\n WordPress \u2013 wygodna platforma do publikowania artyku\u0142\u00f3w i zarz\u0105dzania, kt\u00f3ra opiera si\u0119 na ogromnej liczbie r\u00f3\u017cnych witryn. Ze wzgl\u0119du na swoj\u0105 powszechno\u015b\u0107 ten CMS od dawna jest \u0142akomym k\u0105skiem dla haker\u00f3w.\n<\/p>\n
\n Niestety, podstawowe ustawienia nie zapewniaj\u0105 odpowiedniego poziomu ochrony, pozostawiaj\u0105c wiele odkrytych dziur w sp\u0142acie kredytu. W tym artykule przejdziemy przez typow\u0105 \u201emodelow\u0105” witryn\u0119 hakersk\u0105 na WordPress i poka\u017cemy, jak naprawi\u0107 zidentyfikowane luki.\n<\/p>\n
\n Obecnie najpopularniejszym systemem zarz\u0105dzania tre\u015bci\u0105 jest WordPress. Jego udzia\u0142 wynosi 60,4% og\u00f3lnej liczby witryn korzystaj\u0105cych z silnik\u00f3w CMS. Spo\u015br\u00f3d nich, wed\u0142ug statystyk, 67,3% witryn opiera si\u0119 na najnowszej wersji oprogramowania. Tymczasem w ci\u0105gu dwunastu lat dzia\u0142ania silnika internetowego znaleziono 242 luki r\u00f3\u017cnego rodzaju (nie licz\u0105c luk znalezionych we wtyczkach i motywach firm trzecich). Statystyki dodatk\u00f3w innych firm s\u0105 jeszcze smutniejsze. W zwi\u0105zku z tym firma przeprowadzi\u0142a analiz\u0119 2350 szablon\u00f3w Revisium Russified dla WordPress, zaczerpni\u0119tych z r\u00f3\u017cnych \u017ar\u00f3de\u0142. W rezultacie odkryli, \u017ce ponad po\u0142owa (54%) by\u0142a zainfekowana Web Shell, backdoorami, linkami i skryptami blackhat seo (\u201espam”) oraz skryptami zawieraj\u0105cymi krytyczne luki w zabezpieczeniach. Wi\u0119c usi\u0105d\u017a wygodnie, teraz zrozumiemy, jak przeprowadzi\u0107 audyt na stronie WordPress i wyeliminowa\u0107 znalezione niedoci\u0105gni\u0119cia. U\u017cywana b\u0119dzie wersja 4.\n<\/p>\n
\n Pierwszym krokiem w ka\u017cdym te\u015bcie jest zwykle zebranie informacji o celu. A wtedy bardzo cz\u0119sto pomaga b\u0142\u0119dna konfiguracja Indeksowanie serwisu, kt\u00f3re umo\u017cliwia nieautoryzowanym u\u017cytkownikom przegl\u0105danie zawarto\u015bci okre\u015blonych sekcji serwisu i np. uzyskiwanie informacji o zainstalowanych wtyczkach i motywach, a tak\u017ce dost\u0119p do poufnych danych czy kopii zapasowych baz danych. Aby sprawdzi\u0107, kt\u00f3re katalogi s\u0105 widoczne z zewn\u0105trz, naj\u0142atwiej skorzysta\u0107 z Google. Wystarczy uruchomi\u0107 zapytanie Google Dorks typu site: example.com intitle: \u00abindex of\u00bb inurl: \/ wp-content \/. Operator inurl: Mo\u017cesz okre\u015bli\u0107 nast\u0119puj\u0105ce katalogi:\n<\/p>\n
