Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.
Hardening en Wordpress
Jorge WebSec
¿Quién soy yo?

●
●

●

Jorge Websec

●

Autor del blog
www.websec.es

●

@Jorgewebsec

●

Socio fundador de
QuantiKa14
Fu...
¿Qué es el Hardening?
En seguridad informática, es el
proceso de asegurar un sistema
mediante la reducción de
vulnerabilid...
¿Qué es Wordpressa?
●

Un laboratorio para aprender
técnicas ofensivas y defensivas.
http://www.websec.es/2013/07/04/wo
rd...
Hardening en Wordpress
Wordpressa.quantika14.com

www.quantika14.com || WORDPRESSA

5
Cada vez usan más
●

Empresas

●

Gubernamentales

●

Blogs

●

Foros

●

Páginas personales

●

Comunidades etc

www.quan...
Wordpress sin Fortificar:

www.quantika14.com || WORDPRESSA

7
Wordpress Fortificado:

www.quantika14.com || WORDPRESSA

8
¿Y por qué a mí? Si yo no tengo
nada
●

●
●

Atacaran grandes
empresas.
Webs conocidas.
Webs con datos
valiosos.

www.quan...
Qué motiva a un atacante:
●

Ego

●

Malware

●

Botnet

●

Información

●

Almacenar

●

Servicios

www.quantika14.com ||...
¿Qué hace?

www.quantika14.com || WORDPRESSA

11
1.La versión de Wordpress

●
●

Mirar el Readme.html
Mirar el meta
generator en el HTML
de la página.

www.quantika14.com ...
Solución:
●

Quitar Meta Generator:
–

Añadir en el archivo “functions.php” de tu plantilla:
●

remove_action('wp_head', '...
Si no lo borramos...

www.quantika14.com || WORDPRESSA

14
Si lo borramos...
●

●

El atacante tendrá
que comerse la
cabeza un poquito
más...
Pero cada versión de
wordpress usa dife...
Webs con Readme:
http://blog.ebay.com/readme.html [3.6.1]
●View-source:http://blog.nexius.es/ [3.6.1]
●http://www.regalopu...
Los Permisos
●

Lectura (r) ó (4)

●

Propietario del archivo

●

Escritura (w) ó (2)

●

Grupo de usuarios

●

Ejecución ...
Estructura y permisos
●

●

Directorio Raiz
(0755)
Wp-config.php
(0644)
Un usuario puede modificar los permisos
Desde su c...
Proteger WP-CONFIG es nuestro
deber

www.quantika14.com || WORDPRESSA

19
Con .htaccess
●

# proteccion de
wpconfig.php

●

<files wp-config.php>

●

order allow,deny

●

deny from all

●

</files...
La cabaña no es segura...
En caso de evasión es mejor que no
este el objetivo fuera... (wp-config)

www.quantika14.com || ...
Mover wp-config
Creamos un php fuera con:
●
●

<?php
define('DB_NAME', 'Nombre_BaseDatos');
de tu base de datos

// El nom...
En wp-config ponemos:
include('/home/usuario/RUTA/ejemplo.php');

www.quantika14.com || WORDPRESSA

23
En un ataque las ventanas y
puertas cerradas con llave
●

# limitar el acceso como administrador por IP desde el .HTACCESS...
Otros consejos:
Cambiar el Prefijo wp_ (“Dificulta” inyecciones sql)
●Actualizar siempre: los plugins, las plantillas y
el...
Plugins de Seguridad:
●

Exploit Scanner.

●

Ultimate Security Checker

●

LockerPress (cambia la url del acceso al backe...
www.quantika14.com || WORDPRESSA

27
Muchas Gracias...
●

@JorgeWebsec

●

@quantika14

Www.quantika14.com

www.quantika14.com || WORDPRESSA

28
Próxima SlideShare
Cargando en…5
×

Wordpressa - Hardening en Wordpress

1.542 visualizaciones

Publicado el

Explicación del proyecto Wordpressa y algunos consejos de seguridad en wordpress para no caer como víctima en un ciber ataque.

