» Últimos artigos

samhain - verificador de integridade de filesystem Honeypot: Aprendendo com o intruso Moscrack, vencendo a WPA com ajuda de um Cluster Usando o http-wp-plugins do Nmap para detectar plugins do Wordpress Protegendo seu WebServer contra o Slowloris HTTP DoS As soluções baseadas em Software Livre são mais seguras que as Proprietárias ?

» Últimas notícias

pfSense 2 Cookbook Até 50% de desconto para as últimas vagas do treinamento Investigação Forense Digital da 4Linux. curso de Pentest Hands On aqui em SP Promoção LINUX + A VirtualLink Consultoria abre vagas para sua Divisão de TI Celulares de segunda mão contêm grande quantidade de dados pessoais

» Últimas dicas

Pacote Oficial Linux LPI Ghost Phisher - suite para ataques de phishing usando Fake DNS, DHCP e BLA, BLA, BLA...! ! ! T50 Experimental Packet Injector Tool Word List Dicas de medidas preventivas contra técnicas avançadas de evasão Instalação do Scanner de Vulnerabilidades OpenVAS3 em um Server - CentOS 5.5 i386/64bits Mais uma ferramenta para análise forense. Conheça o Weaknet Linux! Fortalecendo o kernel Linux com (Debian) Grsecurity (HARDENING)

» Login

» Top 10 usuários

256613: Luiz Vieira 180053: André 131805: Rubens Queiroz de Almeida 127865: Mauro Risonho de Paula Assumpção A.K.A firebits 106286: Paulo Moraes 87363: Alexandro Silva 50205: Thalysson Sarmento 49563: Denny Roger 47779: Carlos Eduardo Testa, a.k.a ceth 45966: Jorge G Meinhardt

» .Conf

[OpenSSH] sshd_conf - Como criar uma conexão SSH com mais segurança. [Fail2ban] jail.conf - Fail2ban

[Dica] Wordpress: Mantendo seu blog seguro

Publicado por Alexandro Silva em 27/04/2010

Login: alexos, 87365 pontos Homepage: blog.alexos.com.br

[ Hits: 3778 ]

Versão para impressora

Indicar para um amigo

Enviar dica

Wordpress: Mantendo seu blog seguro

O Wordpress é atualmente a maior referência em gerenciadores de conteúdo livres. A facilidade de uso permite a criação de um blog em minutos.

Como 99% dos blogueiros estão mais preocupados em disponibilizar conteúdo e monitorar as estatísticas do seu blog, eles acabam esquecendo que existem visitantes sedentos para encontrar vulnerabilidades que permitem ataques como SQL Injection, Session Hijacking, dentre outros.

Para ajudar blogueiros experientes e inexperientes faço aqui uma coletânea de ações e ferramentas que ajudarão nesta tarefa árdua que é manter seu blog disponível, integro e confiável.

Mantenha o Wordpress e os Plugins atualizados - Plugin WordPress Automatic Upgrade.
Faça backups diários - Plugin WP-DBManager.
Altere sua senha constantemente e faça uso de senhas fortes
Renomeie o usuário admin - Plugin Admin Renamer Extended.
Elimine plugins desnecessários
Conecte usando SFTP ou SSH ao invés do FTP
Renomeie as tabelas do Wordpress DB - Plugin WP Security Scan.
Oculte o conteúdo do diretório Plugins - Faça isso criando um arquivo index.html em branco neste diretório
Evite que ferramentas de buscas indexem os diretórios do WP - Faça isso criando um arquivo robots.txt adicionando a linha "Disallow: /wp-*" dentro deste arquivo.
Proteja a página de login do WP - Plugins Login Lockdown e Chap Secure Login.
Bloqueie a navegação nos diretórios - Edite o arquivo .htaccess adicionando a linha "Options All -Indexes"
Oculte a versão do WP - Plugin Secure Wordpress.
Faça um scanning de vulnerabilidades no WP - Plugin WP-Scanner.

Obs.: Muito cuidado na utilização de alguns plugins. A instalação de muitos plugins pode degradar o desempenho do seu blog.

As dicas apresentadas são bastante simples e bem fáceis de implementar, algumas necessitam de acesso SSH porem alguns webhosts não permitem este tipo de acesso.

Seguem alguns interessantes links que serviram de "inspiração" e que possuem informações importantes e mais completas do que este simples e singelo post.

Fonte: Blog do Alexos

Outras dicas deste autor

Projeto OWASP Broken Web Applications

MSF Meterpreter: Quebrando senhas do VNC

Dicas de medidas preventivas contra técnicas avançadas de evasão

Grupo de Resposta a Incidentes de Segurança

Stay Safe Podcast

Leitura recomendada

Segurança do SSH com medidas simples de Segurança

Aircrack-ng passo a passo!

Hardening do Proftpd

Scanner de PHP-LFI (PHP - Local File Inclusion)

Organizações de segurança de redes

Comentários

[1] Comentário enviado por andrezc em 29/04/2010 - 14:49h:

Faltou muita coisa aí... algo como explicar o porque de manter o wordpress atualizado ou não, que é devido á alguma vulnerabilidade ou exploit para a determinada versão utilizada, o porque de usar SSH ao invés de FTP, que é devido a maior segurança do SSH, devido a criptografia, por exemplo, e por aí vai.

Contribuir com: [ Artigo | Conf | Dica | Notícia ]

Responsáveis pelo site: Fábio Berbert de Paula / OYS Academy

Site hospedado por:

Segurança Linux

Site especializado em conteúdo de segurança para Linux.

Estatísticas do site Equipe de moderadores FAQ: Perguntas freqüentes Membros da comunidade