PDF de programación - La guerra de Wordpress: defensa y ataque

LA GUERRA DE WORDPRESS:

DEFENSA Y ATAQUE

-Versión de WordPress

-Plugins

-Tema

-Archivowp-config.php

ConexionesaBBDD:sepueden“esconder”.

// ** MySQL settings - You can get this info from your web host ** //
/** The name of the database for WordPress */
define('DB_NAME', 'database_name_here');

/** MySQL database username */
define('DB_USER', 'username_here');

/** MySQL database password */
define('DB_PASSWORD', 'password_here');

/** MySQL hostname */
define('DB_HOST', 'localhost');

/** Database Charset to use in creating database tables. */
define('DB_CHARSET', 'utf8');

/** The Database Collate type. Don't change this if in doubt. */
define('DB_COLLATE', '');

include ('../datosdelabase.php');

-Archivowp-config.php

ParámetrosdenuestroservidorFTP:

define('FTP_BASE', '/'); // Directorio base donde se conectará nuestro FTP
define('FTP_CONTENT_DIR', '/wp-content/'); // Carpeta de contenidos
define('FTP_PLUGIN_DIR ', '/wp-content/plugins/'); // Carpeta de plugins
define('FTP_USER', 'ftpusuario'); // Usuario FTP, para no tener que estar
introduciéndolo cada vez que queramos instalar o actualizar algún plugin o
WordPress
define('FTP_PASS', 'ftpcontraseña'); // Contraseña del usuario FTP
define('FTP_HOST', 'localhost'); // Servidor al que se conectará, localhost si es
el mismo servidor donde está instalado WordPress
define('FTP_SSL', false); // Si usamos SSL cambiaremos false por true. Yo
suelo conectar por SSH.

include ('../datos_del_FTP.php');

-Archivowp-config.php

Salt: http://api.wordpress.org/secret-key/1.1/salt

-wp-config.php~

-ModificarprefijodelastablasdelaBasedeDatos

prefwp_ en lugar de wp_

-Permisosdearchivosydirectorios(755y644)

-Eliminar (o modificar) archivos o componentes innecesarios
(readme.html,xmlrpc.php,etc.)

-Deshabilitareleditordearchivosdelbackoffice:

Define (‘DISALLOW_FILE_EDIT’ , true);

-Crearunbuenrobots.txt

Sitemap:
http://www.dominio.ext/sitemap.xml
User-Agent: *
Disallow: /*/feed/
Disallow: /*/trackback/
Disallow: /*/attachment/
Disallow: /author/
Disallow: /category/*/page/
Disallow: /category/*/feed/
Disallow: /tag/*/page/
Disallow: /tag/*/feed/
Disallow: /page/
Disallow: /comments/
Disallow: /xmlrpc.php
Disallow: /*?s=

-Evitarelaccesoaarchivosatravésdel.htaccess

<files wp-
config.php>
Order Allow,Deny
Deny from all
</files>

<files .htaccess>
Order Allow,Deny
Deny from all
</files>

<files readme.html>
Order Allow,Deny
Deny from all
</files>

- Crear archivos index.php en los directorios para
evitar el listado de archivos y directorios desde el
navegador.

-Pantalla de logueo(wp-admino wp-login.php):

Modificar ruta (cambiar “wp-admin” por otra cosa): Da errores con
algunos plugins.

www.miweb.com/wp-admin

www.miweb.com/loguearte

-Pantalla de logueo(wp-admin o wp-login.php):

-Usuario:

NUNCA USAR: "admin", "administrador", "administrator", nombre de tu
web.

Nombre de usuario: NO dejarlo visible, no utilizar como nombre público
el nombre de usuario con el que nos logueamos.

Borrar el id de usuario 1 y crear un administrador con otra ID (evita SQL
Inyection)

-Pantalla de logueo(wp-admino wp-login.php):

Contraseña:

-Apartirde10-12caracteres.

-Obligatoriousar:Números,mayúsculas,minúsculasysímbolos.

-UtilizarFrasesenlugardepalabras:

El Perro De San Roque No Tiene Rabo

EPDSRNTR
3Pd5RnTr

*3Pd5R_nTr!

Teniendo en cuenta un promedio de 4 mil millones de cálculos por segundo…

26 letras mayúsculas + 26 minúsculas + 10 números + 10 caracteres

72 diferentes posibilidades para un único caracter.

Caracteres:

Combinaciones

Tiempo

-4caracteres

- 10caracteres

-11caracteres

-Pantalla de logueo(wp-admino wp-login.php):

Contraseña: Algunas páginas útiles

Generador de contraseñas:

www.clavesegura.org

Nivel de seguridad de contraseña:

www.passwordmeter.com

Tiempo en descifrar tu contraseña:

howsecureismypassword.net

-Akismet

-Antivirus

-Wordfence

-AcunetixWPSecurity

-themesSecurity(Muycompleto)
-Limitloginattemps(NonecesariositenemosWordfence)

-Latchhttps://latch.elevenpaths.com/www/index.html

-Tener un buen sistema de Backups

Duplicator

WP2DB

Updraftplus

Etc.

Sucuri:

sitecheck.sucuri.net

Herramienta para obtener información valiosa de
nuestrainstalacióndeWordPress.

Demostración

- Chequeo no intrusivo

Comandos
Wpscan --help

- Plugins

- Temas

- Usuarios.

- Ataque por fuerza bruta con diccionario:

wpscan --url www.example.com --wordlist midiccionario.lst --username admin

Una vez tenemos el usuario intentamos sacar la
contraseñautilizandoundiccionario.

@tomycant