Hardening en Wordpress

Jorge WebSec

www.quantika14.com || WORDPRESSA 2

¿Quién soy yo?

● Socio fundador de QuantiKa14

● Fundador del FSI● Creador del proyecto

WordPressa

● Jorge Websec● Autor del blog

www.websec.es● @Jorgewebsec

www.quantika14.com || WORDPRESSA 3

¿Qué es el Hardening?

En seguridad informática, es el proceso de asegurar un sistema mediante la reducción de vulnerabilidades, buenas configuraciones...

● Poner barreras y dificultades para que un atacante no pueda conseguir el objetivo de su ataque.

www.quantika14.com || WORDPRESSA 4

¿Qué es Wordpressa?

● Un laboratorio para aprender técnicas ofensivas y defensivas.

http://www.websec.es/2013/07/04/wordpressa-laboratorio-wordpress/

● Manuales:– Empezando con Wordpress– Hardening– Exploiting– Creación de una plantilla– Creación de plugins

● Auditorías de seguridad en Wordpress.

www.quantika14.com || WORDPRESSA 5

Hardening en Wordpress

Wordpressa.quantika14.com

www.quantika14.com || WORDPRESSA 6

Cada vez usan más

● Empresas● Blogs● Páginas personales

● Gubernamentales● Foros● Comunidades etc

www.quantika14.com || WORDPRESSA 7

Wordpress sin Fortificar:

www.quantika14.com || WORDPRESSA 8

Wordpress Fortificado:

www.quantika14.com || WORDPRESSA 9

¿Y por qué a mí? Si yo no tengo

nada

● Atacaran grandes empresas.

● Webs conocidas.● Webs con datos

valiosos.

www.quantika14.com || WORDPRESSA 10

Qué motiva a un atacante:

● Ego● Malware● Botnet● Información● Almacenar● Servicios

www.quantika14.com || WORDPRESSA 11

¿Qué hace?

www.quantika14.com || WORDPRESSA 12

1.La versión de Wordpress

● Mirar el Readme.html

● Mirar el meta generator en el HTML de la página.

www.quantika14.com || WORDPRESSA 13

Solución:

● Quitar Meta Generator:– Añad ir en el archivo “functions.php” de tu plantilla:

● remove_action('wp_head ', 'wp_generator');#Muestra el generador XHTML que se genera en el gancho wp_head.

#Borramos la función wp_generator enganchada wp_head

● Readme.htm l– Lo borramos o lo modificamos manualmente.

www.quantika14.com || WORDPRESSA 14

Si no lo borramos...

www.quantika14.com || WORDPRESSA 15

Si lo borramos...

● El atacante tendrá que comerse la cabeza un poquito más...

● Pero cada versión de wordpress usa diferentes tipos de archivos.

www.quantika14.com || WORDPRESSA 16

Webs con Readme:

●http://blog.ebay.com/readme.html [3.6.1]●View-source:http://blog.nexius.es/ [3.6.1]●http://www.regalopublicidad.com/blog/readme.html [3.6]●http://www.blog.iberdrola.com/readme.html [3.5]●http://psoesevilla.es/readme.html [3.5]●View-source:http://ppsevilla.com/ [3.4]●http://blog.pepsico.es/readme.html [3.2.1]●view-source:telefonica.com.ec/blog/ [3.0.4]●view-source:http://www.andalucesdiario.es/●http://historiadelartemalaga.es/congresos/teoriayliteraturaartistica/readme.html●view-source:http://www.cuartopoder.es/tribuna/

www.quantika14.com || WORDPRESSA 17

Los Permisos

● Lectura (r) ó (4)● Escritura (w) ó (2)● Ejecución (x) ó (1)

● Propietario del archivo● Grupo de usuarios● Cualquier usuario

www.quantika14.com || WORDPRESSA 18

Estructura y permisos

● Directorio Raiz (0755)

● Wp-config.php (0644)

● WP-ADMIN● WP-INCLUDES● WP-CONTENT

0755Un usuario puede modificar los permisos

Desde su cliente FTP o desde elAdministrador de archivos de

Su panel de control

www.quantika14.com || WORDPRESSA 19

Proteger WP-CONFIG es nuestro deber

www.quantika14.com || WORDPRESSA 20

Con .htaccess

● # proteccion de wpconfig.php

● <files wp-config.php>● order allow,deny● deny from all● </files>

www.quantika14.com || WORDPRESSA 21

La cabaña no es segura...En caso de evasión es mejor que noeste el objetivo fuera... (wp-config)

www.quantika14.com || WORDPRESSA 22

Mover wp-configCreamos un php fuera con:

● <?php● define('DB_NAME', 'Nombre_BaseDatos'); // El

nombre de tu base de datos● define('DB_USER', 'Usuario'); // El usuario de MySQL● define('DB_PASSWORD', 'Password'); // password● define('DB_HOST', 'localhost'); // El servidor● $table_prefix = 'IMPORTANTE CAMBIARLO'; // el

prefijo de las tablas, casi siempre es wp_● ?>

www.quantika14.com || WORDPRESSA 23

En wp-config ponemos:

include('/home/usuario/RUTA/ejemplo.php');

www.quantika14.com || WORDPRESSA 24

En un ataque las ventanas y puertas cerradas con llave

● # limitar el acceso como administrador por IP desde el .HTACCESS

order deny, allow

allow from 1.2.3.4 (cambiar por vuestra IP)

deny from all (denegamos el acceso a todas las IPS menos la nuestra)

● En el caso de tener una ip dinám ica podemos usar una VPN (OpenVPN)

www.quantika14.com || WORDPRESSA 25

Otros consejos:

●Cambiar el Prefijo wp_ (“Dificulta” inyecciones sql)●Actualizar siempre: los plugins, las plantillas y el wordpress.●Hacer Backups de los archivos y base de datos.●Borrar los metadatos antes de subirlos.●Utilizar una buena contraseña y cambiarla habitualmente.

www.quantika14.com || WORDPRESSA 26

Plugins de Seguridad:

● Exploit Scanner.● Ultimate Security Checker● LockerPress (cambia la url del acceso a l backend)

● BETTER WP SECURITY (http://www.securitybydefault.com/2013/05/better-wp-security-completo-plugin-de.html)

www.quantika14.com || WORDPRESSA 27

www.quantika14.com || WORDPRESSA 28

Muchas Gracias...

● @JorgeWebsec● @quantika14

Www.quantika14.com