 Bom dia, sejam bem-vindos à Track 2 do World Camp Lisboa 2023. Obrigado por terem vindo. Antes de mais, espero-vos um extraordinário dia de aprendizagem, de conhecimento, de troca de ideias e de contato com outras pessoas e de visitarem, claro, os estandes dos patrocinadores. Por isso sejam bem-vindos e aproveitem ao máximo este World Camp Lisboa 2023. A Malta Cristada de Tijete Samarela está aqui disponível para vos dar uma ajuda a transformar este dia em algo de verdadeiramente especial. E nada melhor para começarmos este nosso dia a falar de uma questão que nos diz a todos muito, relacionada com segurança. Ora, na verdade todos nós já tivemos sites comprometidos ou casos de pessoas que conhecemos e que tiveram os seus respectivos projetos web comprometidos. Quem nos vai falar daqui a pouco de segurança é o Rui Cruz. O Rui começou a trabalhar no mundo da internet há mais ou menos coisa 20 anos atrás a criar propositalmente um site para adultos. 20 anos depois está a trabalhar na PT Servidor como administrador de sistemas. É também um consultor de uma empresa de segurança, de uma empresa de saúde na área da segurança e é alguém que tem uma paixão óbvia pela otimização do projeto web e sobretudo pelas questões relacionadas com segurança. Há, no mundo web, pelo menos e eventualmente ainda mais, mas pelo menos 13 mil ataques por dia que acontecem, diferentes ataques e é sobre exatamente como por um lado os podemos prevenir, como por outro podemos resolver um website comprometido que o Rui Cruz nos vai falar nos próximos minutos. Rui Cruz, salva de palmas para a que ser. Bom, bom dia a todos. Obrigado pela excelente apresentação. Acho que não preciso dizer mais nada sobre mim porque efetivamente está tudo dito em trás, ou seja, eu sou uma pessoa com uma paixão em segurança informática, não só em WordPress, como no outro tipo de coisa, as comunicações seguras e emails seguras, esse tipo de coisas. WordPress é não uma crescima, mas uma conclusão das minhas tarefas diárias como administrador de sistemas e acima de tudo eu próprio ao entrar no mundo WordPress, entrei com o espírito crítico da minha própria segurança, o que eu posso fazer a mais, o que eu posso fazer de diferente para não ter o meu site atacado. E existe efetivamente um problema, olha, existem vários, mas o problema principal é como é que nós somos atacados, porque enquanto eu estou a falar existe um ataque, existe um ataque a cada menos de um minuto e tudo isto é feito de acordo com uma coisa uma má hindu, digamos assim, de certas pessoas, mas um descuido de outras. A má hindu eu estou a falar obviamente de hackers, porque hackers ou pessoas que fazem um varrimento nesse caso é um target específico a um site, é um varrimento de sites como atribunhado à vulnerabilidade e depois o que acontece é se a vulnerabilidade acaba por comprometer o site e se vamos a colocar as paredas com lojas online etc acaba por ser bastante grave no sentido em que há perjuízo a uma desconfiança da loja a nível futuro e existem também sites como por exemplo o zonaga que guarda um print daquilo que está atacado, para posteridade o zonaga é um site onde se pode colocar print site atacados que os hackers fazem questão de o fazer para se vanguriar e existem sites com 12 anos lá colocados em que naquele dia aquela hora existiu este print e este site foi atacado isto mancha de um ponto de vista empresarial, mancha a estrutura da empresa para o futuro porque efetivamente vai-se sempre saber a aquela empresa foi atacada. Para as poucas pessoas, aliás espero que nenhuma pessoa aqui faça este tipo de áreas de droga, a droga não é hoje o mais incentivo em termos monetários. Fazer ataques informáticos é um incentivo monetário maior do que o tráfico de droga e isto pode ser e eu posso estar aqui a brincar com esta situação e fazer piadas porque não vale a pena, apenas para mostrar a seriedade da situação em como nós estamos tão vulneráveis e há uma série de coisinhas pequeninas que nós podemos fazer que como tão pouco conseguimos muito. Alguém sabe quem este senhor? Ok, Raymond isto vem de uma série que eu quis ligar esta série a esta tal por uma razão muito simples. Isto faz parte de uma série que é Blacklist em que basicamente este senhor é um criminoso, um mastermind, um concierge of crime em que ele faz tudo o que pode para conseguir o melhor e conseguir estar fugido FBI há 30 anos porque até é mesmo aquele tipo de criminoso que nunca faz um acordo com o FBI e faz uma série de informações e troca de informações é uma série excelente mas este senhor é um criminoso e há poucos criminosos e é por isso que eu falei nesta série há poucos criminosos que