Transcrevo aqui excelentes dicas de segurança para tornar seu Blog mais resistente as ameaças da internet, pois nem só de bons visitantes e bons comentários vive o seu Blog.

Pode ter certeza que constantemente Crackers e todo o tipo de malfeitores da Web tentam encontrar alguma vulnerabilidade, seja no seu servidor Web ou no Wordpress. Como na maioria das vezes a segurança do Servidor não está na mão do Blogueiro, pelo menos, a segurança do Wordpress pode ser melhorada através de alguns plugins e pequenas modificações na estrutura do Blog!!

Estas dicas foram postadas originalmente no Dicas-L!

O Wordpress é atualmente a maior referência em gerenciadores de conteúdo livres. A facilidade de uso permite a criação de um blog em minutos.

Como 99% dos blogueiros estão mais preocupados em disponibilizar conteúdo e monitorar as estatísticas do seu blog, eles acabam esquecendo que existem visitantes sedentos para encontrar vulnerabilidades que permitem ataques como SQL Injection, Session Hijacking, dentre outros.

Para ajudar blogueiros experientes e inexperientes faço aqui uma coletânea de ações e ferramentas que ajudarão nesta tarefa ardua que é manter seu blog disponível, integro e confiável.

1. Mantenha o Wordpress e os Plugins atualizados – Plugin WordPress Automatic Upgrade.
2. Faça backups diários – Plugin WP-DBManager.
3. Altere sua senha constantemente e faça uso de senhas fortes
4. Renomeie o usuário admin – Plugin Admin Renamer Extended.
5. Elimine plugins desnecessários
6. Conecte usando SFTP ou SSH ao invés do FTP
7. Renomeie as tabelas do Wordpress DB – Plugin WP Security Scan.
8. Oculte o contéudo do diretório Plugins – Faça isso criando um arquivo index.html em branco neste diretório
9. Evite que ferramentas de buscas indexem os diretórios do WP – Faça isso criando um arquivo robots.txt adicionando a linha “Disallow: /wp-*” dentro deste arquivo.
10. Protega a página de login do WP – Plugins Login Lockdown e Chap Secure Login.
11. Bloqueie a navegação nos diretórios – Edite o arquivo .htaccess adicionando a linha “Options All -Indexes”
12. Oculte a versão do WP – Plugin Secure Wordpress.
13. Faça um scanning de vulnerabilidades no WP – Plugin WP-Scanner.

OBS: Muito cuidado na utilização de alguns plugins. A instalação de muitos plugins podem degradar o desempenho do seu blog.

As dicas apresentadas são bastante simples e bem fáceis de implementar, algumas necessitam de acesso SSH porem alguns webhosts não permitem este tipo de acesso.

Seguem alguns interessantes links que serviram de “inspiração” e que possuem informações importantes e mais completas do que este simples e singelo post.

• 20+ Ways to Harden and Secure Your WordPress Blog
• Hardening Wordpress.
• 20 Wordpress Security Plug-ins And Tips To keep Hackers Away
• Wordpress Security FAQ
• WordPress Security Links

Blog do autor: http://blog.alexos.com.br/

Após um longo tempo de desenvolvimento saiu a última versão final do Backtrack.

Para quem ainda não conhece trata-se de uma Distribuição Linux voltada para profissionais de Segurança da Informação e interessados na área, pois contempla centenas de ferramentas para Testes de Penetração, Análise de vulnerabilidades, gestão de riscos e até mesmo para suporte em Auditorias como a da ISO 27000, SOX ou Basileia.

Abaixo o texto traduzido do Blog do Projeto:

BackTrack 4 está no ar e junto com este release vem algumas boas notícias, atualizações e desenvolvimentos. BackTrack 4 uma longa estrada até aqui, com o release abeta no ano passado, nós decidimos esperar para liberar o BackTrack 4 Final antes que ele estivesse perfeito em todos os sentidos e formas.

Este release inclui um novo kernel, um repositório de ferramentas maior, ferramentas customizadas que você pode encontrar somente no BackTrack mais importantes correções de bugs e outras otimizações. Com este release nós recebemos muito suporte e ajuda de toda a comunidade e somo gratos a todos que contribuíram para o sucesso do BackTrack 4.

