¿Cómo usar WordPressA Challenge?

El pasado sábado 13 de febrero de 2016 estuve en la MorterueloCon dando un taller de seguridad en WordPress que tenía el objetivo de enseñar de una forma amena y técnica cuales son los procesos que se deben llevar acabo para realizar un test de intrusión y como protegernos de diferentes ataques que sufren todos los días miles de usuarios con este gestor de contenido.

Tras tantear a los diferentes asistentes y ver sus conocimientos técnicos decidí cambiar la orientación del taller y explicar desde cero a intalar un WordPress, engañar a un administrados con una falsificación de una petición maliciosa que robe sus cookies, protegernos con plugins  (ithemes security, WordPressA Security, Akismet, etc) y unos pequeños retos con WordPressA Challenge.

Este último es de lo que voy hablar hoy para que sirva como guia a las personas que quieran instalarlo y aprender sobre este asunto.

¿Qué es WordPressA Challenge?

WordPressA Challenge es un plugin de WordPress diseñado para ser vulnerable con diferentes retos básicos que el usuario tendrá que ir superando con el objetivo de concienciar y responsabilizar a las empresas y particulares que programan este tipo de aplicaciones.

Los retos se estructuran de la siguiente forma:wordpressa-challenge

  • XSS (Cross-site scripting) tiene 4 retos donde la dificultad va aumentando (abstenerse hacerlo personas con altos conocimientos)
  • SQLi (SQL injection) es un único reto donde el usuario tendrá que extraer el usuario de la plataforma.
  • Un Uploader donde el objetivo es subir un php shell.
  • Un reto sorpresa.

Nota: recuerda que algunos navegadores pueden impedir el xss como el Chrome. Si es así, usar otro.

¿Cómo descargar WordPressA Challenge?

No encontrarás ningún plugin nuestro en los repositorios de WordPress debido a que nosotros tenemos nuestra propia plataforma. Para su descarga deberás acceder a WordPressA.quantika14.com y bajar hasta la tabla “plugins”.

WpA1

Además puedes aprovechar para darle un vistazo a la documentación que tenemos sobre exploiting en WP, backdoor, WordPressA Repository, buenas pautas de desarrollo seguro en plugins, etc.

Al pinchar en el enlace que aparece en la imagen de la derecha te dirigirás hacia una web que te pedirá el registro de un usuario y un correo electrónico. El mismo correo electrónico no podrá registrarse 2 veces. Esto simplemente es para gestionar el avance de los retos por ejemplo en los cursos y talleres que imparto.

WpA2Ingresa los datos y recuerdalos bien porque los necesitaras posteriormente para iniciar el plugin.

Si todo lo has puesto correctamente accederás a una web que tendrá un botón y texto que dice: “Gracias por registrarte. Descarga nuestro plugin en el siguiente botón”

¿Cómo instalar WordPressA Challenge en mi WordPress?

Después del anterior paso iremos a panel de administración de nuestro WP y entramos en “Plugins>Añadir Nuevo“.

Arriba un botón con el texto “Subir Plugin” será nuestro objetivo. Tras pinchar subimos el archivo .zip que contiene el plugin y lo activamos.

Luego iremos otra vez al menú de la izquierda observando que ya aparece una nueva sección con el nombre de “WordPressA Challenge”. Pinchamos y insertamos los datos de email y usuario con los que nos hemos registrado. Ya lo único que queda es disfrutar las diferentes pruebas que hemos preparado para ti.

Por último deciros que en breve tendremos subido el curso de seguridad en WordPress y si quieres estar informado sobre los eventos y cursos que realizamos durante todo el año debes seguirnos en Twitter y Facebook.

Add a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *