Explicación del proyecto Wordpressa y algunos consejos de seguridad en wordpress para no caer como víctima en un ciber ataque.

1. Hardening en Wordpress
Jorge WebSec

2. ¿Quién soy yo?
●
●
●
Jorge Websec
●
Autor del blog
www.websec.es
●
@Jorgewebsec
●
Socio fundador de
QuantiKa14
Fundador del FSI
Creador del proyecto
WordPressa
www.quantika14.com || WORDPRESSA
2

3. ¿Qué es el Hardening?
En seguridad informática, es el
proceso de asegurar un sistema
mediante la reducción de
vulnerabilidades, buenas
configuraciones...
●
Poner barreras y dificultades para que un
atacante no pueda conseguir el objetivo de
su ataque.
www.quantika14.com || WORDPRESSA
3

4. ¿Qué es Wordpressa?
●
Un laboratorio para aprender
técnicas ofensivas y defensivas.
http://www.websec.es/2013/07/04/wo
rdpressa-laboratorio-wordpress/
●
Auditorías de
seguridad en
Wordpress.
●
Manuales:
–
Empezando con Wordpress
–
Hardening
–
Exploiting
–
Creación de una plantilla
–
Creación de plugins
www.quantika14.com || WORDPRESSA
4

5. Hardening en Wordpress
Wordpressa.quantika14.com
www.quantika14.com || WORDPRESSA
5

6. Cada vez usan más
●
Empresas
●
Gubernamentales
●
Blogs
●
Foros
●
Páginas personales
●
Comunidades etc
www.quantika14.com || WORDPRESSA
6

7. Wordpress sin Fortificar:
www.quantika14.com || WORDPRESSA
7

8. Wordpress Fortificado:
www.quantika14.com || WORDPRESSA
8

9. ¿Y por qué a mí? Si yo no tengo
nada
●
●
●
Atacaran grandes
empresas.
Webs conocidas.
Webs con datos
valiosos.
www.quantika14.com || WORDPRESSA
9

10. Qué motiva a un atacante:
●
Ego
●
Malware
●
Botnet
●
Información
●
Almacenar
●
Servicios
www.quantika14.com || WORDPRESSA
10

11. ¿Qué hace?
www.quantika14.com || WORDPRESSA
11

12. 1.La versión de Wordpress
●
●
Mirar el Readme.html
Mirar el meta
generator en el HTML
de la página.
www.quantika14.com || WORDPRESSA
12

13. Solución:
●
Quitar Meta Generator:
–
Añadir en el archivo “functions.php” de tu plantilla:
●
remove_action('wp_head', 'wp_generator');
#Muestra el generador XHTML que se genera en el gancho wp_head.
#Borramos la función wp_generator enganchada wp_head
●
Readme.html
–
Lo borramos o lo modificamos manualmente.
www.quantika14.com || WORDPRESSA
13

14. Si no lo borramos...
www.quantika14.com || WORDPRESSA
14

15. Si lo borramos...
●
●
El atacante tendrá
que comerse la
cabeza un poquito
más...
Pero cada versión de
wordpress usa diferentes
tipos de archivos.
www.quantika14.com || WORDPRESSA
15

16. Webs con Readme:
http://blog.ebay.com/readme.html [3.6.1]
●View-source:http://blog.nexius.es/ [3.6.1]
●http://www.regalopublicidad.com/blog/readme.html [3.6]
●http://www.blog.iberdrola.com/readme.html [3.5]
●http://psoesevilla.es/readme.html [3.5]
●View-source:http://ppsevilla.com/ [3.4]
●http://blog.pepsico.es/readme.html [3.2.1]
●view-source:telefonica.com.ec/blog/ [3.0.4]
●view-source:http://www.andalucesdiario.es/
●http://historiadelartemalaga.es/congresos/teoriayliteraturaartistica/readme.html
●view-source:http://www.cuartopoder.es/tribuna/
●
www.quantika14.com || WORDPRESSA
16

17. Los Permisos
●
Lectura (r) ó (4)
●
Propietario del archivo
●
Escritura (w) ó (2)
●
Grupo de usuarios
●
Ejecución (x) ó (1)
●
Cualquier usuario
www.quantika14.com || WORDPRESSA
17

18. Estructura y permisos
●
●
Directorio Raiz
(0755)
Wp-config.php
(0644)
Un usuario puede modificar los permisos
Desde su cliente FTP o desde el
Administrador de archivos de
Su panel de control
●
WP-ADMIN
●
WP-INCLUDES
●
WP-CONTENT
0755
www.quantika14.com || WORDPRESSA
18

19. Proteger WP-CONFIG es nuestro
deber
www.quantika14.com || WORDPRESSA
19

20. Con .htaccess
●
# proteccion de
wpconfig.php
●
<files wp-config.php>
●
order allow,deny
●
deny from all
●
</files>
www.quantika14.com || WORDPRESSA
20

21. La cabaña no es segura...
En caso de evasión es mejor que no
este el objetivo fuera... (wp-config)
www.quantika14.com || WORDPRESSA
21

22. Mover wp-config
Creamos un php fuera con:
●
●
<?php
define('DB_NAME', 'Nombre_BaseDatos');
de tu base de datos
// El nombre
●
define('DB_USER', 'Usuario');
●
define('DB_PASSWORD', 'Password'); // password
●
define('DB_HOST', 'localhost');
●
●
// El usuario de MySQL
// El servidor
$table_prefix = 'IMPORTANTE CAMBIARLO'; // el
prefijo de las tablas, casi siempre es wp_
?>
www.quantika14.com || WORDPRESSA
22

23. En wp-config ponemos:
include('/home/usuario/RUTA/ejemplo.php');
www.quantika14.com || WORDPRESSA
23

24. En un ataque las ventanas y
puertas cerradas con llave
●
# limitar el acceso como administrador por IP desde el .HTACCESS
order deny, allow
allow from 1.2.3.4 (cambiar por vuestra IP)
deny from all (denegamos el acceso a todas las IPS menos la nuestra)
●
En el caso de tener una ip dinámica podemos
usar una VPN (OpenVPN)
www.quantika14.com || WORDPRESSA
24

25. Otros consejos:
Cambiar el Prefijo wp_ (“Dificulta” inyecciones sql)
●Actualizar siempre: los plugins, las plantillas y
el wordpress.
●Hacer Backups de los archivos y base de
datos.
●Borrar los metadatos antes de subirlos.
●Utilizar una buena contraseña y cambiarla
habitualmente.
●
www.quantika14.com || WORDPRESSA
25

26. Plugins de Seguridad:
●
Exploit Scanner.
●
Ultimate Security Checker
●
LockerPress (cambia la url del acceso al backend)
●
BETTER WP SECURITY
(http://www.securitybydefault.com/2013/05/better-wpsecurity-completo-plugin-de.html)
www.quantika14.com || WORDPRESSA
26

27. www.quantika14.com || WORDPRESSA
27

28. Muchas Gracias...
●
@JorgeWebsec
●
@quantika14
Www.quantika14.com
www.quantika14.com || WORDPRESSA
28