Nós mudamos o BackTrack para uma “casa” dedicada a ele, onde podemos mante-lo atualizado com as últimas notícias sobre seu desenvolvimento. O nosso objetivo é finalmente produzir uma distribuição Linux focada na segurança, uma distro cada vez melhor.

Nós esperamos que você concorde que este é o melhor BackTrack de todos até hoje. Você pode baixar o BackTrack 4 aqui.

No Curso de Segurança da Informação da Unisinos um dos trabalhos interessantes deste semestre foi construir uma HACK através com uma lata de batatas pringles. Ok … eu sei que isto não é novo, mas não deixa de ser interessante …

E o Huff, colocou no seu Blog, um passo-a-passo, com direito a shoplist e mutas fotos de como montar uma …

Os testes, eu presenciei, foram fantástico, pois um sinal que não era a recebido a 50m, passou a ser capatado a mais de 200 metros, isto passando por paredes de gesso e madeira … wow!!

No campus da universidade foram captados sinais a mais de 1km de distância, em linha reta e sem obtáculos … nada mal para uma gabiarra!!

;-0

Escrevi, parceria com dois colegas, este artigo e disponibilizo aqui no Blog para Download.

Download do arquivo em pdf no Disco Virtual na seção de Artigos!!

Abaixo o Abstract:

Session hijacking em ambientes de storage

Leandro Godoy¹, Paulo Campos¹, Ulysses Costa¹.

¹Curso de Segurança da Informação – Universidade do Vale dos Sinos (Unisinos)
São Leopoldo – RS – Brazil

leandro@opencode.com.br,{colorado.poa,ulycosta}@gmail.com

Abstract. This article intends to present the various ways the technical use of session hijacking in protocols that are most used in the storage area networks actually. Theories will be developed, based on reported vulnerabilities of the protocols defined in scope.

Resumo. Este artigo tem a intenção de apresentar as diversas maneiras do emprego da técnica de session hijacking em protocolos utilizados nas storage area networks atualmente. Serão tecidas teorias, baseadas nas vulnerabilidades reportadas nos protocolos definidos no escopo.

Mini-cursos do SBSeg Prof. Carlos Maziero.

O prof Maziero da PUC-PR disponibilizou no seu site uma página contendo
o material apresentado nos Minicursos aprovados nas edições anteriores
do SBSEG.

Site: http://www.ppgia.pucpr.br/~maziero/doku.php/ceseg:mini-cursos.

ɉ uma excelente fonte de pesquisa.

Fonte: http://www.4linux.com.br/noticias/2008/lpi-faz-no-brasil-lancamento-mundial-das-provas-303.html

Mais uma vez o Brasil será um dos ‘beta-testers’ mundiais da nova prova do LPI.

A prova é gratuita e será na cidade de São Paulo em local ainda a ser
definido. A lista dos escolhidos para fazer as provas será publicada no site
www.lpibrasil.com.br até o dia 17 de dezembro de 2008.

O Linux Professional Institute – órgão responsável pela certificação em Linux
que mais cresce no mundo ? realizará no Brasil a primeira aplicação das provas
303. Elas correspondem a categoria especialista do nível 3 da certificação
e qualificam o profissional aprovado como “Security Specialist”. As provas
ocorrerão na cidade de São Paulo no dia 20 de dezembro de 2008, às 10h00,
e o número de inscrições será limitado e seletivo. As provas serão gratuitas.

O Programa de Certificação LPI, é composto por 2 níveis básicos, com duas
provas cada um. As provas do nível 1 (101 e 102) certificam o profissional como
“Administrador Linux Júnior” e as do nível 2 (201 e 202), como “Administrador
Linux Pleno”.

O nível 3 da certificação LPI é focada no mercado corporativo. O profissional
precisa se certificar obrigatoriamente na prova 301 ( Core) e depois escolher
uma das especialidades disponíveis. Atualmente a única disponível é a prova
302 ( Mixed Environment ) para profissionais que queiram se especializar em
interoperabilidade em ambientes mistos (Linux, Unix, Netware e Windows). A
prova ‘303 – Security’ é a segunda especialidade a ser lançada pelo LPI.

