ILLO, ILLO, ILLO OTRO WORDPRESS DESACTUALIZADO

POR JORGE WEBSECWORDPRESSA.QUANTIKA14.COM

WORDPRESSA.QUANTIKA14.COM 2

TÍTULOINDICE

[¡] Autor[¡] ¿Qué es el proyecto WordPressA?[¡] ¿Qué es ILLOWP?

- Alexa top 1 millon - Detectar un WordPress- Vulnerabilidades- Soluciones

[¡] Datos y más datos...[¡] El público aplaude y grita sobre la belleza del ponente ;P

WORDPRESSA.QUANTIKA14.COM 3

TÍTULO

¿Quizás me recuerden de...?

WORDPRESSA.QUANTIKA14.COM 4

TÍTULO¿Quien es JORGE WEBSEC?

- Socio fundador de QuantiKa14 - Perito informático socio en APTAN - Creador del Proyecto WordPressA - Colaborador en Canal Sur Radio

@JorgeWebsec

WORDPRESSA.QUANTIKA14.COM 5

TÍTULO

WORDPRESSA.QUANTIKA14.COM 6

TÍTULO¿Qué tiene el proyecto WordPressA?

- Nació en 2013 con el objetivo de ordenar proyectos de WordPress en la empresa de QuantiKa14.- Documentación gratuita.- WordPressA Security Plugin.- WordPressA Challenge.- AbueloWP.

wordpressa.quantika14.com

WORDPRESSA.QUANTIKA14.COM 7

TÍTULO

WORDPRESSA.QUANTIKA14.COM 8

TÍTULO

Es un proyecto que está dentro de WordPressA y tiene 2 objetivos:

1. Concienciar en la seguridad de WordPress a través del análisis de un big data.

2. Crear una lanzadera de exploits de vulnerabilidades automatizada.

¿Qué es ILLOWP?

WORDPRESSA.QUANTIKA14.COM 9

TÍTULO

Usaremos:

- Python: para hacer los bots. - MongoDB: para almacenar los datos. - WordPress: para exponer los datos.

¿Qué vamos a usar?

WORDPRESSA.QUANTIKA14.COM 10

TÍTULO¿Qué es Alexa top web?

WORDPRESSA.QUANTIKA14.COM 11

TÍTULOCreamos top 1 millón

- Python- Modulos:

+ BeautifulSoup+ UrlLib2

https://github.com/Quantika14/illoWP/

- Python- Modulos:

+ BeautifulSoup+ UrlLib2

- Python- Modulos:

+ BeautifulSoup+ UrlLib2

- Python- Modulos:

+ BeautifulSoup+ UrlLib2

- Python- Modulos:

+ BeautifulSoup+ UrlLib2

WORDPRESSA.QUANTIKA14.COM 12

TÍTULO

- Cada bot tarda una medía de 2 segundos en analizar una web.- 1.000.000 webs = 2.000.000 seg- 33333,34 minutos = 555,56 horas- 555,56 horas = 23,15 días

No morir sentados...

WORDPRESSA.QUANTIKA14.COM 13

TÍTULOSolución

- Dividimos la lista en partes iguales.

- Creamos ejercito de bots.

WORDPRESSA.QUANTIKA14.COM 14

TÍTULOSolución

- Contratación de 2 vps en OVH = 10 €

- 10 bots funcionando paralelamente con 3 ips diferentes.

WORDPRESSA.QUANTIKA14.COM 15

TÍTULOCómo detectar un WP?

Versión 1: ● Buscamos “/wp-content/” en el

html● Buscamos link “xmlrpc.php”● Buscamos el Generator (obvius;)

Versión 2:● Buscamos “/wp-content/” y

comprobamos que tenga el mismo dominio que el target

● Hacemos una comprobación de directorios (aumenta mucho el tiempo)

● Extracción de la versión de los css● Estructura HTML – falsos positivos● Readme.html

WORDPRESSA.QUANTIKA14.COM 16

TÍTULOQué hacer para no ser detectados?

1. Quitar Generator: Editamos el archivo functions.php de nuestro tema y añadimos la siguiente línea: remove_action('wp_head', 'wp_generator');

2. Quitar readme.html

3. Cambiar ruta “wp-content”: ponemos en wp-config -> define( 'WP_CONTENT_DIR', 'NUEVA RUTA A WP-CONTENT' );

4. Cambiar “/wp-content/uploads”: define('UPLOADS', 'wp-content/archivos');

5. Cambiar acceso de administración:https://es.wordpress.org/plugins/search.php?type=term&q=hide+wp-admin

WORDPRESSA.QUANTIKA14.COM 17

TÍTULOEscáner de vulnerabilidades

WORDPRESSA.QUANTIKA14.COM 18

TÍTULO¿Cuántos WP hay?

Fuente: http://one.elpais.com/gracias-a-el-se-publica-la-cuarta-parte-de-las-webs-del-mundo-matt-mullenweg-fundador-de-wordpress/

WORDPRESSA.QUANTIKA14.COM 19

TÍTULO¿Cuántos WP hay?

Fuente: http://guiadeinternet.com/2014/04/el-22-de-las-webs-de-todo-el-mundo-utilizan-wordpress/

WORDPRESSA.QUANTIKA14.COM 20

TÍTULO¿Cuántos WP hay?

Fuente:https://www.40defiebre.com/estadisticas-wordpress/

WORDPRESSA.QUANTIKA14.COM 21

TÍTULO¿Cuantos WP hay?

En Alexa Top 1 millón de 2016:

4,2%

WORDPRESSA.QUANTIKA14.COM 22

TÍTULO¿Entonces qué pasa?

WORDPRESSA.QUANTIKA14.COM 23

TÍTULOY si...¿?

Fuente: https://es.wikipedia.org/wiki/WordPress

WORDPRESSA.QUANTIKA14.COM 24

TÍTULOPuede ser que...

1. Al ser el ranking 1 millon mundial el indice de WP baja al no usar cms

2. Seguramente los datos de WP usaran los subdominios de wordpress.com como una web

WORDPRESSA.QUANTIKA14.COM 25

TÍTULO¿Cuántos están actualizados?

Versión actualizada el 26/09/2016 → 4.6.1

Actualizado

No actualizado

63% No actualizado / 37% Actualizado

WORDPRESSA.QUANTIKA14.COM 26

TÍTULO¿Qué es el readme.html?

WORDPRESSA.QUANTIKA14.COM 27

TÍTULO¿Cuántos no tienen el readme.html?

Solo el 17% no tiene readme.html

El 83% tiene el readme.html

CON SIN

WORDPRESSA.QUANTIKA14.COM 28

TÍTULOAlexa WP Themes

1. divi - by Elegant Themes: https://www.cvedetails.com/cve/CVE-2015-1579/

2. Fashionistas

3. Avada | Responsive Multi-Purpose Theme

4. BeTheme - Responsive Multi-Purpose WordPress Theme

5. Newspaper

WORDPRESSA.QUANTIKA14.COM 29

TÍTULO

WORDPRESSA.QUANTIKA14.COM 30

TÍTULOCONCLUSIONES

1. Los usuarios de WordPress no son conscientes y responsables de la seguridad de sus web

2. WordPress debe trabajar más en la actualización automática en plugins y themes

3. WordPress debe borrar el readme.html y generator por defecto

4. Viendo la facilidad de los ataques masivos entiendo la gran cantidad de intrusiones que se llevan acabo al día.

WORDPRESSA.QUANTIKA14.COM 31

TÍTULO¿ALGUNA PREGUNTA?

WORDPRESSA.QUANTIKA14.COM 32

TÍTULO

MUCHAS GRACIAS