\n WordPress \u2013 eine bequeme Plattform f\u00fcr die Ver\u00f6ffentlichung von Artikeln und Verwaltung, die auf einer Vielzahl verschiedener Websites basiert. Aufgrund seiner Verbreitung war dieses CMS lange Zeit ein Leckerbissen f\u00fcr Hacker.\n<\/p>\n
\n Leider bieten die Grundeinstellungen keinen ausreichenden Schutz, so dass viele Kreditl\u00f6cher offen bleiben. In diesem Artikel gehen wir eine typische \u201eModell“-Hacking-Site auf WordPress durch und zeigen, wie identifizierte Schwachstellen behoben werden k\u00f6nnen.\n<\/p>\n
\n Heute ist das Content-Management-System WordPress das beliebteste. Ihr Anteil betr\u00e4gt 60,4 % der Gesamtzahl der Websites, die CMS-Engines verwenden. Davon basieren laut Statistik 67,3 % der Seiten auf der neusten Version der Software. Inzwischen wurden in den zw\u00f6lf Jahren der Web-Engine 242 Schwachstellen unterschiedlicher Art gefunden (ohne Schwachstellen, die in Plug-Ins und Themes von Drittanbietern gefunden wurden). Eine Add-On-Statistik von Drittanbietern ist noch trauriger. So f\u00fchrte das Unternehmen eine Analyse in 2350 Revisi-Russified-Templates f\u00fcr WordPress durch, die aus verschiedenen Quellen stammen. Als Ergebnis fanden sie heraus, dass mehr als die H\u00e4lfte (54 %) von infizierten Web Shells, Backdoors, Blackhat-SEO-Links (\u201eSpam“) und Skripts kritische Sicherheitsl\u00fccken enthielten. Also lehn dich zur\u00fcck, Jetzt werden wir verstehen, wie man ein Audit auf der WordPress-Site durchf\u00fchrt und die gefundenen M\u00e4ngel beseitigt. Verwendung wird Version 4 sein.\n<\/p>\n
\n Der erste Schritt bei jedem Test besteht normalerweise darin, Informationen \u00fcber das Ziel zu sammeln. Und dann hilft sehr oft eine Fehlkonfiguration Indexing-Site, die es unbefugten Benutzern erm\u00f6glicht, die Inhalte bestimmter Bereiche der Site einzusehen und beispielsweise Informationen \u00fcber installierte Plug-Ins und Themes sowie Zugriff auf vertrauliche Daten oder Backups von Datenbanken zu erhalten. Um zu pr\u00fcfen, welche Verzeichnisse von au\u00dfen sichtbar sind, nutzt Google am einfachsten die Vorteile. Es reicht aus, eine Abfrage vom Typ Google Dorks auszuf\u00fchren site: example.com intitle: \u00abindex of\u00bb inurl: \/ wp-content \/. Der Operator inurl: Sie k\u00f6nnen folgende Verzeichnisse angeben:\n<\/p>\n
\n \n Wenn Sie den \/wp-content\/plugins\/ anzeigen k\u00f6nnen, wird das Sammeln von Informationen \u00fcber installierte Plug-ins und deren Versionen im n\u00e4chsten Schritt erheblich vereinfacht. Nat\u00fcrlich k\u00f6nnen Sie die Indizierung \u00fcber die Datei robots.txt verhindern. Daher ist es standardm\u00e4\u00dfig nicht im Installationspaket von WordPress enthalten, es ist notwendig, es zu erstellen und sich in das Stammverzeichnis der Website zu werfen. Anleitungen zum Erstellen und Arbeiten mit der robots.txt-Datei sind ziemlich viele, also lassen Sie dieses Thema f\u00fcr sich. Um nur eine der m\u00f6glichen Optionen zu nennen:\n<\/p>\n \n Wenn es sich bei den in einem Ordner gespeicherten Dateien um vertrauliche Informationen handelt, f\u00fcgen Sie diese Listenzeile hinzu: Disallow: \/wp-content\/uploads\/. Andererseits wird die robots.txt-Datei nicht empfohlen, um Links zu Verzeichnissen zu platzieren, die speziell f\u00fcr die Speicherung sensibler Informationen erstellt wurden. Ansonsten erleichtert man dem Angreifer damit die Arbeit, denn das ist die erste Stelle, an der normalerweise alle auf der Suche nach \u201eYammy“ suchen.