIDOS POLÍTICOS…
10/29/2015www.quantika14.com 7
Y MUCHOS, MUCHOS USAN WORDPRESS
¿QUIÉNES LO USARÁN?
10/29/2015www.quantika14.com 8
PARTIDOS POLÍTICOS
• PODEMOS.INFO
• PSOEANDALUCIA.ES
• VOXESPANA.ES
• PPMADRID.ES
10/29/2015www.quantika14.com 9
PERIODICOS ONLINE
• ANDALUCIADIARIO.ES
• ELDIARIO.ES/ESCOLAR
• LAVANGUARDIA.COM
10/29/2015www.quantika14.com 10
EMPRESAS…
• EBAY
• PLAYSTATION
• FIREFOX
• OUTBRAIN
10/29/2015www.quantika14.com 11
OTROS…
• JUNTA DE ANDALUCIA
• JUSTIN BIEBER
• ELTIEMPO.ES
10/29/2015www.quantika14.com 12
10/29/2015www.quantika14.com 13
10/29/2015www.quantika14.com 14
ME TEMO QUE SI,
YUJU
¿POR QUÉ?
• MUCHOS DATOS DE TODOS ESTÁN
ALMACENADOS EN PÁGINAS WEBS CON
WORDPRESS
• UNA MALA SEGURIDAD PUEDE CONVERTIR UNA
WEB EN UNA MAQUINA DE ATAQUE CONTRA
OTRAS.(BOTS)
• ALMACENAMIENTO DE MALWARE.
• ALMACENAMIENTO DE DATOS (PORNOGRAFÍA,
FAKES, ETC)
10/29/2015www.quantika14.com 15
SI TE INTERESA LA SEGURIDAD SIGUE EN TWITTER:
@WPSECURITY_ES
• MULTIHOST CON BUENA SEGURIDAD.
• UNA INSTALACIÓN CON BUENAS PAUTAS DE
SEGURIDAD.
• USO DE PLUGINS Y THEMES NO VULNERABLES.
• ACTUALIZACIÓN CONSTANTE.
• CORTAFUEGOS Y ANTIVIRUS…
• COPIAS DE SEGURIDAD
10/29/2015www.quantika14.com 16
¿COMPARTIR HOSTING?
• DE ENTRADA NO ES BUENA IDEA.
• SI NO EXISTE UNA BUENA SEGURIDAD UN
REVERSE IP PUEDE SER MORTAL. TU WEB NO,
PERO TU VECINO????
• SEGÚN YO:
• CDMON
• COMALIS
10/29/2015www.quantika14.com 17
10/29/2015www.quantika14.com 18
UNA BUENA INSTALACIÓN ES UN COMINZO
10/29/2015www.quantika14.com 19
INSTALACIÓN
• PREFIJO DE BASE DE DATOS LARGO, ALFANUMERICO Y SIMBOLOS (SI PUEDES)
• EL USER Y PASS DEL USUARIO MYSQL NO SEA ROOT / ROOT (POR FAVOR)
10/29/2015www.quantika14.com 20
PERMISOS EN WP
• 0644 PARA LOS NIVELES SUPERIORES, ESTO ES LA RAÍZ DEL SITIO Y TODOS LOS FICHEROS QUE
ESTÉN AHÍ SITUADOS.
• 0755 PARA LAS TRES CARPETAS (WP-ADMIN, WP-CONTENT, WP-INCLUDES).
• 0755 PARA LAS CARPETAS UPLOADS Y PLUGINS (EN ALGUNOS CASOS 775, DEPENDE DE
CONFIGURACIÓN DEL SERVIDOR)
• 0666 PARA TU TEMA DE WORDPRESS EN CASO DE QUE QUIERAS QUE SEA EDITABLE DESDE EL
ESCRITORIO.
10/29/2015www.quantika14.com 21
PLUGIN
FILECHECKER
10/29/2015www.quantika14.com 22
WP-CONFIG.PHP
• DEFINE(‘DISALLOW_FILE_EDIT’, TRUE); //BLOQUEA MODIFICACIONES EN ARCHIVOS A
TRAVÉS DEL EDITOR...
• DEFINE(‘DISALLOW_FILE_MODS’,TRUE); //NO PERMITE SUBIR PLUGINS Y THEMES.
