Como Wordpress é importante para o mundo HACKER

No nosso último vídeo, percebemos uma coisa muito interessante. O nosso cliente utiliza o Wordpress. E no final desse slide, naturalmente, tem um agradecimento que eu tenho que fazer, você tem que ver. Bom, vamos lá. Então vamos usar o Cali. Vamos utilizar dentro do Cali uma ferramenta chamada WPScan para trabalhar a questão de vulnerabilidades, na verdade, localizar vulnerabilidades no Wordpress. Então vamos lá. Nossa Deus, a Cali, caro. Lembrando que todo conteúdo aqui ele vem de ambiente controlado, naturalmente. E quando ele vem de fora do meu ambiente, ele é público, ou seja, está tudo na internet. A página que nós estamos olhando está na internet, o HTML está na internet. E se alguém cometer um erro foi quem nos deu o HTML. Naturalmente, se eu mencionar qualquer coisa aqui de tecnologia, falar mal de Wordpress, por exemplo, é apenas para fins didáticos, é um homenagem a calicar e acesse o curso hacker.com.br. Ah, olá, eu sou não importa.web. Vamos falar de WPScan. Não está nesse livro, é um material extra, mas esse livro aqui ele é muito bom. Nós estamos, digamos assim, 80% do nosso curso está baseado nesse livro. Você acha ele por aí? Em livrarias e em lugares especiais. Por aí. Aí já é você que vai fazer o errado, não sou eu. Wordpress. Todo dia é dia de zero day quando uso Wordpress. E essa frase eu venho falando há um bom tempo. Desde 2018 eu venho falando sobre Wordpress, que eu até cansei de falar de Wordpress. Eu vejo uma matéria Wordpress, eu pulo, porque eu já cansei de dizer isso aqui. Bom, vamos lá. A preguiça é o caminho mais rápido para você ser invadido. Exemplo, não quero programar, vou colocar Wordpress. Não quero programador, vou economizar, vou colocar um Wordpress. Ai, minha nossa senhora. É até um sacrilegio falar isso aqui, né? Calicar. Wordpress é um sistema de gerenciamento de conteúdo, CMS, gratuito de código aberto, que permite que pessoas então criem e gerenciam sites com facilidade. No passado, existe um tal de Dotnet Nuke, que ele era um ambiente, um CMS, só que você tinha que ter o programador customizando ele. Wordpress, ele traz uma outra visão. A ideia é que você não tem que saber nada de programação. Zero, zero programador, zero equipe de TI, zero tudo. E zero na conta bancária, né? Porque se você tomar um processo de LGPD, você vai ficar no zero. Mas essa é a ideia, beleza? Foi mal, galera. Bom, eu estou falando que eu comecei isso aqui completamente enviesado, falando mal do Wordpress. Não posso ser enviesado nesse curso, senão, no Vendo Curso. Naturalmente, ele é criado como uma plataforma de blog, software de press, evolui ao longo dos anos. Hoje em dia, permite que seus usuários criem vários tipos de site, não só blogs, portfólios, empresas, vendas. Tenho um plugin muito utilizado, na verdade, plugin têmito do mais chamado Ocoma. Isso não errei a minha pronúncia aqui. Cara, é absurdo. Só pra vocês terem uma noção, o Wordpress é utilizado em 42% de todos os sites do mundo. O Wordpress está em praticamente 90% das prefeituras do Brasil. Ou seja, nós temos 5.560 prefeituras, se não falha a minha memória. Não que eu esteja procurando essas coisas. Cara, pince, olha você irractivista, o universo que você tem. As empresas colocam o Wordpress, isso é importante pra nós. Os dados indicam que 605 milhões de sites utilizam o Wordpress e são alvos legítimos, como dizem por aí. Estou sacaneando, hein? O Wordpress detém uma participação de 59% do mercado de CMS. Existem 30 mil temas disponíveis para o Wordpress. Cara, isso é muito importante. Por quê? Eu vou explicar pra você. Nós temos que ter uma sangria desenfreada para atualizar os servidores o tempo inteiro. Exemplo, acabei de atualizar um servidor. Adivinque que eu já estou fazendo. Eu já estou aqui agendando, naturalmente, um evento em que, no futuro, muito próximo, eu vou começar a encher o saco de todo mundo para atualizar esse servidor de novo. Eu já não atualizo mais. Agora eu peço para atualizar. Antigamente eu participava dessa merda. E isso é uma bosta, porque os sites caem, as coisas param de funcionar. Então, a tendência é você não atualizar, porque senão as coisas vão cair. E a grande força da equipe de security está em atualização. A atualização resolve 99% dos problemas que você vai encontrar. Alguns casos raros que atualização é um problema. Next, Js, nós tivemos também naquela falha do Tomcat com Java, também que a atualização do Java levava um problema, ou seja, o Java versão antiga não tinha o problema. Sim, alguns pontos. Vamos colocar assim. Na história que nós tivemos a atualização como um problema. Alguns pequenos pontos na história. Mas em suma, atualizar resolve 99,99% dos casos. E aí, esses temas são completamente amarrados as versões