\n<\/p>\n \n Um den Zugriff auf vertrauliche Informationen einzuschr\u00e4nken, ist es besser, die Datei .htaccess zu verwenden \u2013 es ist eine Konfigurationsdatei, die von Apache Web Server verwendet wird. Betrachten Sie die M\u00f6glichkeit der Datei vom Standpunkt der Sicherheit. Damit k\u00f6nnen Sie: den Zugriff auf Verzeichnisse und Dateien verweigern, verschiedene SQL-Injektionen und sch\u00e4dliche Skripte sperren. F\u00fcr diese Standard-.htaccess-Datei f\u00fcr CMS WordPress 4.1 m\u00fcssen Sie etwas erweitern. Um die Liste der Dateien und Ordner zu schlie\u00dfen, f\u00fcgen Sie Folgendes hinzu:\n<\/p>\n \n Blockreferenzen, die die Codierung Base64 enthalten. Entfernen Sie Links, die das Tag enthalten :\n<\/p>\n \n Um Skripten entgegenzuwirken, die versuchen, globale Variablen zu setzen oder \n Um SQL-Injection-Blockierungsanforderungen an die URL entgegenzuwirken, die bestimmte Schl\u00fcsselw\u00f6rter enthalten:\n<\/p>\n \n Um das Leben g\u00e4ngiger Hacking-Tools zu verderben, filtern Sie bestimmte User-Agents:\n<\/p>\n \n Es w\u00e4re sch\u00f6n, den Zugriff auf kritische Dateien zu beschr\u00e4nken, die die Konfiguration speichern oder einem Angreifer nur einige Informationen geben k\u00f6nnen. Sie k\u00f6nnen folgende Kandidaten ausw\u00e4hlen:\n<\/p>\n \n Dies geschieht wie folgt:\n<\/p>\n \n Die Datei .htaccess, die diese Zeilen enth\u00e4lt, sollte sich im selben Verzeichnis befinden, in dem die Datei gesch\u00fctzt ist. Erlauben Sie dann keine Auflistung von Benutzern (erinnern Sie sich, dass wir etwas weiter oben dar\u00fcber gesprochen haben, wie einfach es ist, eine Liste von Benutzern zu erhalten?):\n<\/p>\n \n Also, was sonst? Sie k\u00f6nnen den Zugang nur von bestimmten IP-Adressen erlauben. Erstellen Sie dazu in Ihrem wp-admin eine .htaccess-Datei mit folgenden Regeln:\n<\/p>\n \n Das Verfahren ist nicht sehr flexibel und nur anwendbar, wenn Sie mit einer begrenzten Anzahl fester IP-Adressen arbeiten. Andernfalls wird empfohlen, ein Passwort f\u00fcr den Ordner wp-admin panel \u00fcber das Hosting festzulegen (falls diese Funktionalit\u00e4t vorhanden ist).\n<\/p>\n \n Eine Reihe von Regeln 5G Blacklist und 6G Blacklist Beta von Perishable Press, mit denen Sie mit weit verbreiteten b\u00f6swilligen URL-Anfragen f\u00fcr WordPress umgehen k\u00f6nnen.\n<\/p>\n \n Neben dem oben Gesagten k\u00f6nnen die folgenden Empfehlungen hinzugef\u00fcgt werden. Verwenden Sie zun\u00e4chst nur die neuesten Versionen von WordPress und seinen Komponenten \u2013 dadurch werden bekannte Schwachstellen beseitigt. Zweitens entfernen Sie die Plugins und Themen, die auch proekspluatirovat sein k\u00f6nnen. Laden Sie drittens die WordPress-Designs und -Plugins aus zuverl\u00e4ssigen Quellen herunter, wie z. B. den Websites von Entwicklern und der offiziellen Website von WordPress. Neben dem Heim-PC m\u00fcssen Sie regelm\u00e4\u00dfig Ihre Webressource Web Antivirus \u00fcberpr\u00fcfen, z. B. AI-Bolit. Wenn Sie Zugriff auf den Webserver haben, stimmen die Zugriffsrechte auf Dateien und Verzeichnisse \u00fcberein. Typischerweise setzt WordPress in der Installationsphase volle Rechte, bei Bedarf kann chmod aber auch manuell gesetzt werden. F\u00fcr Verzeichnis \u2013 chmod 755 f\u00fcr Dateien \u2013 chmod 644. Stellen Sie sicher, dass die Rechte von 777 nur denjenigen Einrichtungen zugewiesen werden, die sie ben\u00f6tigen (manchmal ist es f\u00fcr den normalen Betrieb einiger Plug-Ins erforderlich). Wenn WordPress nicht mehr normal funktioniert, experimentieren Sie mit den Zugriffsrechten: Versuchen Sie zuerst 755, dann 766 und schlie\u00dflich 777. Damit alle htaccess-Dateien verf\u00fcgbar sind, chmod 444 (nur lesen). Wenn die Site nicht mehr funktioniert, versuchen Sie, mit Werten von 400, 440, 444, 600, 640, 644 zu experimentieren.