têm uma conduta que é ele não ia atrás de tráfico de crianças ele não ia atrás de uma série de assuntos que eram tabus mas aqui o problema é que nem todos nós ou nem todos os Zecars neste caso não estou a falar de mim nem todos os Zecars são Raymond Edmonton há pessoas que literalmente procuram uma falha vamos pegar Elementor por exemplo Elementor teve conforme é conhecido uma falha há pouco há poucas semanas explotar essa falha não é o site específico daquela empresa que está afetado o que acontece é basta uma pesquisa no Google por uma série de parâmetros encontram os sites com Elementor e os Zecars vão automaticamente à procura não é o site e não é o site e não é por ser português não é por vender muito é porque podem e é preciso conhecer o Mindset Acres para perceber como é fácil e perigoso a sermos atacados e não existir uma conduta sequer de Acres ou até pessoas com 13 15 8 anos que o fazem por divertimento na casa dos pais e isto é assustador e há tanta coisa que nós podemos fazer tanta coisa e esta é uma frase que eu gosto que é eu posso mostrar com a execção os truques se vocês mostrarem os vossos é uma espécie de troca em que quando eu mostro como é que as coisas podem regular e minimizar ao ponto de não sermos atacados vocês também podem mostrar um bom site em esta perspectiva agora pessoal eu ok pessoal tá aí eu já percebi qual é que é o problema passaportes com bem fica não dá ok bem fica campeão bem fica um 2 3 não dá suporting também o suporting é outra história data de nascimento de alguém também não por favor ok nomes de quem também não tudo que acabem um 3 4 também não passaportes com o nome da própria pessoa tipo sei lá é o Bernardo o Bernardo tem um site então é de Bernardo um 2 3 4 é para não dar bem não dá por favor Bernardo não faça isso acho que vocês estão percebendo o problema porque uma coisa é os plugins que estão efetivamente atacados e vulneráveis outra coisa é entrar no WP de mim como eu fico um 2 3 como eu fico campeão com um 9 0 6 não dá ok não dá depois eu estava a falar aqui de uma coisa que é o Elementor e infelizmente há muitas pessoas que têm um Elementor Pro grátis ou seja vão aqueles sites manhosos que não devem mas vão na mesma para poupar custos mas a minha pergunta é quantos custos é que vocês vão poupar se o vosso cliente que vai o Elementor Pro as custos de menos 100 euros a um cliente que vai comprar 300 euros entra no site eu estou a fazer só dum podem ser vários entra no site quando o site está atacado o cliente é direcionado com o site Malware vocês a perderem 100 euros para poupar tem vários clientes 300 que acabam por não conseguirem fazer meu compra por ter uma péssima experiência por não voltarem e portanto isso não é um corte custos quando existem um plugin que vocês querem usar eu sei que custa pequenas empresas é normal mas tem que comprar as coisas não há outra forma de dizer isso porque tem atualizações automáticas e isso é muito importante o último backup feito abrir os alugamentos têm backups mas vocês devem fazer o vosso próprio backup vocês têm eu vou aqui falar mais da frente tem slides onde existem vocês tiverem 10 sites apenas com o dashboard vocês conseguem fazer o backup de tudo agora vamos falar da prevenção básica que é o que eu posso fazer para não ter o site tão mal quanto eu acho que depois dessa tal que tenho é muito simples portanto o WP o main WP o WPM e tudo isto são sites onde vocês podem ter um único dashboard para todos os sites eu próprio nas empresas ponte trabalho tenho mais tenho três contas no menos WP posso ter no outro lado qualquer eu uso menos WP só porque usa há vários anos tenho três contas e nessas três contas tenho de certeza mais de 100 se calhar quase 200 sites registrados e quando há um plugin vulnerable eu vou lá 2 a 3 cliques atualiza aquele plugin manualmente vou ver se os sites funcionam porque eles também tem um serviço pago mas eu não uso em que fazem o update e venço o site está igual através de procura de que o word e esse tipo de coisas portanto é possível ter um único dashboard atualizar todos os sites a desculpa de ai eu tenho muitos sites não vou lá de propósito não pode ser uma desculpa e acho que vocês vão certamente concordar comigo e existem ferramentas de SEO existem secantes de segurança e existem planos de pago também eu penso que o ppm e o dev é o único que só tem pago mas se for isso eu acho que eles têm um tráil tem que ser absoluta agora plug-ins o set pack protect é um plugin bastante recente em que a empresa foi adquirida pela automática que é a empresa que está por trás de algumas partes a mais como para e sai digamos assim do WordPress em que podem fazer