\n \n Je\u015bli mo\u017cesz przegl\u0105da\u0107 \/wp-content \/plugins\/, nast\u0119pnym krokiem jest zebranie informacji o zainstalowanych wtyczkach i ich wersjach jest znacznie uproszczone. Oczywi\u015bcie mo\u017cesz zapobiec indeksowaniu za pomoc\u0105 pliku robots.txt. Tak wi\u0119c domy\u015blnie nie jest on zawarty w pakiecie instalacyjnym WordPressa, konieczne jest utworzenie i wrzucenie si\u0119 do katalogu g\u0142\u00f3wnego serwisu. Instrukcji tworzenia i pracy z plikiem robots.txt jest ca\u0142kiem sporo, wi\u0119c zostaw ten temat dla siebie. Aby poda\u0107 tylko jedn\u0105 z mo\u017cliwych opcji:\n<\/p>\n \n Je\u015bli pliki przechowywane w folderze uploads s\u0105 informacjami poufnymi, dodaj do tej listy wiersz: Disallow: \/ wp-content \/ uploads \/. Z drugiej strony plik robots.txt nie jest zalecany do umieszczania link\u00f3w do katalog\u00f3w, kt\u00f3re zosta\u0142y utworzone specjalnie do przechowywania poufnych informacji. W przeciwnym razie u\u0142atwisz w ten spos\u00f3b zadanie atakuj\u0105cemu, poniewa\u017c jest to pierwsze miejsce, w kt\u00f3rym zwykle wszyscy szukaj\u0105 \u201eyammy”.\n<\/p>\n \n Aby ograniczy\u0107 dost\u0119p do poufnych informacji lepiej u\u017cy\u0107 pliku .htaccess \u2013 jest to plik konfiguracyjny u\u017cywany przez Apache Web Server. Rozwa\u017c mo\u017cliwo\u015b\u0107 pliku z punktu widzenia bezpiecze\u0144stwa. Dzi\u0119ki niemu mo\u017cesz: odm\u00f3wi\u0107 dost\u0119pu do katalog\u00f3w i plik\u00f3w, zablokowa\u0107 r\u00f3\u017cne wstrzykni\u0119cia SQL i z\u0142o\u015bliwe skrypty. Ten standardowy plik .htaccess dla CMS WordPress 4.1 trzeba troch\u0119 rozwin\u0105\u0107. Aby zamkn\u0105\u0107 list\u0119 plik\u00f3w i folder\u00f3w, dodaj:\n<\/p>\n \n Odwo\u0142ania do blok\u00f3w zawieraj\u0105ce kodowanie Base64. Pozb\u0105d\u017a si\u0119 link\u00f3w zawieraj\u0105cych tag :\n<\/p>\n \n Aby przeciwdzia\u0142a\u0107 skryptom pr\u00f3buj\u0105cym ustawi\u0107 zmienne globalne lub zmieni\u0107 \n Aby przeciwdzia\u0142a\u0107 \u017c\u0105daniom blokuj\u0105cym wstrzykiwanie kodu SQL do adresu URL zawieraj\u0105cego okre\u015blone s\u0142owa kluczowe:\n<\/p>\n \n Aby zepsu\u0107 \u017cycie zwyk\u0142ym narz\u0119dziom hakerskim, filtruje niekt\u00f3re aplikacje klienckie:\n<\/p>\n \n By\u0142oby mi\u0142o ograniczy\u0107 dost\u0119p do krytycznych plik\u00f3w, kt\u00f3re przechowuj\u0105 konfiguracj\u0119 lub po prostu mog\u0105 da\u0107 atakuj\u0105cemu pewne informacje. Mo\u017cesz wybra\u0107 nast\u0119puj\u0105cych kandydat\u00f3w:\n<\/p>\n \n Odbywa si\u0119 to w nast\u0119puj\u0105cy spos\u00f3b:\n<\/p>\n \n Plik .htaccess zawieraj\u0105cy te linie powinien znajdowa\u0107 si\u0119 w tym samym katalogu, w kt\u00f3rym plik jest chroniony. Nast\u0119pnie nie zezwalaj