\n<\/p>\n \n Verschieben Sie die Datei wp-config.php. Diese Datei enth\u00e4lt Informationen zu den Einstellungen, MySQL, dem Tabellenpr\u00e4fix, geheimen Schl\u00fcsseln und mehr. Daher ist es notwendig, die Datei zu \u00fcbertragen, die nicht aus dem Internet verf\u00fcgbar war. Wenn sich die Seite nicht im Ordner public_html befindet, dann ziehe die Datei wp-config.php in die Ordnerebene dar\u00fcber, und WordPress findet sie automatisch im Stammverzeichnis (gilt, wenn es nur eine Hosting-Seite dieses CMS gibt).\n<\/p>\n \n Um die Casting-Shell zu verkomplizieren, deaktivieren Sie die M\u00f6glichkeit, Threads in der WordPress-Konsole zu bearbeiten. F\u00fcgen Sie dazu in der Datei wp-config.php folgende Zeile ein:\n<\/p>\n \n Eine weitere Schwachstelle \u2013 die Datei install.php (im Ordner wp-admin). Daher ist es besser, sie zu entfernen, zu blockieren oder zu \u00e4ndern. F\u00fchren Sie einen der folgenden Schritte aus:\n<\/p>\n <\/p>\n\/wp-content\/<\/code>
\n \/wp-content\/languages\/plugins<\/code>
\n \/wp-content\/languages\/themes<\/code>
\n \/wp-content\/plugins\/<\/code>
\n \/wp-content\/themes\/<\/code>
\n \/wp-content\/uploads\/<\/code>\n<\/p>\nUser-Agent: *\nDisallow: \/cgi-bin\nDisallow: \/wp-login.php\nDisallow: \/wp-admin\/\nDisallow: \/wp-includes\/\nDisallow: \/wp-content\/\nDisallow: \/wp-content\/plugins\/\nDisallow: \/wp-content\/themes\/\nDisallow: \/?author=*\nAllow: \/<\/code><\/pre>\n\n Sicherheits-Plugins f\u00fcr WordPress
\n<\/h5>\n\n
\n .htaccess verbinden
\n<\/h5>\nOptions +FollowSymLinks -Indexes\n \nRewriteCond %{QUERY_STRING} base64_encode[^(]*([^)]*) [OR]<\/code><\/pre>\nRewriteCond %{QUERY_STRING} (|%3E) [NC,OR]<\/code><\/pre>\n_REQUEST<\/code>Variablen per URL zu \u00e4ndern:\n<\/p>\nRewriteCond %{QUERY_STRING} GLOBALS (=|[|%[0-9A-Z]{0,2}) [OR]\nRewriteCond %{QUERY_STRING} _REQUEST (=|[|%[0-9A-Z]{0,2})<\/code><\/pre>\nRewriteCond %{query_string} concat.*( [NC,OR]\nRewriteCond %{query_string} union.*select.*( [NC,OR]\nRewriteCond %{query_string} union.*all.*select [NC]\nRewriteRule ^(.*)$ index.php [F,L]<\/code><\/pre>\nSetEnvIf user-agent \u00abIndy Library\u00bb stayout=1\nSetEnvIf user-agent \u00ablibwww-perl\u00bb stayout=1\nSetEnvIf user-agent \u00abWget\u00bb stayout=1\ndeny from env=stayout<\/code><\/pre>\n\n Sch\u00fctzt Dateien
\n<\/h5>\n\n
\nOrder Allow,Deny\nDeny from all\n<\/code><\/pre>\nRewriteCond %{QUERY_STRING} author=d\nRewriteRule ^ \/? [L,R=301]<\/code><\/pre>\nAuthUserFile \/dev\/null\nAuthGroupFile \/dev\/null\nAuthName \"Access Control\"\nAuthType Basic\norder deny,allow\ndeny from all\nallow from 178.178.178.178 # IP Home computer\nallow from 248.248.248.248 # IP Work computer<\/code><\/pre>\n\n WWW
\n<\/h5>\n\n Zus\u00e4tzliche Ma\u00dfnahmen
\n<\/h5>\ndefine ('DISALLOW_FILE_EDIT', true) ;<\/code><\/pre>\n\n
<?php header(\"HTTP\/1.1 503 Service Temporarily Unavailable\"); ?>\n<?php header(\"Status 503 Service Temporarily Unavailable\"); ?>\n<?php header(\"Retry-After 3600\"); \/\/ 60 minutes ?>\n<?php mail(\"your@email.com\", \"Database Error\", \"There is a problem with teh database!\"); ?>\n\n\n\n<\/code><\/pre>\n\n<\/pre>\n