\n WordPress \u2013 une plate-forme pratique pour la publication d’articles et de gestion, qui repose sur un grand nombre de sites diff\u00e9rents. En raison de sa pr\u00e9valence, ce CMS a longtemps \u00e9t\u00e9 un morceau savoureux pour les pirates.\n<\/p>\n
\n Malheureusement, les param\u00e8tres de base n’offrent pas un niveau de protection ad\u00e9quat, laissant de nombreux trous non couverts par d\u00e9faut de cr\u00e9dit. Dans cet article, nous allons passer en revue un site de piratage \u00ab\u00a0mod\u00e8le\u00a0\u00bb typique sur WordPress et montrer comment corriger les vuln\u00e9rabilit\u00e9s identifi\u00e9es.\n<\/p>\n
\n Aujourd’hui, le syst\u00e8me de gestion de contenu WordPress est le plus populaire. Sa part est de 60,4% du nombre total de sites utilisant des moteurs CMS. Parmi ceux-ci, selon les statistiques, 67,3% des sites bas\u00e9s sur la derni\u00e8re version du logiciel. Pendant ce temps, au cours des douze ann\u00e9es du moteur Web, 242 vuln\u00e9rabilit\u00e9s de toutes sortes ont \u00e9t\u00e9 d\u00e9couvertes (\u00e0 l’exclusion des vuln\u00e9rabilit\u00e9s trouv\u00e9es dans des plug-ins et des th\u00e8mes tiers). Une statistique de modules compl\u00e9mentaires tiers est encore plus triste. Ainsi, la soci\u00e9t\u00e9 a proc\u00e9d\u00e9 \u00e0 une analyse de 2350 mod\u00e8les russifi\u00e9s Revisium pour WordPress, issus de diff\u00e9rentes sources. En cons\u00e9quence, ils ont d\u00e9couvert que plus de la moiti\u00e9 (54 %) \u00e9taient infect\u00e9s par Web Shell, les portes d\u00e9rob\u00e9es, les liens blackhat seo (\u00ab\u00a0spam\u00a0\u00bb) et les scripts contenant des vuln\u00e9rabilit\u00e9s critiques. Alors asseyez-vous, nous allons maintenant comprendre comment r\u00e9aliser un audit sur le site WordPress et \u00e9liminer les lacunes constat\u00e9es. L’utilisation sera la version 4.\n<\/p>\n
\n La premi\u00e8re \u00e9tape de tout test consiste g\u00e9n\u00e9ralement \u00e0 collecter des informations sur la cible. Et puis tr\u00e8s souvent cela aide \u00e0 une mauvaise configuration Indexation du site qui permet \u00e0 des utilisateurs non autoris\u00e9s de consulter le contenu de certaines rubriques du site et, par exemple, d’obtenir des informations sur les plug-ins et th\u00e8mes install\u00e9s, ainsi que d’acc\u00e9der \u00e0 des donn\u00e9es confidentielles ou \u00e0 des sauvegardes de bases de donn\u00e9es. Pour v\u00e9rifier quels r\u00e9pertoires sont visibles de l’ext\u00e9rieur, le moyen le plus simple de profiter de Google. Il suffit de lancer une requ\u00eate de type Google Dorks site: example.com intitle: \u00abindex of\u00bb inurl: \/wp-content\/. L’op\u00e9rateur inurl : Vous pouvez sp\u00e9cifier les r\u00e9pertoires suivants :\n<\/p>\n
\n \n Si vous pouvez afficher le \/wp-content\/plugins\/, l’\u00e9tape suivante consiste \u00e0 collecter des informations sur les plug-ins install\u00e9s et leurs versions est grandement simplifi\u00e9e. Naturellement, vous pouvez emp\u00eacher l’indexation en utilisant le fichier robots.txt. Donc par d\u00e9faut il n’est pas inclus dans le package d’installation de WordPress, il faut le cr\u00e9er et se jeter dans le r\u00e9pertoire racine du site. Les manuels pour cr\u00e9er et travailler avec le fichier robots.txt sont assez nombreux, alors laissez ce sujet pour vous-m\u00eame. Pour donner une seule des options possibles :\n<\/p>\n \n Si les fichiers stock\u00e9s dans un dossier uploads, sont des informations confidentielles, ajoutez \u00e0 cette liste la ligne: Disallow: \/wp-content\/uploads\/. D’autre part, le fichier robots.txt n’est pas recommand\u00e9 pour placer des liens vers des r\u00e9pertoires qui ont \u00e9t\u00e9 cr\u00e9\u00e9s sp\u00e9cifiquement pour le stockage d’informations sensibles. Sinon, vous facilitez ainsi la t\u00e2che de l’agresseur, car c’est le premier endroit o\u00f9 g\u00e9n\u00e9ralement tous regardent \u00e0 la recherche de \u00ab\u00a0yammy\u00a0\u00bb.