CMS Wordpress je velmi oblíbený a rozšířený při tvorbě webu. Je snadno dostupný a lehce ovladatelný. Webové stránky ve Wordpressu často dělají začátečníci, kteří nic nevědí o bezpečnosti. Současné verze Wordpressu jsou celkem dobře zabezpečené, přesto se někdy mohou stát cílem útoku. Nabízíme pár typů a triků jak rychle zkontrolovat úroveň zabezpečení a opravit případné chyby. V případě zájmu vaší instalaci zkontrolujeme, upozorníme vás na chyby a zranitelnosti, navrhneme jak zabezpečení zlepšit.
Upozorňujeme, že testovat by jste měli pouze vaše systémy nebo systémy kde máte testy schválené jejich vlastníkem. Testování cizích systému může být považováno za útok.
Na rychlou kontrolu Wordpressu se výborně hodí toolka wpscan. Dostupná je třeba v kali linuxu. Práce s ní je pro zkušenějšího uživatele snadná. Spustíte wpscan s parametrem URL webu a api tokenem.
Některé weby mohou být zabezpečené pomocí WAF (Web Application Firewall) a wpscanu se brání.
Toto zabezpečení můžete zkusit obejít pomocí parametru --random-user-agent
Výsledek kontroly je trochu nepřehledný, může ho však nechat naformátovat pomocí wpscan_out_parse.
V tomto konkrétním případě jsme detekovali aktuální verzi Wordpressu a zastarávající verze chatbota a šablony. Tyto nálezy nepředstavují žádné vážnější riziko, přesto je lepší plugin a šablonu aktualizovat. Zhodnocení rizika, které spočívá v provozování zastaralých pluginů by měl provést někdo zkušený. Často právě pluginy jsou pro útočníka snadnou cestou k hackování. Při testech nacházíme zastaralé pluginy celkem často.
Během vývoje Wordpressu se zabezpečení zohledňuje, nový kód bývá testován a kontrolován vážnější zranitelnosti přímo v CMS se tak vyskytují zřídka. O pluginech to, ale neplatí. Vyvíjejí se živelně a zabezpečení pokulhává. Vyplatí se být obezřetný a instalovat jenom pluginy kterým důvěřujete a aktivně je využíváte.
RT
Komentáře
Okomentovat