Publicado en: Tecnología
  • Sé el primero en comentar

Wordpressa - Hardening en Wordpress

  1. 1. Hardening en Wordpress Jorge WebSec
  2. 2. ¿Quién soy yo? ● ● ● Jorge Websec ● Autor del blog www.websec.es ● @Jorgewebsec ● Socio fundador de QuantiKa14 Fundador del FSI Creador del proyecto WordPressa www.quantika14.com || WORDPRESSA 2
  3. 3. ¿Qué es el Hardening? En seguridad informática, es el proceso de asegurar un sistema mediante la reducción de vulnerabilidades, buenas configuraciones... ● Poner barreras y dificultades para que un atacante no pueda conseguir el objetivo de su ataque. www.quantika14.com || WORDPRESSA 3
  4. 4. ¿Qué es Wordpressa? ● Un laboratorio para aprender técnicas ofensivas y defensivas. http://www.websec.es/2013/07/04/wo rdpressa-laboratorio-wordpress/ ● Auditorías de seguridad en Wordpress. ● Manuales: – Empezando con Wordpress – Hardening – Exploiting – Creación de una plantilla – Creación de plugins www.quantika14.com || WORDPRESSA 4
  5. 5. Hardening en Wordpress Wordpressa.quantika14.com www.quantika14.com || WORDPRESSA 5
  6. 6. Cada vez usan más ● Empresas ● Gubernamentales ● Blogs ● Foros ● Páginas personales ● Comunidades etc www.quantika14.com || WORDPRESSA 6
  7. 7. Wordpress sin Fortificar: www.quantika14.com || WORDPRESSA 7
  8. 8. Wordpress Fortificado: www.quantika14.com || WORDPRESSA 8
  9. 9. ¿Y por qué a mí? Si yo no tengo nada ● ● ● Atacaran grandes empresas. Webs conocidas. Webs con datos valiosos. www.quantika14.com || WORDPRESSA 9
  10. 10. Qué motiva a un atacante: ● Ego ● Malware ● Botnet ● Información ● Almacenar ● Servicios www.quantika14.com || WORDPRESSA 10
  11. 11. ¿Qué hace? www.quantika14.com || WORDPRESSA 11
  12. 12. 1.La versión de Wordpress ● ● Mirar el Readme.html Mirar el meta generator en el HTML de la página. www.quantika14.com || WORDPRESSA 12
  13. 13. Solución: ● Quitar Meta Generator: – Añadir en el archivo “functions.php” de tu plantilla: ● remove_action('wp_head', 'wp_generator'); #Muestra el generador XHTML que se genera en el gancho wp_head. #Borramos la función wp_generator enganchada wp_head ● Readme.html – Lo borramos o lo modificamos manualmente. www.quantika14.com || WORDPRESSA 13
  14. 14. Si no lo borramos... www.quantika14.com || WORDPRESSA 14
  15. 15. Si lo borramos... ● ● El atacante tendrá que comerse la cabeza un poquito más... Pero cada versión de wordpress usa diferentes tipos de archivos. www.quantika14.com || WORDPRESSA 15
  16. 16. Webs con Readme: http://blog.ebay.com/readme.html [3.6.1] ●View-source:http://blog.nexius.es/ [3.6.1] ●http://www.regalopublicidad.com/blog/readme.html [3.6] ●http://www.blog.iberdrola.com/readme.html [3.5] ●http://psoesevilla.es/readme.html [3.5] ●View-source:http://ppsevilla.com/ [3.4] ●http://blog.pepsico.es/readme.html [3.2.1] ●view-source:telefonica.com.ec/blog/ [3.0.4] ●view-source:http://www.andalucesdiario.es/ ●http://historiadelartemalaga.es/congresos/teoriayliteraturaartistica/readme.html ●view-source:http://www.cuartopoder.es/tribuna/ ● www.quantika14.com || WORDPRESSA 16
  17. 17. Los Permisos ● Lectura (r) ó (4) ● Propietario del archivo ● Escritura (w) ó (2) ● Grupo de usuarios ● Ejecución (x) ó (1) ● Cualquier usuario www.quantika14.com || WORDPRESSA 17
  18. 18. Estructura y permisos ● ● Directorio Raiz (0755) Wp-config.php (0644) Un usuario puede modificar los permisos Desde su cliente FTP o desde el Administrador de archivos de Su panel de control ● WP-ADMIN ● WP-INCLUDES ● WP-CONTENT 0755 www.quantika14.com || WORDPRESSA 18
  19. 19. Proteger WP-CONFIG es nuestro deber www.quantika14.com || WORDPRESSA 19
  20. 20. Con .htaccess ● # proteccion de wpconfig.php ● <files wp-config.php> ● order allow,deny ● deny from all ● </files> www.quantika14.com || WORDPRESSA 20
  21. 21. La cabaña no es segura... En caso de evasión es mejor que no este el objetivo fuera... (wp-config) www.quantika14.com || WORDPRESSA 21
  22. 22. Mover wp-config Creamos un php fuera con: ● ● <?php define('DB_NAME', 'Nombre_BaseDatos'); de tu base de datos // El nombre ● define('DB_USER', 'Usuario'); ● define('DB_PASSWORD', 'Password'); // password ● define('DB_HOST', 'localhost'); ● ● // El usuario de MySQL // El servidor $table_prefix = 'IMPORTANTE CAMBIARLO'; // el prefijo de las tablas, casi siempre es wp_ ?> www.quantika14.com || WORDPRESSA 22
  23. 23. En wp-config ponemos: include('/home/usuario/RUTA/ejemplo.php'); www.quantika14.com || WORDPRESSA 23
  24. 24. En un ataque las ventanas y puertas cerradas con llave ● # limitar el acceso como administrador por IP desde el .HTACCESS order deny, allow allow from 1.2.3.4 (cambiar por vuestra IP) deny from all (denegamos el acceso a todas las IPS menos la nuestra) ● En el caso de tener una ip dinámica podemos usar una VPN (OpenVPN) www.quantika14.com || WORDPRESSA 24
  25. 25. Otros consejos: Cambiar el Prefijo wp_ (“Dificulta” inyecciones sql) ●Actualizar siempre: los plugins, las plantillas y el wordpress. ●Hacer Backups de los archivos y base de datos. ●Borrar los metadatos antes de subirlos. ●Utilizar una buena contraseña y cambiarla habitualmente. ● www.quantika14.com || WORDPRESSA 25
  26. 26. Plugins de Seguridad: ● Exploit Scanner. ● Ultimate Security Checker ● LockerPress (cambia la url del acceso al backend) ● BETTER WP SECURITY (http://www.securitybydefault.com/2013/05/better-wpsecurity-completo-plugin-de.html) www.quantika14.com || WORDPRESSA 26
  27. 27. www.quantika14.com || WORDPRESSA 27
  28. 28. Muchas Gracias... ● @JorgeWebsec ● @quantika14 Www.quantika14.com www.quantika14.com || WORDPRESSA 28

×