WordPress
16/11/2021

A maioria dos websites institucionais entregues à Hardsecure para testes utilizam o Wordpress como o seu próprio CMS (sistema de gestão de conteúdos), na sua maioria porque é o serviço mais simples e mais popular para criar o seu próprio website ou blog, alimentando 42% de todos os websites na Internet. Mesmo que não seja um programador, pode facilmente alterar o seu site com o vasto ecossistema de temas e plugins do WordPress.

Na secção abaixo, vamos ver algumas das vulnerabilidades mais comuns verificadas durante os pentests.

Vulnerabilidades comuns:

Brute Force Attacks, que envolvem múltiplas tentativas e abordagens de erro usando centenas de combinações para adivinhar o nome de utilizador ou passwords corretos.

Cross-Site Scripting, também conhecido como ataque XSS. Neste tipo de ataque, o atacante carrega código JavaScript malicioso que, quando carregado no lado do cliente, começa a recolher dados e possivelmente a redirecionar para outros websites maliciosos.

WordPress/plug-ins desatualizados são mais suscetíveis de serem afetados por uma ameaça à segurança. Com o tempo, os hackers encontram forma de explorar o seu núcleo e acabam por executar o ataque a websites que ainda utilizam versões desatualizadas.

Enumeração do utilizador, é uma forma de encontrar os dados dos utilizadores no seu website. Estas três técnicas de enumeração são uma forma muito rápida de identificar os utilizadores de um WordPress: JSON API, Formulário de Login e Arquivos de Autores.

Malware, é um código malicioso que é injetado em temas, plugins desatualizados ou script e extrai dados do website ou insere conteúdo malicioso.

DoS/DDoS, DoS é realizado usando uma única fonte, enquanto o DDoS é um ataque organizado realizado por múltiplas máquinas em todo o mundo.

Hardening Framework

A segurança deve ser algo recorrente! Pode ter problemas graves quando deixa de verificar a segurança do seu website. Neste capítulo, vamos falar das principais medidas para proteger o seu WordPress ou outros CMS.

A primeira medida refere-se a passwords fortes, autenticação de dois fatores e com que frequência alteramos as nossas senhas. Estas são três dicas fáceis que devemos utilizar no nosso dia-a-dia.

A segunda medida concentra-se nas atualizações. E nem sempre está relacionado com novas funcionalidades; esta poderia conter correções de segurança e estabilidade que são essenciais. No WordPress, temos de ter em atenção os plugins, temas e PHP que cada versão tem 2 anos de suporte.

Se o seu website tiver vários utilizadores, não é recomendável todos serem administradores. Bem como alterar o caminho de login, não resolverá todos os problemas, mas pode ajudar contra bots e/ou scripts. Bloquear caminhos URL com a ajuda do WAF é um bom começo para manter os IPs desconhecidos fora, tal como a página de início de sessão.

O ficheiro mais importante é o config.php, pode mover este ficheiro, atualizar as chaves de segurança do WordPress para melhorar a encriptação, alterar permissões nestes ficheiros, desativar XML-RPC, ocultar versões do WordPress (quanto menos pessoas souberem a configuração do seu website WordPress melhor), adicionar cabeçalhos de segurança, tais como:

  • Política de segurança de conteúdo
  • X-XSS-Protection
  • Strict-Transport-Security
  • Opções de X-Frame
  • Public-Key-Pins
  • X-Content-Type

Utilizar plugins de segurança como iThemes Security e/ou WordFence Security e não esquecer de utilizar sempre ligações seguras (HTTPS, SFTP).

Notas finais

Existem mais de 55,000 plugins WordPress! A melhor escolha que pode fazer é utilizar os que têm altos índices de satisfação e que são frequentemente atualizados porque, como vimos acima, estas atualizações são importantes para a integridade do seu website.
Lembre-se de instalar apenas os necessários e se quiser jogar com segurança, é melhor criar um ambiente de testes ou desenvolvimento para testar primeiro.



Por: Ricardo Araújo, Pentester na Hardsecure.

Default
Default
Como podemos ajudar?
Fale Connosco