\n<\/p>\n \n Pour restreindre l’acc\u00e8s aux informations sensibles, il est pr\u00e9f\u00e9rable d’utiliser le fichier .htaccess – c’est un fichier de configuration utilis\u00e9 par Apache Web Server. Consid\u00e9rez la possibilit\u00e9 du fichier du point de vue de la s\u00e9curit\u00e9. Avec lui, vous pouvez: refuser l’acc\u00e8s aux r\u00e9pertoires et aux fichiers, verrouiller divers scripts d’injection SQL et malveillants. Pour ce fichier .htaccess standard pour CMS WordPress 4.1, vous devez d\u00e9velopper un peu. Pour fermer la liste des fichiers et dossiers, ajoutez :\n<\/p>\n \n R\u00e9f\u00e9rences de bloc contenant l’encodage Base64. D\u00e9barrassez-vous des liens contenant la balise :\n<\/p>\n \n Pour contrecarrer les scripts essayant de d\u00e9finir des variables globales ou de modifier \n Pour contrer les requ\u00eates de blocage d’injection SQL \u00e0 l’URL, contenant certains mots cl\u00e9s :\n<\/p>\n \n Pour g\u00e2cher la vie des outils de piratage courants, filtre certains user-agents :\n<\/p>\n \n Ce serait bien de limiter et d’acc\u00e9der aux fichiers critiques qui stockent la configuration ou qui peuvent simplement donner des informations \u00e0 un attaquant. Vous pouvez s\u00e9lectionner les candidats suivants :\n<\/p>\n \n Cela se fait comme suit:\n<\/p>\n \n Le fichier .htaccess, contenant ces lignes doit se trouver dans le m\u00eame r\u00e9pertoire que le fichier prot\u00e9g\u00e9. Ensuite, n’autorisez pas la liste des utilisateurs (rappelez-vous, un peu plus haut, nous avons parl\u00e9 de la facilit\u00e9 avec laquelle il est possible d’obtenir une liste d’utilisateurs ?) :\n<\/p>\n \n Alors quoi d’autre? Vous pouvez autoriser l’entr\u00e9e uniquement \u00e0 partir d’adresses IP sp\u00e9cifi\u00e9es. Pour cela, cr\u00e9ez un fichier .htaccess dans votre wp-admin avec les r\u00e8gles suivantes :\n<\/p>\n \n La m\u00e9thode n’est pas tr\u00e8s flexible et n’est applicable que si vous travaillez avec un nombre limit\u00e9 d’adresses IP fixes. Sinon, il est recommand\u00e9 de d\u00e9finir un mot de passe pour le dossier wp-admin panel via l’h\u00e9bergement (si cette fonctionnalit\u00e9).\n<\/p>\n \n Un ensemble de r\u00e8gles 5G Blacklist et 6G Blacklist beta de Perishable Press, qui vous permet de traiter les demandes d’URL malveillantes courantes pour WordPress.\n<\/p>\n \n Outre ce qui a \u00e9t\u00e9 dit ci-dessus, les recommandations suivantes peuvent \u00eatre ajout\u00e9es. Tout d’abord, utilisez uniquement les derni\u00e8res versions de WordPress et de ses composants – cela \u00e9liminera les vuln\u00e9rabilit\u00e9s connues. Deuxi\u00e8mement, supprimez les plugins et les th\u00e8mes, qui peuvent \u00e9galement \u00eatre proekspluatirovat. Troisi\u00e8mement, t\u00e9l\u00e9chargez les th\u00e8mes et plugins WordPress \u00e0 partir de sources fiables, telles que les sites de d\u00e9veloppeurs et le site officiel de WordPress. En plus du PC domestique, vous devez v\u00e9rifier p\u00e9riodiquement votre antivirus Web, par exemple AI-Bolit. Si vous avez acc\u00e8s au serveur Web, l’humeur des droits d’acc\u00e8s aux fichiers et r\u00e9pertoires. En r\u00e8gle g\u00e9n\u00e9rale, WordPress d\u00e9finit tous les droits lors de la phase d’installation, mais si n\u00e9cessaire, il peut \u00eatre d\u00e9fini manuellement chmod. Pour le r\u00e9pertoire – chmod 755 pour les fichiers – chmod 644. Assurez-vous que les droits de 777 sont attribu\u00e9s uniquement aux installations qui en ont besoin (parfois, il est n\u00e9cessaire pour le fonctionnement normal de certains plug-ins). Si WordPress a cess\u00e9 de fonctionner normalement, exp\u00e9rimentez avec les droits d’acc\u00e8s: Essayez d’abord 755, puis 766 et enfin 777. Pour tous les fichiers htaccess \u00e0 exposer chmod 444 (lecture seule). Si le site ne fonctionne plus, essayez d’exp\u00e9rimenter avec des valeurs de 400, 440, 444, 600, 640, 644.