Amilton - Armored WordPress
0 gostou1,169 visualizações
O documento fornece diretrizes de segurança para proteger servidores WordPress, incluindo registrar domínios com cuidado, configurar servidores DNS e firewalls corretamente, realizar backups e monitoramento, e estar em conformidade com leis e padrões de segurança como o PCI-DSS.
Amilton - Armored WordPress
- 2. @amilton_justino > 1990 1º computador (Servidor BBS Unix jogado no lixo) > 1993 Desenvolvedor C, Dbase > 1995 Sysadmin > 1996 ganhei meu primeiro mouse (mas não usei muito) > 1998-2000 Certificado Conectiva Linux (in memorian) > 1998 entusiasta em seginfo > 2000 Sysadmin (Ctba/PR) > 2005 Co-Fundador da Insight Solution Team (Fpolis) > 2010 início na atuação profissional em SegInfo > 2014 Hacker ético Profissional (CEH) > 2016 Advanced Pentest Security Professional > 2017 Mikrotik Certified Network Advanced > 2018 Mikrotik Certified IPv6 Engineer
- 3. O que é Segurança da Informação ? Proteção da Informação e de sistemas de informação contra acesso ou modificação não autorizada, seja em armazenamento, processamento ou trânsito e contra negação de serviço aos usuários autorizados. Fonte: The History of Information Security Book - Karl de Leeuw
- 4. Mas porque eu preciso disso ? ● Hospedagem de dados ilegais (pirataria, pronografia infantil…) ● Hospedagem de sites para atividades ilícitas (phishing, blackmarket...) ● Propagação de artefatos maliciosos (malware, ransomware, miners…) ● Participação em ataques DDoS/DrDoS (Zombie Botnet) ● Roubo de credenciais/identidade ● Roubo de dados/segredos (pessoas famosas / negócios) ● Mineração de criptomoedas ● Envio de Spam ● Just for fun… Estima-se que 1 “owned server” pode render US$ 500.000/ano
- 5. Objetivos da segurança da Informação:
- 6. Check List ● Registro do domínio ● Servidores DNS ● Hospedagem vs Plataforma vs Infraestrutura ● Firewall ● Web Application Firewall* ● Monitoramento ● Backup* / Disaster Recovery ● Compliance ● WordPress* ● Certificados SSL/TLS*
- 7. Registro do domínio (registro.br) ● IDs diferentes para cada contato ● Grupos de pessoas no lugar de e-mails individuais ● Endereço de um contato diferente do domínio ● Senhas fortes nos IDs ● MFA (multi factor authentication) ● Monitorar alterações https://insight.inf.br/2018/03/15/hardening-blindando-seu-registro-br/
- 8. Servidores DNS ● Servidores em regiões/datacenters diferentes (Registro.br, AWS, GCP) ● Use DNSSec (registro.br) ● Use DNS Proxy/Cache servers (Akamai, CloudFlare, Incapsula...) ● Tenha uma cópia das configurações (print) ● Monitorar alterações e tempos de resposta
- 9. Hospedagem vs Plataforma vs Infra Estrutura Hospedagem Plataforma Infra Estrutura Exemplo Locaweb / Kinghost WordPress / WPEngine AWS/Digital Ocean/GCP Setup Pouco Nenhum Muito Compliance não atende não atende alguns casos pode atender Customização Médio Pouco Divirta-se Segurança Compartilhada com o Hospedeiro e com os terceiros que estão no mesmo servidor Compartilhada com o Hospedeiro Compartilhada com o datacenter (conectividade e hardware)
- 10. Firewall ● FORWARD: DROP ALL ● INPUT: filtradas portas 80 e 443 TCP ● INPUT: Acessos de manutenção (22, 3306…) somente para ips específicos, VPN ou com port knocking ● INPUT: Restante DROP ALL ● OUTPUT: somente para destinos conhecidos (updates) ● LOG: ALL, registre tudo ● Válido para IPv4 e IPv6
- 11. Monitore (Nagios/Zabbix) 1. Vencimento domínio no registro.br 2. alterações nos Servidores DNS e nos apontamentos 3. Tempo de resposta dos servidores DNS 4. Bloqueios efetuados pelo Firewall 5. Bloqueios efetuados pelo Web Aplication Firewall* 6. Acessos ao que é permitido (SSH...) 7. Backup efetuados * 8. Tamanho dos backups 9. Data de vencimento dos Certificados SSL/TLS 10. Capacidades em uso de hardware e rede
- 12. Disaster Recovery ● Cópia dos arquivos e dumps dos bancos (Backup*) ● Snapshot do ambiente (imagem) ● Replicação do banco master-slave ● Replicação do banco e do WordPress (Warm Stand-by) ● Replicação banco master-master, aplicação rodando simultaneamente em dois ambientes distintos e com os dados estáticos em CDN (Alta Disponibilidade)
- 13. Compliance / Conformidade ● Marco Civil ○ Artº 15 prevê guarda de logs de acesso por 6 meses para aplicações com fins comerciais ● Lei do E-Commerce ○ Expor endereço físico completo na página ○ Expor CNPJ/CPF e Razão social na página ● PCI-DSS (Cartões de crédito) ○ Dados armazenados e em trânsito criptografados ○ Testes de intrusão recorrentes http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/decreto/d7962.htm https://www.pcisecuritystandards.org/
- 14. Yoda era binário “Do (1) Or do not (0) There is no try.” Questionar você deve. Perguntas certas, melhores respostas, obter você irá.
- 15. OBRIGADO a todos !!!! Manifesto: O uso da palavra Hacker para se referir a um criminoso violador da segurança é uma conclusão equivocada que vem por parte dos meios de comunicação em massa. “Hacker é um indivíduo que se dedica, com intensidade incomum, a conhecer profundamente algo. Frequentemente consegue obter soluções e efeitos extraordinários, que extrapolam os limites do funcionamento normal”. (Wikipedia) São pessoas que vão além do manual, pensam fora da caixa, gostam de ser hábeis e engenhosos. amilton.justino@gmail.com (12/2016) Glider