Prevenindo enumerações de autores pelo WPScan em sites WordPress

Este tópico contém resposta, possui 1 voz e foi atualizado pela última vez por  Luis FatorBinario 1 ano, 8 meses atrás.

  • Autor
    Posts
  • #12665
     Luis FatorBinario 
    Administrador

    Esta dica de segurança foi aplicada em um site WordPress mas pode ser usada para qualquer outro site que esteja em NginX.

    Talvez você já conheça a ferramenta WPScan. Basicamente ela faz uma varredura em seu site e reporta se há falhas de segurança, plugins sem atualizar entre outras coisas. Porém ela também permite enumerar os usuários do site por autor, ou seja ela executa um “sniffing” e lista os usuários autores de post e a função de cada um no site. Isso permite buscar os usuários com poderes administrativos.

    E com a mesma ferramenta é possível passar uma wordlist (lista de palavras) e tentar fazer um brute force attack em determinado usuário admin.

    Logicamente que após um ataque devemos trocar a senha do admin, alterar a senha do banco de dados e as Chaves únicas de autenticação e salts no wp-config.php. Fazendo isso todos que estiverem logados no seu site terão que fazer login novamente.

    Mas para prevenir novas tentativas de enumeração siga os seguintes passos:

    – Edite o bloco NginX do site. Como usamos o ISPConfig então acesse o site pelo painel e clique na aba Opções.

    – No bloco “location /” que é o principal do site, adicione a seguinte linha logo abaixo do try_files para os permalinks do WordPress, exemplo:

    #Diretiva para permalinks do WordPress
    location / {
       try_files $uri $uri/ /index.php?q=$uri&$args;
       if ($args ~ "^author=\d") { return 403; }
    }

    Salve e pronto.

    Pode-se também bloquear a funcionalidade do XML-RPC

    location = /xmlrpc.php {
       deny all;
       access_log off;
       log_not_found off;
    }

     

Visualizando 1 post (de 1 do total)

Você deve fazer login para responder a este tópico.

©2014-2018 Fator Binário - Todos os direitos reservados

Fazer login com suas credenciais

ou    

Esqueceu sua senha?

Create Account