Olá, tudo bem?
Meu nome é César Martins, sou desenvolvedor e especialista em segurança da informação. Sou especializado em segurança ofensiva, gerando testes de penetração contra redes, sistemas e aplicações. Sou certificado a nível internacional pelo EC-Council, como hacker ético.
Percebi sua necessidade em encontrar um profissional capaz de encontrar e resolver possíveis falhas de segurança em seu site, e logo acessei o mesmo para realizar uma breve avaliação.
Gostaria de compartilhar o que pude constatar com minha avaliação.
Logo de imediato pude encontrar algumas falhas de segurança de nível intermediário, e outras que representam um risco maior.
1 - Seu servidor expõe dados sobre o que é executado nele, inclusive indicando a versão das aplicações.
2 - Alguns arquivos nativos do Wordpress, são acessíveis e possibilitam a geração de ataques DDoS contra outros sites, além de vazarem outras informações.
3 - Consegui listar membros do site, o que me possibilita realizar ataques direcionados contra estes mesmos usuários, incluindo o administrador.
a)
Nome: Equipe Veicular Web
Nome de usuário: veicularweb
b)
Nome: Vanessa Nere
Nome de usuário: vanessa
4 - Estrutura do Wordpress mantida como original, o que facilita ataques direcionados à plataforma, além da obtenção de dados privilegiados, como tema e plugins usados.
Como exemplo, o tema usado é o Sahifa 5.6.0, que na versão 2.4 teve uma falha grave de segurança.
5 - Seu servidor permite exploração, podendo sofrer perda de desempenho, ou até mesmo negação de serviço (sair do ar), caso não seja invadido antes.
6 - Seu site não utiliza política de segurança, o que facilita exponencialmente a possibilidade de sofrer injeções de código em algum vetor de entrada.
7 - Seu site é passível de receber ataques de força bruta para o descobrimento de senha dos usuários, incluindo o administrador.
Ficarei feliz caso eu tenha seu aval para dar maiores detalhes sobre o que foi encontrado, tão bem como poder resolver estas, e outras falhas, que eventualmente surgirem em uma avaliação mais profunda. Sou totalmente comunicável e podemos negociar o valor do trabalho.
Um grande abraço!