• SI EL SERVIDOR ACEPTA SSL --> DEFINE(‘FORCE_SSL_ADMIN’, TRUE);
10/29/2015www.quantika14.com 23
CAMBIAR DIRECTORIO WP-CONFIG
• QUITA LA INFORMACIÓN DE LA DB Y SITÚALA EN
UN DIRECTORIO PROTEGIDO.
• <?PHP INCLUDE("/HOME/USER/WP-
CONFIG.PHP");?>
10/29/2015www.quantika14.com 24
HTACCESS
• EVITAR ACCESO AL WP-CONFIG
• DESACTIVAR TRACE DE HTTP
• EVITAR VISUALIZACIÓN Y EJECUCIÓN
DE DIRECTORIOS
• FILTRADO DE IP??
10/29/2015www.quantika14.com 25
EN CASO DE ATAQUE ZOMBIE…
DEBEMOS PROTEGERNOS
10/29/2015www.quantika14.com 26
LIMITAR ACCESO CON HTACCESS
BLOQUEAR IPS PERMITIR A X IP
10/29/2015www.quantika14.com 27
PROTEGERSE CONTRA FUERZA BRUTA
CONTRA LOS HULK ZOMBIES LO MEJOR ES…
10/29/2015www.quantika14.com 28
CONTRA UN ATAQUE DE FUERA BRUTA
• LIMITAR LAS PETICIONES DE INTENTOS A 3 POR EJEMPLO.
• BANNEAOS DE IPS
• UN BUEN CAPTCHA
• CAMBIAR LOS DIRECTORIOS DE WORDPRESS
10/29/2015www.quantika14.com 29
ITHEMES SECURITY CONTRA BRUTE FORCE
10/29/2015www.quantika14.com 30
ESCONDER LOGIN
10/29/2015www.quantika14.com 31
PLUGIN CAPTCHA ON LOGIN
10/29/2015www.quantika14.com 32
NO USES PLUGINS VULNERABLES
WORDPRESSA EN ESO ES
EL MEJOR BASE DE DATOS PROPIA
10/29/2015www.quantika14.com 33
BASE DE DATOS DE PLUGINS Y THEMES
VULNERABLES
• HTTPS://WPVULNDB.COM/
• HTTP://WORDPRESSA.QUANTIKA14.COM/REPOSITORY
• HTTP://WWW.1337DAY.COM/
• HTTPS://WWW.EXPLOIT-DB.COM/
10/29/2015www.quantika14.com 34
WORDPRESSA ES MUCHO MÁS
DOCUMENTACIÓN, FORMACIÓN, PLUGINS DE SEGURIDAD, TUTORIALES, LABORATORIOS, ETC
10/29/2015www.quantika14.com 35
WORDPRESSA CHALLENGE
UN PLUGIN PARA APRENDER A ATACAR LOS WORDPRESS…
10/29/2015www.quantika14.com 36
COMO SABER SI TENGO MALWARE FÁCILMENTE…
• - HTTPS://SITECHECK.SUCURI.NET/
• - CODEGUARD
• - PLUGINS ANTIVIRUS
10/29/2015www.quantika14.com 37
PLUGINS ANTIVIRUS
• HTTPS://WORDPRESS.ORG/PLUGINS/ANTIVIRUS/
• ITHEMES SECURITY
• HTTPS://WORDPRESS.ORG/PLUGINS/WP-ANTIVIRUS-SITE-PROTECTION/
10/29/2015www.quantika14.com 38
COPIAS DE
SEGURIDAD
LA MEJOR COPIA DE SEGURIDAD HAZLA
TU E INTENTA QUE SEA A MENUDO.
SI NO, ITHEMES SECURITY Y XCLONER
PLUGINS.
10/29/2015www.quantika14.com 39
PREGUNTAS
10/29/2015www.quantika14.com 40
Contacto:
- Twiiter: @JorgeWebsec
- Quantika14:
- Twiiter: @QuantiKa14
- www.quantika14.com
SEGURIDAD EN
WORDPRESS EN SEVILLA:
WORDPRESSA.QUANTIKA14.COM
GRACIAS POR VUESTRA ATENCIÓN
Y RECUERDEN QUE CADA VEZ QUE SE DICE “CIBER” UNIDO A OTRA PALABRA MUERE UN GATITO.
10/29/2015www.quantika14.com 41
Y VIVA…
