1. ILLO, ILLO, ILLO OTRO
WORDPRESS DESACTUALIZADO
POR JORGE WEBSEC
WORDPRESSA.QUANTIKA14.COM
2. WORDPRESSA.QUANTIKA14.COM 2
TÍTULO
INDICE
[¡] Autor
[¡] ¿Qué es el proyecto WordPressA?
[¡] ¿Qué es ILLOWP?
- Alexa top 1 millon
- Detectar un WordPress
- Vulnerabilidades
- Soluciones
[¡] Datos y más datos...
[¡] El público aplaude y grita sobre la
belleza del ponente ;P
4. WORDPRESSA.QUANTIKA14.COM 4
TÍTULO¿Quien es JORGE WEBSEC?
- Socio fundador de QuantiKa14
- Perito informático socio en APTAN
- Creador del Proyecto WordPressA
- Colaborador en Canal Sur Radio
@JorgeWebsec
6. WORDPRESSA.QUANTIKA14.COM 6
TÍTULO
¿Qué tiene el proyecto
WordPressA?
- Nació en 2013 con el objetivo de
ordenar proyectos de WordPress en la
empresa de QuantiKa14.
- Documentación gratuita.
- WordPressA Security Plugin.
- WordPressA Challenge.
- AbueloWP.
wordpressa.quantika14.com
8. WORDPRESSA.QUANTIKA14.COM 8
TÍTULO
Es un proyecto que está dentro de
WordPressA y tiene 2 objetivos:
1. Concienciar en la seguridad de
WordPress a través del análisis de un
big data.
2. Crear una lanzadera de exploits de
vulnerabilidades automatizada.
¿Qué es ILLOWP?
12. WORDPRESSA.QUANTIKA14.COM 12
TÍTULO
- Cada bot tarda una medía de 2 segundos en
analizar una web.
- 1.000.000 webs = 2.000.000 seg
- 33333,34 minutos = 555,56 horas
- 555,56 horas = 23,15 días
No morir sentados...
15. WORDPRESSA.QUANTIKA14.COM 15
TÍTULOCómo detectar un WP?
Versión 1:
●
Buscamos “/wp-content/” en el
html
●
Buscamos link “xmlrpc.php”
●
Buscamos el Generator (obvius;)
Versión 2:
●
Buscamos “/wp-content/” y
comprobamos que tenga el
mismo dominio que el target
●
Hacemos una comprobación de
directorios (aumenta mucho el
tiempo)
●
Extracción de la versión de los css
●
Estructura HTML – falsos positivos
●
Readme.html
16. WORDPRESSA.QUANTIKA14.COM 16
TÍTULOQué hacer para no ser
detectados?
1. Quitar Generator: Editamos el archivo functions.php de nuestro tema y
añadimos la siguiente línea: remove_action('wp_head', 'wp_generator');
2. Quitar readme.html
3. Cambiar ruta “wp-content”: ponemos en wp-config ->
define( 'WP_CONTENT_DIR', 'NUEVA RUTA A WP-CONTENT' );
4. Cambiar “/wp-content/uploads”:
define('UPLOADS', 'wp-content/archivos');
5. Cambiar acceso de administración:
https://es.wordpress.org/plugins/search.php?type=term&q=hide+wp-admin
24. WORDPRESSA.QUANTIKA14.COM 24
TÍTULOPuede ser que...
1. Al ser el ranking 1 millon mundial el indice de
WP baja al no usar cms
2. Seguramente los datos de WP usaran los
subdominios de wordpress.com como una web
30. WORDPRESSA.QUANTIKA14.COM 30
TÍTULO
CONCLUSIONES
1. Los usuarios de WordPress no son conscientes y
responsables de la seguridad de sus web
2. WordPress debe trabajar más en la
actualización automática en plugins y themes
3. WordPress debe borrar el readme.html y
generator por defecto
4. Viendo la facilidad de los ataques masivos
entiendo la gran cantidad de intrusiones que se
llevan acabo al día.