o secando que arco e isto é um plugin muito simples de utilizar e vem logo que os vossos plugins estão vulneráveis ou não é que está feito simples vocês instalam acho que isto é crém familiar a todos a todos instalam e depois o primeiro é crém que vos aparece e vocês podem escolher uma coisa por 12 euros por mês eu acho que este não está utilizado que eles tem uma promoção mas podem escolher a pressão grátis porque funciona assim que clica na pressão grátis ele faz um secando mora um ou dois minutos dependendo de vossos e diz-vos que os vossos resultares vão aparecer eventualmente e quando aparecem eu dei o exemplo do do Elementor não foi à toa vocês veem quais é que são os plugins tão vulneráveis aqui uma sessão que é o próprio WordPress às vezes tem alguma vulnerabilidade não está ainda corrigida não é o caso aqui ou seja quando é o próprio WordPress a atualização segue brevemente e quando não segue é que não é uma coisa com grande impacto quando tenha acontecido duas a três vezes este ano eu creio eu mas vocês estão claramente a ver que com o scan e cinco minutos conseguem ver qual é que o plugin está vulnerável e depois vão ter que atualizar isso é óbvio mas está uma ferramenta gratuita criada especificamente para análise scan e que é muito muito muito fácil se encontrarem um plugin vulnerável eu recomendo se calhar passar em WordPress que é uma ferramenta também gratuita que requer registro fazem o scan ao site e confirma-se que o plugin está vulnerável ou não agora quando vocês começam a mexer no panelo control seja o C panel seja o PS ou o quer que seja pode haver algum problemazinho de eu estou a reconfigurar o PHP e os meus ficheiros temporariamente que acabam em PHP abrem no próprio browser e este é muito desinteressante quando as pessoas propositadamente e aí a propositadamente não são os putos ou lutosecas abrem o WP config e sacam a informação da vossa base de dados o que não é bom por pôs podem criar códigos para aceder essa mesma base de dados para isso podem colocar isto no W. H. Texas é muito fácil não custa nada e pode-vos tirar aqui uma dor de cabeça do futuro depois entretanto eu vou disponibilizar estes códigos estes tudo daqui a dois ou três dias no meu site e vai lá estar o PDF para fazer download de tudo que está aqui tanto se quiserem depois checar agora é óbvio que sem termos aquela password bem fico um dois três quatro os 15 e afins podemos adicionar outro tipo de coisas segundo fator autenticação é o mínimo este é um plugin bom que dá para fazer autenticação com vários serviços eu recomendo usarem por exemplo lá se passa autenticator ou google autenticator se for google autenticator não se esqueçam que quando mudarem o código tem que passar as coisas do google autenticator se for o last pass se ele tem uma coisa em cloud e passa lá para o outro ambas as ferramentas que eu digo são gratuitas este plugin também é só vocês instalarem e mesmo que tivessem essa password um dois três quatro e o cão e etc vocês ainda precisam entrar no vosso próprio site de um segundo fator autenticação e isto é o mínimo daquilo que vocês podem ter entretanto eu tenho um plug-in e a minha abordagem e esse plug-in foi diferente aos plug-ins que bloqueiam e este é um plug-in se me aberto ou seja eu não bloqueia nada ele faz um login específico peço que ele faz um logo específico das informações e enviar as informações por email ou seja nós conseguimos ver em tempo real quem é que está tenta fazer e quem é que está e qual é que é o IP e estão e isto é engraçado porque através disto eu já apresentei uma questão polícia judicialha porque alguém estava entrar no meu site daqui um ano se eu vier fazer o maior frontal posso dar um update sobre isto ou três ou quatro anos logo vemos mas vamos ser positivos um ano ok um ano mas isto basicamente envia toda a informação por email que vocês aí podem trabalhar essa informação se é um IP da india ok vamos bloquear a india se é um IP de Portugal se calhar que vale a pena fazer a queixa ele envia também o nome do utilizador ou seja se vocês tiverem um utilizador e aduário de qualquer coisa e o utilizador for adivine se calhar é uma coisa mais automática então não tem que se preocupar tanto portanto tem que uma série de variáveis que vocês podem considerar é um plug-in também gratuito e acho contribuir para a comunidade desta forma para deixar digamos a minha visão que é um pouco diferente de todas as outras mas que é uma estrutura engraçada e que pode depois ser complementado com os servidores agora vamos falar da prevenção do servidor porque efetivamente o vosso site não funciona sem o alojamento e eu não estou aqui para fazer publiciado