Um Ataque de Força Bruta em Site Wordpress

Autores

  • Lucas Tavares Pinto Fatec Ourinhos
  • Rafael Luiz Coccia Bento Fatec Ourinhos
  • Andre Giovanni Castaldin Fatec Ourinhos

Palavras-chave:

Ataque, Força Bruta, wordpress, wpscan

Resumo

O presente estudo examina os ataques de forc¸a bruta direcionados a sites WordPress, uma das plataformas mais populares para criac¸ao de websites. O objetivo é investigar como esses ataques exploram vulnerabilidades em senhas e a eficácia de medidas de seguranc¸a, como: utilizacão do CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart), limitac¸ao de LOGIN (autenticacão para acessar um sistema informático) e uso de senhas complexas. Utilizando um ambiente virtual simulado, realizamos uma série de testes práticos com essas três medidas de segurança no WordPress. Os resultados mostraram que, sem medidas de segurança, o WordPress é altamente vulnerável, enquanto a adoção de plugins que limitam tentativas de LOGIN, utilização de CAPTCHA e uso de senhas complexas se mostrou eficaz para bloquear ataques. Conclui-se que o uso combinado dessas práticas de segurança é fundamental para aumentar a segurança de websites WordPress contra ataques de força bruta.

Referências

@article{diorio2019ataques,

title={Ataques de For{c{c}}a Bruta: Um Estudo Pr{'a}tico},

author={Diorio, Rafael Fernando and Serafim, Edivaldo and Alves, Karlan Ricomini and Meira, Matheus Carvalho},

journal={Departamento de Inform{'a}tica. Instituto Federal de Educa{c{c}}{~a}o, Ci{^e}ncia e Tecnologia de S{~a}o Paulo (IFSP). Capivari--SP},

year={2019}

}

@misc{rosso2015wordpress,

title={Wordpress security white paper},

author={Rosso, Sara and Abrahamson, Barry and Adams, Michael and Cave, Jon and HouSand{'i}, Helen and Hulse, Dion and Jangda, Mo and Maiorana, Paul},

year={2015},

publisher={Preuzeto}

}

@inproceedings{shah2023empricial,

title={An Empricial Study of Brute Force Attack on Wordpress Website},

author={Shah, Pritam Gajkumar and Ayoade, John},

booktitle={2023 5th International Conference on Smart Systems and Inventive Technology (ICSSIT)},

pages={659--662},

year={2023},

organization={IEEE}

}

@article{chagas2023manual,

title={Manual de boas pr{'a}ticas de seguran{c{c}}a da informa{c{c}}{~a}o},

author={Chagas, Ana Paula Monteiro Almeida},

journal={Gest{~a}o de seguran{c{c}}a dos sistemas de informa{c{c}}{~a}o eletr{^o}nica: interface usu{'a}rio, tecnologia e sistema},

year={2023},

publisher={P{'o}s-Gradua{c{c}}{~a}o em Ci{^e}ncia da Informa{c{c}}{~a}o}

}

@inproceedings{pereira2014vulnerabilidade,

title={VULNERABILIDADE DE SENHAS E REQUISITOS NECESS{'A}RIOS PARA ATAQUE DE FOR{c{C}}A BRUTA},

author={PEREIRA, MARCELO MACHADO and MORALES, IVAN LEAL},

booktitle={III JORNACITEC},

year={2014}

}

@inproceedings{kurian2021wpscan,

title={WPscan--Discovering the Vulnerabilities and Enumerating Users of WordPress Sites with Autotor for IP Spoofing},

author={Kurian, Ms Rini and Jose, Tebin},

booktitle={National Conference on Emerging Computer Applications},

volume={3},

number={1},

year={2021}

}

@article{ramadhani2024analisis,

title={Analisis Kerentanan WordPress dengan WPScan dan Teknik Mitigasi},

author={Ramadhani, Ghani Trie Aqeela and Steyer, Muhammad Raihan Ramadhan and Maulidan, Muhammad Hafizh and Setiawan, Aep},

journal={Journal of Internet and Software Engineering},

volume={1},

number={4},

pages={15--15},

year={2024}

}

%Citações sites

@online{wordpress,

title = {Site ofical Wordpress},

year = {2020},

organization = {Wordpress},

author = {Wordpress},

howpublished = {https://Wordpress.org}

}

@online{wordpresssecurity,

title = {Site ofical Wordpress},

year = {2020},

organization = {Wordpress},

author = {Wordpress},

howpublished = {https://wordpress.org/about/security/}

}

@online{tutorial,

title = {Tutorial 23 | Instalação do Wordpress no Linux | PASSO A PASSO},

year = {2023},

organization = {Y5 Tecnologia},

author = {Y5 Tecnologia},

howpublished = {https://www.youtube.com/watch?v=PYrcdNfhyzU}

}

@online{hydra,

title = {THC-Hydra – Brute Force Attack FTP e SSH},

year = {2023},

organization = {100SECURITY},

author = {Marcos Henrique},

howpublished = {https://www.100security.com.br/hydra}

}

@online{fortnet,

title = {THC-Hydra – Brute Force Attack FTP e SSH},

year = {2023},

organization = {100SECURITY},

author = {Marcos Henrique},

howpublished = {https://www.fortinet.com/br}

}

@online{kali,

title = {site oficial kali},

year = {2023},

organization = {kali},

author = {kali},

howpublished = {https://www.kali.org}

}

@online{Debian,

title = {Site ofical debian},

year = {2024},

organization = {debian},

author = {debian},

howpublished = {https://www.debian.org/}

}

@online{Host,

title = {Site ofical hostinger},

year = {2024},

organization = {hostinger},

author = {Will M},

howpublished = {https://www.hostinger.com/tutorials/wordpress-security-issues}

}

@online{Hackersec,

title = {Site ofical hackersec},

year = {2018},

organization = {hackersec},

author = {hackersec},

howpublished = {https://hackersec.com/comandos-e-truques-com-thc-hydra-brute-force/}

}

@online{Wpexplorer,

title = {Site wpexplorer},

year = {2013},

organization = {wpexplorer},

author = {Freddy},

howpublished = {https://www.wpexplorer.com/history-wordpress/}

}

Downloads

Publicado

21-11-2024

Como Citar

Pinto, L. T., Coccia Bento, R. L., & Castaldin, A. G. . (2024). Um Ataque de Força Bruta em Site Wordpress. FatecSeg - Congresso De Segurança Da Informação, 1. Recuperado de https://www.fatecourinhos.edu.br/fatecseg/index.php/fatecseg/article/view/253

Edição

v. 1 (2024): 2024: IV FatecSeg - Congresso de Segurança da Informação

Seção

Segurança da Informação

Licença

Copyright (c) 2024 FatecSeg - Congresso de Segurança da Informação

Creative Commons License

Este trabalho está licenciado sob uma licença Creative Commons Attribution-NonCommercial 4.0 International License.