na wy\u015bwietlanie u\u017cytkownik\u00f3w (pami\u0119taj, troch\u0119 wy\u017cej, rozmawiali\u015bmy o tym, jak \u0142atwo jest uzyska\u0107 list\u0119 u\u017cytkownik\u00f3w?):\n<\/p>\n \n Wi\u0119c co jeszcze? Mo\u017cesz zezwoli\u0107 na wej\u015bcie tylko z okre\u015blonych adres\u00f3w IP. Aby to zrobi\u0107, utw\u00f3rz plik .htaccess w swoim wp-admin z nast\u0119puj\u0105cymi zasadami:\n<\/p>\n \n Ta metoda nie jest zbyt elastyczna i ma zastosowanie tylko wtedy, gdy pracujesz z ograniczon\u0105 liczb\u0105 sta\u0142ych adres\u00f3w IP. W przeciwnym razie zaleca si\u0119 ustawienie has\u0142a do folderu wp-admin panel poprzez hosting (je\u015bli ta funkcjonalno\u015b\u0107).\n<\/p>\n \n Zestaw regu\u0142 5G Blacklist i 6G Blacklist beta od Perishable Press, kt\u00f3ry pozwala radzi\u0107 sobie z powszechnymi z\u0142o\u015bliwymi \u017c\u0105daniami adres\u00f3w URL dla WordPress.\n<\/p>\n \n Opr\u00f3cz tego, co zosta\u0142o powiedziane powy\u017cej, mo\u017cna doda\u0107 nast\u0119puj\u0105ce zalecenia. Po pierwsze, u\u017cywaj tylko najnowszych wersji WordPressa i jego komponent\u00f3w \u2013 wyeliminuje to znane luki w zabezpieczeniach. Po drugie, usu\u0144 wtyczki i motywy, kt\u00f3re mog\u0105 by\u0107 r\u00f3wnie\u017c proekspluatirovat. Po trzecie, pobierz motywy i wtyczki WordPress z wiarygodnych \u017ar\u00f3de\u0142, takich jak strony programist\u00f3w i oficjalna strona WordPress. Opr\u00f3cz komputera domowego musisz okresowo sprawdza\u0107 sw\u00f3j zas\u00f3b internetowy Antywirus sieciowy, na przyk\u0142ad AI-Bolit. Je\u015bli masz dost\u0119p do serwera WWW, nastr\u00f3j praw dost\u0119pu do plik\u00f3w i katalog\u00f3w. Zazwyczaj WordPress ustawia pe\u0142ne prawa w fazie instalacji, ale w razie potrzeby mo\u017cna ustawi\u0107 r\u0119cznie chmod. Dla katalogu \u2013 chmod 755 dla plik\u00f3w \u2013 chmod 644. Upewnij si\u0119, \u017ce prawa 777 s\u0105 przypisane tylko tym urz\u0105dzeniom, kt\u00f3re tego potrzebuj\u0105 (czasami jest to konieczne do normalnego dzia\u0142ania niekt\u00f3rych wtyczek). Je\u015bli WordPress przesta\u0142 dzia\u0142a\u0107 normalnie, poeksperymentuj z prawami dost\u0119pu: najpierw wypr\u00f3buj 755, potem 766 i na koniec 777. Aby ca\u0142y plik htaccess udost\u0119pni\u0142 chmod 444 (tylko do odczytu). Je\u015bli witryna ju\u017c nie dzia\u0142a, spr\u00f3buj poeksperymentowa\u0107 z warto\u015bciami 400, 440, 444, 600, 640, 644.