wordcamp taller seguridad wordpress

Click here to load reader

Post on 13-Apr-2017

264 views

Category:

Internet

2 download

Embed Size (px)

TRANSCRIPT

  • Taller de Seguridad bsica en WordPress

    #WCSevilla16 @OWASP_Sevilla

  • # WHOAMI

    Ramn Salado

    @ramon_salado

    Juan Jos Domenech

    @juanjodomenech

    #WCSevilla16 @OWASP_Sevilla

  • # OWASP

    Organizacin sin nimo de lucro a nivel mundial, dedicada a mejorar la seguridad de las aplicaciones web

    Cualquiera puede participar en OWASP, todos sus proyectos y documentacin estn disponibles gratuitamente

    #WCSevilla16 @OWASP_Sevilla

  • # OWASP SEVILLA

    Organizamos un evento mensual abierto a todo el que quiera participar

    Proyectos: Divulgacin sobre Seguridad y Traduccin GUA DE TESTING 4

    #WCSevilla16 @OWASP_Sevilla

  • # OWASP, PRINCIPALES PROYECTOS

    #WCSevilla16 @OWASP_Sevilla

    https://www.owasp.org/index.php/File:Reverse_Engineering_Arsenals.pnghttp://www.securitydistro.com/https://www.owasp.org/images/4/4a/Banner_OWASP_Training_page.gif

  • # SEGURIDAD

    #WCSevilla16 @OWASP_Sevilla

    Equipos seguros

    Comunicaciones Seguras (wifi, vpn, )

    Contraseas robustas (doble factor, cambios peridicos, )

    Precauciones BYOD y teletrabajo

    Es WordPress inseguro?

    Qu lo hace inseguro?

  • # SEGURIDAD WordPress

    INFRAESTRUCTURA DE RED

    CONFIGURACIN SERVIDOR

    INSTALACIN WORDPRESS

    HARDENING WORDPRESS

    #WCSevilla16 @OWASP_Sevilla

  • # SEGURIDAD WordPress

    Infraestructura de red Compartido? VPS? Dedicado? Con o sin soporte?

    Cifrado de discos

    SSH y SFTP siempre!

    Backups

    ltimas versiones! (Apache/NGINX, PHP, MySQL, ...)

    Logs y analizadores de trfico

    #WCSevilla16 @OWASP_Sevilla

  • # SEGURIDAD WordPress

    Configuracin del Servidor Utilizar directivas Allow y Deny para restringir accesos al servidor

    Deshabilitar listado de directorios y mdulos innecesarios

    Permisos de los directorios mnimos

    WAF: Mod_Security

    Fortificar PHP y MySQL

    HTTP 1.1 / 2.0 y HTTPS

    #WCSevilla16 @OWASP_Sevilla

    $ sudo apt-get install libapache2-mod-security

    $ sudo a2enmod mod-security

    $ sudo /etc/init.d/apache2 force-reload

  • # SEGURIDAD WordPress

    Instalacin de WordPress No utilizar usuario admin

    Fortificar contrasea

    No utilizar prefijos de tablas wp_

    Cuidado con robots.txt, readme.html

    Personaliza todo!

    Permisos

    No abusar de plugins

    #WCSevilla16 @OWASP_Sevilla

  • # SEGURIDAD WordPress

    Hardening WordPress Core, themes y plugins actualizados

    Roles adecuados para cada uso

    Cambiar id del usuario 1

    Alias distinto del nombre de usuario

    Ocultar wp-admin, wp-login, ...

    Control de comentarios

    No utilizar plugins de dudosa procedencia #WCSevilla16 @OWASP_Sevilla

  • # SEGURIDAD WordPress

    Hardening WordPress, con Plugins

    #WCSevilla16 @OWASP_Sevilla

  • # SEGURIDAD WordPress

    Hardening WordPress, con Plugins

    #WCSevilla16 @OWASP_Sevilla

  • # SEGURIDAD WordPress

    Hardening WordPress Configuracin default muy completa

    Incluye varios niveles preconfigurados

    Verifica core, themes y plugins con WordPress

    Cortafuegos para bloquear amenazas

    Limita intentos de login y uso de blacklist

    Visin en tiempo real de todo el trfico

    #WCSevilla16 @OWASP_Sevilla

  • # SEGURIDAD WordPress

    Hardening WordPress WAF por plugin

    Gran motor de filtrado

    Proteccin XSS, SQLi,

    Protege API XML-RPC

    #WCSevilla16 @OWASP_Sevilla

  • # SEGURIDAD WordPress

    Hardening WordPress Security Check

    Cambiar la ruta de /wp-admin

    Verifica los permisos de las carpetas

    WordPress Tweaks

    #WCSevilla16 @OWASP_Sevilla

  • # SEGURIDAD WordPress

    Hardening WordPress Escaneo en busca de malware en nuestra web

    Reforzar la seguridad de tu sitio Web

    CloudProxy ($)

  • # SEGURIDAD WordPress

    Hardening WordPress Doble factor de autenticacin

    Bloquear acceso para inactividad

    Alertas de intentos de acceso

    #WCSevilla16 @OWASP_Sevilla

  • # SEGURIDAD WordPress

    Hardening WordPress Posibilidad de automatizar backups

    Archivos + Base de Datos

    Aloja en servicios externos (drive, dropbox, )

    Archivos zip con password

    #WCSevilla16 @OWASP_Sevilla

  • # SEGURIDAD WordPress

    Hardening WordPress, Otros

    #WCSevilla16 @OWASP_Sevilla

    https://www.google.es/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwiTtO_z2KzPAhWHiRoKHeSMAm4QjRwIBw&url=https://es.wordpress.org/plugins/wangguard/&psig=AFQjCNFpnNdaSN1L_sApcfzBSnR5_V7cbQ&ust=1474967670699208

  • # AUDITANDO WordPress Wpscan. Instalacin

    Listar vulnerabilidades y enumeracin de usuarios

    Ataque fuerza bruta

    Algunos ejemplos de la Guia Testing (ghdb, robots, xss, )

    #WCSevilla16 @OWASP_Sevilla

  • #MALWARE

    #WCSevilla16 @OWASP_Sevilla

    eval, base64, ...

  • Taller de Seguridad bsica en WordPress

    #WCSevilla16 @OWASP_Sevilla

    GRACIAS