a sítio no trabalho longe disso qualquer empresa tem um alojamento picado tem uma fps tem um alojamento partilhado e em qualquer empresa vocês estão bem desde que tenham o vosso servidor devidamente protegido como vocês devem ter pelo menos uma versão atualizado se os vossos plug-ins não de pgp se os vossos plug-ins não permitem tem que colocar aqui pelo menos 7.4 é o que eu recomendo idealmente 8 qualquer versão do 8 é bom tem que ter uma firewall tem que ter bloqueios de peixe especificamente ssh se vocês tiverem sscut blockar ssh blockar esse tipo de acesso root level se for gerido tem que ou confiar na empresa ou pedir mais informações sobre como é que são bloqueadas as coisas e depois aquilo que é joia da croa que é pago mas é bom é o imunify 360 só para ter uma ideia uma vps com tanto um servidor vital privado com imunify custa a volta de entre 70 a 90 euros devido ao licenciamento do sepano o imunify também dá para usar para não dizer muito técnico para instalar não vale a pena entrarmos nisso mas com ser panel é um 1 click install vocês instalam e aqui eu faço uma ressalva que é mesmo existindo plug-ins vulneráveis na maior parte dos casos é possível o imunify bloquear esse tipo de ataques é uma prevenção on the fly portanto ele não analisa cada serviço cada desculpa que é da entrada e faz uma decisão no split second digamos assim de que se esta pessoa vem por bem ok deixamos passar se isto é suspeito passamos uma capsa é este tipo de decisões que é feitas através de uma máquina obviamente e que nos dá uma maior segurança em workplace para se vocês tenham o site que gera diria eu mais de 400 mil euros imunify por mês imunify tem que ser uma opção viável porque dá-vos muito mais parte espírita do que tudo o resto que estamos a falar aqui dá-vos a parte espírita oeste digamos assim e quando nós protegemos aquilo que amamos nesse caso o nosso site nos dá dinheiro que nos dá comida as coisas correm bem isto é também o rei mano redington a proteger a protegida dele vão fazer porque é muito boa agora e desculpa isso tudo isto não funcionar ou seja nós estamos a um ponto onde vocês fizeram tudo ainda não tinham se criar o imunify e o vosso site está vulnerável ok agora o que que eu faço muito simples primeiro vocês precisam de um backup todo é de tudo vocês já sabem que sou imperfecto vocês vão precisar obviamente uma copia do orte prece limpa vocês vão precisar de um acesso a cftp a cftp c panel for e vão também precisar dos plug-ins e temas prêmios originais para não vão usar os antigos porque os antigos estão vulneráveis que vão fazer então primeiro vamos ao eu utilizei aqui o exemplo do c panel que obviamente vocês podem usar o plesco outros tipos de serviços mas eu acredito que sendo panel control mais utilizado no mundo fazia sentido apresentar esta representação gráfica vocês apagam todos os fichados p-p-p-p com fi esse fica por razões óbvias porque eu não tenho formação da base de dados depois apagam para trás apagam o WP admine o WP includes e não apaga o WP contente entram o WP contente e apagam tudo que não é o upload o upload é as pastas que vocês têm com o upload feitos e porquê vocês estão a pagar todos os fichados com o orte prece dentro do WP contente apaga os plug-ins e temas e só ficam mesmo com os vossos fichados enviados e também com a base de dados que essa partida estará também na própria servida após isso vocês apagam também cron jobs eu já vou mostrar aqui um print interessante vocês têm que apagar se calhar a analisar o WP com fi que também já vou mostrar aqui um print mas e depois dentro do upload há uma forma simples se está com ficha lamanhoso misturar nos uploads como assim cron jobs vocês vão separar o clico em cron jobs se fosse eu mesmo não fosse um programador eu achava isto suspeito isto tem caracteres a mais é um bocado sketch e portanto isto é uma cron job inserida para um plugin vulnerável que basicamente o que faz é dar-nos a hipótese de desbloquear a fazer o decol deste código e ele correrá ações maliciosas desfixem 6 minutos o que não é fixe portanto apagar cron jobs no sepa não a mesma coisa se faz com a WP com fico abro WP com fico mesmo que não seja programador isto parece-me vagamente suspeito ok vagamente suspeito porque este código efetivamente pode alterar o comportamento do vosso site portanto WP com fico tem código muito clínico claramente este inclui não é nada clínico vamos apagar o também e vamos dar uma vista no WP com fico a ver se efetivamente é tratado se vocês não perceberem nada isto provavelmente o vosso alojamento pode vos ajudar também a fazer este espaço por vós mas se puderem fazer gratuitamente tanto melhor