de PHP, as versões de outros componentes. E quanto mais componente o cara coloca aqui dentro, mais ele fica amarrado a versões antigas de tecnologias. Mais difícil é devoluir. Entendeu por que isso é muito bom para nós, aqui do mundo hacker? Porra, nós vamos ter trabalho por resta da vida, rapaz. Por mim que o WordPress seja usado em 90% da internet. Vou ter trabalho por resta da vida. Isso é a coisa mais feliz do mundo para a minha vida. Você tem um plugin... Plugin gratuito. Isso é muito bom, amiguinho. Sabe como é que eles fazem plugin? Funciona assim. Olha só. Vou ter que desenhar por vocês. Porra, cara. Vamos lá. Nomes aqui são meramente... Fiquetíceos, uma história fiquetícia de pessoas fiquetíces. Então eu tenho aqui uma pessoa no planeta que não gosta de estudar, né? O nome dele é Rábio. Ele não gosta de estudar, ele tem uma preguiça da porra de estudar. Aí, o que acontece? Ele tem um negocinho lá, aí ele colocou o tal do WordPress. Um negocinho dele lá. Olha lá que negocinho é esse que você vai pensar. Ele colocou o WordPress e o Rábio instalou o nosso amigo WordPress. E aí, ele instalou um plugin. Aí ele viu o seguinte poxa, sabe de uma coisa? Não é que eu sou completamente analfabeto em tecnologia. Digamos que eu tenho um pouquinho de conhecimento de PHPzinho básico. Mas eu tenho preguiça de ser mais evoluída. Vindo básico. Aí o tal do Rábio, ele vai lá e faz um plug-in para ele, o negócio dele. E ninguém tentou invadir o negócio dele, ninguém tentou e no negócio dele. Essa é a verdade. Aí ele vira e fala assim, porra, quero ganhar dinheiro com isso aqui. Então Rábio pega isso aqui e transforma isso aqui num plug-in pago, ou gratuito. Vamos colocar plug-in gratuito. Opa! Ele criou um plug-in free dele lá. E aí meu amigo, um monte de idiota por aí, que também não gosta de fazer pôrra nenhuma da vida. A não ser ficar jogando vulnerabilidade em clientes. Eles nem olham o cara, o cara, tu falando sério, o cara nem olha isso aqui. Ele vai estala no cliente dele, o outro estala no cliente dele. Ele nem olha o código fonte, ele não verifica se tem uma requisição externa. Ele não verifica se tem, por exemplo, base64. Ele não verifica se tem, por exemplo, array de números para virar charres, para você fazer ocultação de URL. Nada! Nada! Nada! Nada! Nada! Então ele é feito por um knob, ele é feito por um knob, certo? Para um monte de knobs. Aí, um monte de knobzinho aqui, um monte de knobzinho. Um monte de knobzinho. Ah, quanto mais baixar melhor, quanto mais fraco melhor, quanto mais ruim o cara melhor, quanto mais preguiçoso melhor, quanto menos estudar melhor para mim. Certo? Aí, um batalhão de merdas. Entenderam? Essa é a verdade. Porra, foi mal, galera. Expliquei o cenário ou de presa aqui de uma forma muito bem explicada. Por isso que eu não vendo esse curso na Udemy, né? Se não esse curso seria removido da Udemy na primeira cena. Ó, o commerce! O commerce! Ou como, né? Ou commerce. Tem 33% do mercado comércio eletrônico no mundo, rapaz. Você quer vender uma camisa, um short? Coloca essa porra desse pluguinho aí, cara. Foi mal, falei palavrão de novo. 208 idiomas, 53 versões desde sua criação, 10 países, 30 milhões de sites. Pô, tá aqui, páreo. Veja o potencial disso como alvo de sua vida. Dá pra você se especializar em WordPress e virar um hacker especialista em WordPress e ter trabalho por resto da vida. Feliz da vida. E ser o cara mais foda em WordPress no planeta. Ou construir ferramentas para solucionar problemas do WordPress. Porque o WordPress vai sempre ter ali novas merdas aparecendo, novas versões aparecendo. E tudo mais. Boa parte dos sites de prefeituras e partidos políticos no Brasil são feitos em WordPress. Calicar, adorar. Mas é isso que eu quero agradecer. Não tem mais coisa pra agradecer. Você vai lá no site dos caras e tem vários pluguinhos, muitas estrelas e tudo mais. Estela tem sempre bastante. Isso é muito bom, tá? Bom. Feito por quem não entende o assunto aos perigos com S-Maius, clã. Plugins desenvolvidos por terceiro que estão cagando. Plugins e temas que impede atualização, você vem aqui e coloca um plugin desse. Aí você vai passar para o novo WordPress, que tem um monte de correção de vulnerabilidade. Adivinha, não pode. Porque o plugin que você escolheu não se adaptou ainda para o novo WordPress. E aí você fica amarrado num WordPress antigo. E isso quando o seu tema impede que você evolua. Porque o tema é pior. Técnicas de invasão de tudo pré-estabelecidas. Todo dia tem zero day no mundo WordPress. E isso é um puta perigo. Próxima videoaula. Eu vou falar justamente sobre o WP Scan. E vamos brincar com o WP Scan aqui no nosso contratante. Que infelizmente ele é preguiçosão e colocou WordPress. Todo dia é dia de zero day quando eu tenho WordPress. Até mais.