\n<\/p>\n \n D\u00e9placez le fichier wp-config.php. Ce fichier contient des informations sur les param\u00e8tres, MySQL, le pr\u00e9fixe de table, les cl\u00e9s secr\u00e8tes, etc. Par cons\u00e9quent, il est n\u00e9cessaire de transf\u00e9rer le fichier n’\u00e9tait pas disponible sur Internet. Si le site ne se trouve pas dans le dossier public_html, alors faites glisser le fichier wp-config.php dans le niveau de dossier au-dessus, et WordPress le trouvera automatiquement dans le r\u00e9pertoire racine (s’applique s’il n’y a qu’un seul site d’h\u00e9bergement de ce CMS).\n<\/p>\n \n Pour compliquer le casting shell, d\u00e9sactivez la possibilit\u00e9 d’\u00e9diter les threads de la console WordPress. Pour cela, ins\u00e9rez la ligne suivante dans le fichier wp-config.php :\n<\/p>\n \n Un autre point faible \u2013 le fichier install.php (dans le dossier wp-admin). Par cons\u00e9quent, il est pr\u00e9f\u00e9rable de supprimer, de bloquer ou de modifier. Effectuez l’une des op\u00e9rations suivantes :\n<\/p>\n <\/p>\n\/wp-content\/<\/code>
\n \/wp-content\/languages\/plugins<\/code>
\n \/wp-content\/languages\/themes<\/code>
\n \/wp-content\/plugins\/<\/code>
\n \/wp-content\/themes\/<\/code>
\n \/wp-content\/uploads\/<\/code>\n<\/p>\nUser-Agent: *\nDisallow: \/cgi-bin\nDisallow: \/wp-login.php\nDisallow: \/wp-admin\/\nDisallow: \/wp-includes\/\nDisallow: \/wp-content\/\nDisallow: \/wp-content\/plugins\/\nDisallow: \/wp-content\/themes\/\nDisallow: \/?author=*\nAllow: \/<\/code><\/pre>\n\n Plugins de s\u00e9curit\u00e9 pour WordPress
\n<\/h5>\n\n
\n Connecter .htaccess
\n<\/h5>\nOptions +FollowSymLinks -Indexes\n \nRewriteCond %{QUERY_STRING} base64_encode[^(]*([^)]*) [OR]<\/code><\/pre>\nRewriteCond %{QUERY_STRING} (|%3E) [NC,OR]<\/code><\/pre>\n_REQUEST<\/code>une variable via une URL :\n<\/p>\nRewriteCond %{QUERY_STRING} GLOBALS (=|[|%[0-9A-Z]{0,2}) [OR]\nRewriteCond %{QUERY_STRING} _REQUEST (=|[|%[0-9A-Z]{0,2})<\/code><\/pre>\nRewriteCond %{query_string} concat.*( [NC,OR]\nRewriteCond %{query_string} union.*select.*( [NC,OR]\nRewriteCond %{query_string} union.*all.*select [NC]\nRewriteRule ^(.*)$ index.php [F,L]<\/code><\/pre>\nSetEnvIf user-agent \u00abIndy Library\u00bb stayout=1\nSetEnvIf user-agent \u00ablibwww-perl\u00bb stayout=1\nSetEnvIf user-agent \u00abWget\u00bb stayout=1\ndeny from env=stayout<\/code><\/pre>\n\n Prot\u00e8ge les fichiers
\n<\/h5>\n\n
\nOrder Allow,Deny\nDeny from all\n<\/code><\/pre>\nRewriteCond %{QUERY_STRING} author=d\nRewriteRule ^ \/? [L,R=301]<\/code><\/pre>\nAuthUserFile \/dev\/null\nAuthGroupFile \/dev\/null\nAuthName \"Access Control\"\nAuthType Basic\norder deny,allow\ndeny from all\nallow from 178.178.178.178 # IP Home computer\nallow from 248.248.248.248 # IP Work computer<\/code><\/pre>\n\n WWW
\n<\/h5>\n\n Mesures suppl\u00e9mentaires
\n<\/h5>\ndefine ('DISALLOW_FILE_EDIT', true) ;<\/code><\/pre>\n\n
<?php header(\"HTTP\/1.1 503 Service Temporarily Unavailable\"); ?>\n<?php header(\"Status 503 Service Temporarily Unavailable\"); ?>\n<?php header(\"Retry-After 3600\"); \/\/ 60 minutes ?>\n<?php mail(\"your@email.com\", \"Database Error\", \"There is a problem with teh database!\"); ?>\n\n\n\n<\/code><\/pre>\n\n<\/pre>\n