[wordpressa]hacking wordpress
TRANSCRIPT
www.quantika14.com 2
¿Quién es Jorge Websec?
● Socio fundador de www.quantika14.com
● Autor del blog www.websec.es
● Twitter:@JorgeWebsec
● Técnico de seguridad informática.
● Fundador del proyecto Wordpressa.
www.quantika14.com 3
¿Quién es The-XC3LL?
● J.M Fernández.● Auditor de seguridad
web.
● Fundador del blog
0verl0ad Labs blog.0verl0ad.com
● Twitter: @TheXC3LL
www.quantika14.com 4
●Wordpressa:● ¿Qué es Wordpressa?● ¿Qué hacemos?● ¿Cómo encontrarnos?
●Wordpressa Security Plugin:● ¿Qué es?● ¿Qué hace?● ¿Por qué es necesario?
●Auditoría de seguridad a Wordpress?● Ejemplos de defaces● ¿Por qué es importante?● Metodología
●Intrusión de Wordpress DEMO
www.quantika14.com 6
¿Qué es Wordpressa?
● Es un proyecto que nace de QuantiKa14.● Cada vez existe más particulares y empresas
que usan Wordpress para sus plataformas y que necesitan servicios de seguridad en Wordpress.
● En un principio era un laboratorio para practicar pentesting en WordPress.http://www.websec.es/2013/07/04/wordpressa-laboratorio-wordpress/
www.quantika14.com 7
¿Qué hacemos?
● Documentación sobre wordpress (instalación, gestión, administración, explotación, fortifiación, creación de plugins y plantillas...)
● Auditorias de seguridad y fortificación contra intrusos.
● Busqueda de 0days (nuevas vulnerabilidades)● Wordpressa Lab (un laboratorio)
www.quantika14.com 8
¿Cómo encontrarnos?
● Www.quantika14.com● [email protected]● @quantika14● FB: /quantika14
www.quantika14.com 10
Plugins de Seguridad actuales...
● Firewalls● Evitan inyección de código.● Análisis del código.● Copias de seguridad.● Denegar accesos de IP● Fortificación etc...
www.quantika14.com 11
¿Qué es WordPressa Security Plugin?
● Es una herramienta que funciona como un sistema de alertas en tiempo real sobre la seguridad de tus plugins.
● Diferencias con otros plugins:– Alertas de vulnerabilidades.
– Una base de datos unica de vulnerabilidades.
www.quantika14.com 18
Metodología:
● Recopilación de datos.● Busqueda de vulnerabilidades.● Explotación.● Post explotación.
www.quantika14.com 20
Búsqueda de vulnerabilidades
● Vulnerabilidades conocidas– Bases de datos públicas
● Vulnerabilidades privadas