não é depois entram a enviam o core pro vosso site entram na pasta de plugins e veem que os plugins foram todos ativados porque eles não estão lá vocês vão a procura destes plugins todos inserem novamente os plugins manualmente incluindo os prêmios originais do vosso site seja o time seja o site do elemento o que for ou o codecanyon e voltam a inserir depois de inserir em tudo a partir da o vosso site está operacional novamente o que é que tem que fazer no fim passar o wordfence novamente na parte do scan só para ver se na parte da upload está alguma coisa tudo isto demora a ser quer dizer maior ou menos a mim demora por 20 minutos mas vocês podem dizer melhor assim eu faço isto quase várias vezes por semana é importante termos a prática mas portanto ainda mais temos a consciência ou seja tudo que eu disse antes de chegarmos aqui a parte em que nós precisamos de usar de redificar de atualizar de fazer-nos isso tudo no único da esporte é talvez mais importante do que chegarmos aqui porque quando nós chegamos aqui nós já estamos meio perdidos ok nós já sofremos já já ficamos com calor já ok agora o site está aqui que eu vou fazer e eu não percebo a eu soubesse na hipótese da posição de alguém eu próprio não percebo ok agora que eu vou fazer porque eu estou perdido nós não precisamos de chegar a parte de estarmos perdidos para ficarmos descansados e tudo que eu disse antes da parte do agora que chegamos aqui que é que fazemos é uma parte para nos descansar para evitarmos de coisas e depois assim eu falei de acres eu falei de coisas automáticas e efetivamente o medo é um grande componente de tudo isto porque através de uma pesquisa no google podem se encontrar paginas vulneráveis através de uma pesquisa no google é muito fácil vocês chegarem a um site e dizer ok está vulnerável vamos lá até script e eu vou pôr aqui um vídeo a script disponíveis no github gratuitamente a procura aliás a distância de uma pesquisa no google que faz essa pesquisa no google e que guarda num txt os links dos chat estão vulneráveis e pois o ecr vai lá e diz ok está então vamos lançar aqui o exploit para este site e já está não é porque são vocês não é porque a loja a loja b loja do fernando a loja do fernando é porque podem e isto pode ser um bocadinho pode dar um bocadinho medo mas acima tudo acho que dá um bocadinho de realidade ou seja não há que ter medo se tivermos as coisas protegidas mas se não tivermos é assim a asas que acontecem não é como nós e mediante isto tudo não é o medo porque mesmo a pessoa que está ao nosso lado pode e que tem um trabalho normal pode ao fim do dia ser aquela pessoa que vai fazer este tipo de pesquisas que vai fazer este tipo de engenhos digamos assim no sentido de perceberem o que é que se passa com o site no sentido de o fazer e não é porque podem apenas é porque às vezes dá gosto de se fazer às vezes é que as atuam sim podem ser os portugueses podem ser o estrangeiro quando há pessoas que fazem isto na internet por diversão pessoas nem sequer têm idade para trabalhar dão-nos trabalho e é um facto interessante nesse momento disto e mediante isto vocês reparem que existe o ar-press é gigante ok o ar-press é gigante porque nós estamos em metade dos sites todos e disse aquela pessoa que alguém aqui vai conseguir pegar num site e dizer é para eu podia fazer melhor e se for uma pessoa a dizer é para eu podia fazer melhor é total que já servir para alguma coisa depois reparem que há pelo menos um componente vulnerável no site e reparem que são 43.2 dos wordpress e quase o mesmo e a gente sabe descomplegindo vulnerável portanto a minha pergunta é o que é que vou fazer logo a noite vão depois da aftar parte atualizar o wordpress vão esperar pela manhã vão a seguir vão ligar o pc agora é convosco é convosco portanto a minha pergunta é quem vai utilizar o site hoje e quem que ficou com mais medo porque medo nem é tanta questão a questão é o que é que vamos fazer para não ficarmos com medo e para termos nosso site mais seguro obrigado e se conseguimos só ver alguém que tem uma pergunta rápida obrigado ruim temos de facto muito muito muito limitado temos tempo para uma pergunta muito breve ok e quando quiserem ver os sites estarão lá eu vou tentar que seja este fim de semana não prometo mais cinco segundos o que vais fazer hoje depois da aftar parte não é agora lá está eu não vou fazer nada porque esta semana ok mas se surgir alguma vulnerabilidade eu vou já lá hoje a noite obrigado ruim obrigado a todos por terem participado nesta apresentação estou a um presente para ti pode transportar um azolejo que simboliza a tua participação no orde campo lisboa 2023 e depois vou confirmar