A prova 303 está sendo realizada em caráter de teste antes de
ser lançada oficialmente e será realizada como “piloto” e só
poderão fazê-las os candidatos que preencherem os pré-requisitos
necessários. Os conhecimentos exigidos para a prova estão disponíveis em
https://group.lpi.org/publicwiki/bin/view/Examdev/LPIC-303

“Mais uma vez o Brasil foi escolhido para ser um dos países que irão fazer
a prova piloto do nível 3 e isso vem novamente premiar o bom trabalho que o
LPI Brasil fez nos últimos anos e serve também para mostrar a todo o mundo
como o Linux é forte aqui no Brasil”, explica José Carlos Gouveia, Gerente
para América Latina do LPI.

A 4Linux, afiliada do LPI no Brasil, será responsável pela escolha dos
candidatos à fazer os exames e por orientação do LPI Inc, serão escolhidos,
preferencialmente, os profissionais já certificados LPI nível I, II e
III e que estejam trabalhando com Linux e Segurança. Os escolhidos que
ainda não possuirem a certificação LPI, somente receberão a certificação
nível 3 após obterem a de nível 2. Os aprovados na prova piloto serão os
primeiros profissionais em todo o mundo a receberem o certificado ‘303-
Security Specialist’.

Para participar, o interessado deve enviar um curriculum para lpi@4linux.com.br
comprovando o requisitos necessários.

“Fico muito feliz por novamente termos sido escolhidos para ser um dos países
que irá fazer o beta-test das provas do LPI. Em 2006 fizemos o beta-test das
provas 301 e 302 e agora iremos fazer o da prova 303″, comemora Rodolfo Gobbi,
diretor geral da 4Linux, afiliada do LPI no Brasil e organizadora da prova.

Por ser uma prova piloto, o tempo da prova terá duração maior do que é
normalmente utilizado, e será de aproximadamente 3 horas, diferentemente
das provas regulares que tem duração de 1h e 30min. E o resultado também
terá um tempo maior para sair, está previsto para março de 2009. “As provas
pilotos são sempre utilizadas quando uma nova prova ou versão é lançada e
serve para ajustar o tempo da prova, avaliar a clareza do enunciado e o grau
de dificuldade, entre outras coisas”, explica Gobbi.

O Guia Definitivo para o Gerenciamento de Segurança

Um guia independente para desenvolver, implementar e manter um ambiente de segurança de TI eficiente

O Guia Definitivo para o Gerenciamento de Segurança — um recurso educacional abrangente de gerenciamento de segurança — é fornecido a você pela CA. Esta série de 13 capítulos será enviada a você sem nenhum custo.

Os tópicos incluem discussões detalhadas sobre o IAM (Identity and Access Management – Gerenciamento de identidade e acesso), gerenciamento de ameaças, avaliação e correções de vulnerabilidades e gerenciamento de informações de segurança. Os tópicos adicionais incluem práticas recomendadas de segurança, retornos de investimentos, gerenciamento de riscos, regulamentações e questões de segurança emergentes.

Ao se registrar, você receberá o primeiro capítulo: “Introdução ao Gerenciamento de Segurança” de O Guia Definitivo para o Gerenciamento de Segurança, um eBook fornecido pela CA.

Link para o Guia Aqui

Obs:> Para ter acesso aos demais capitulos sem precisar esperar apenas mude o nome do link do pdf alterando o número do capitulo!!

Excelente site com muitas referências para quem deseja obter a Certificação CISSP da ISC2 e estudar os 10 Dominios do CBK.

Link aqui!

Outra fonte interessante e rica de informações é GuideToCissp.
Aqui tu encontra um MindMap com os Dominios do CBK.

CISSP^® CBK^® Domains

	Access Control
	Application Security
	Business Continuity and Disaster Recovery Planning
	Cryptography
	Information Security and Risk Management
	Legal, Regulations, Compliance and Investigations
	Operations Security
	Physical (Environmental) Security
	Security Architecture and Design
	Telecommunications and Network Security

Bons Estudos!!!