A lo largo de los últimos años hemos ido desarrollando nuestra visión del Pentesting Persistente a través de dos herramientas, como son Faast y Vamps. Con estas soluciones hacemos un pentesting 365 días al año, 24 x 7, de la superficie expuesta a Internet de una organización, y nos permite hacer una revisión voraz de todo la infraestructura.

Durante el último Security Innovation Day 2017 presentamos la evolución de nuestras soluciones empresariales B2B para llevarlas a verticales de empresas mono-plataforma, y comenzamos por WordPress lanzando Faast for WordPress.

La aproximación que utilizamos para la construcción de esta solución verticalizada es la existencia de muchas pequeñas empresas que utilizan WordPress como único framewok en su única exposición a Internet. Es decir, que toda la infraestructura que tienen en la red es un servidor de WordPress en el que basan su negocio.

Nosotros hemos estudiado a fondo los problemas de seguridad de WordPress, incluso sus limitaciones en arquitectura. Dichos trabajos se han plasmado en plugins para Faast, en el libro de Máxima Seguridad en WordPress y lo que se explica en la charla de Hardening WordPress like a Hacker que hicimos a finales del año pasado.

Ahora, hemos querido juntar todo ese en una herramienta "Self Service" en la que el administrador de un sitio pueda lanzar cuando lo desee un escaneo de seguridad a su WordPress desde nuestro servicio Faast for WordPress. Para ello debe demostrar que el servidor le pertenece añadiendo un QRCode (figura 3) que genera nuestra plataforma a su servicio.

Después, desde una consola muy sencilla cada usuario puede dar de alta su WordPress y lanzar los procesos de pentesting periódica o diariamente. Nosotros mantenemos toda la información de la knowledge base actualizada, y dando consejos de cómo solucionar cada una de las vulnerabilidades y/o debilidades que se detecten.

Figura 5: Funcionamiento de Faast for WordPress

El funcionamiento es muy sencillo, y para que lo veáis os hemos hecho este pequeño vídeo que muestra cómo sería la experiencia del usuario. Simplemente dar de alta del dominio, lanzar el escaner y recibir las indicaciones. Por detrás, toda la arquitectura de Faast funciona con un proceso de algoritmo voraz revisando todos los puntos del sitio.

Saludos Malignos!