\n<\/p>\n \n Przenie\u015b plik wp-config.php. Ten plik zawiera informacje o ustawieniach, MySQL, prefiksie tabeli, tajnych kluczach i nie tylko. Dlatego konieczne jest przeniesienie do pliku, kt\u00f3ry nie by\u0142 dost\u0119pny z Internetu. Je\u015bli witryna nie znajduje si\u0119 w folderze public_html, to przeci\u0105gnij plik wp-config.php na poziom folderu powy\u017cej, a WordPress automatycznie znajdzie go w katalogu g\u0142\u00f3wnym (dotyczy sytuacji, gdy jest tylko jeden hosting tego CMS-a).\n<\/p>\n \n Aby skomplikowa\u0107 pow\u0142ok\u0119 castingow\u0105, wy\u0142\u0105cz mo\u017cliwo\u015b\u0107 edycji w\u0105tk\u00f3w konsoli WordPress. W tym celu wstaw nast\u0119puj\u0105c\u0105 lini\u0119 do pliku wp-config.php:\n<\/p>\n \n Kolejny s\u0142aby punkt \u2013 plik install.php (w folderze wp-admin). Dlatego lepiej jest usun\u0105\u0107, zablokowa\u0107 lub zmieni\u0107. Wykonaj jedn\u0105 z nast\u0119puj\u0105cych czynno\u015bci:\n<\/p>\n <\/p>\n\/wp-content\/<\/code>
\n \/wp-content\/languages\/plugins<\/code>
\n \/wp-content\/languages\/themes<\/code>
\n \/wp-content\/plugins\/<\/code>
\n \/wp-content\/themes\/<\/code>
\n \/wp-content\/uploads\/<\/code>\n<\/p>\nUser-Agent: *\nDisallow: \/cgi-bin\nDisallow: \/wp-login.php\nDisallow: \/wp-admin\/\nDisallow: \/wp-includes\/\nDisallow: \/wp-content\/\nDisallow: \/wp-content\/plugins\/\nDisallow: \/wp-content\/themes\/\nDisallow: \/?author=*\nAllow: \/<\/code><\/pre>\n\n Wtyczki bezpiecze\u0144stwa dla WordPress
\n<\/h5>\n\n
\n Po\u0142\u0105cz .htaccess
\n<\/h5>\nOptions +FollowSymLinks -Indexes\n \nRewriteCond %{QUERY_STRING} base64_encode[^(]*([^)]*) [OR]<\/code><\/pre>\nRewriteCond %{QUERY_STRING} (|%3E) [NC,OR]<\/code><\/pre>\n_REQUEST<\/code>zmienn\u0105 za pomoc\u0105 adresu URL:\n<\/p>\nRewriteCond %{QUERY_STRING} GLOBALS (=|[|%[0-9A-Z]{0,2}) [OR]\nRewriteCond %{QUERY_STRING} _REQUEST (=|[|%[0-9A-Z]{0,2})<\/code><\/pre>\nRewriteCond %{query_string} concat.*( [NC,OR]\nRewriteCond %{query_string} union.*select.*( [NC,OR]\nRewriteCond %{query_string} union.*all.*select [NC]\nRewriteRule ^(.*)$ index.php [F,L]<\/code><\/pre>\nSetEnvIf user-agent \u00abIndy Library\u00bb stayout=1\nSetEnvIf user-agent \u00ablibwww-perl\u00bb stayout=1\nSetEnvIf user-agent \u00abWget\u00bb stayout=1\ndeny from env=stayout<\/code><\/pre>\n\n Chroni pliki
\n<\/h5>\n\n
\nOrder Allow,Deny\nDeny from all\n<\/code><\/pre>\nRewriteCond %{QUERY_STRING} author=d\nRewriteRule ^ \/? [L,R=301]<\/code><\/pre>\nAuthUserFile \/dev\/null\nAuthGroupFile \/dev\/null\nAuthName \"Access Control\"\nAuthType Basic\norder deny,allow\ndeny from all\nallow from 178.178.178.178 # IP Home computer\nallow from 248.248.248.248 # IP Work computer<\/code><\/pre>\n\n WWW
\n<\/h5>\n\n Dodatkowe \u015brodki
\n<\/h5>\ndefine ('DISALLOW_FILE_EDIT', true) ;<\/code><\/pre>\n\n
<?php header(\"HTTP\/1.1 503 Service Temporarily Unavailable\"); ?>\n<?php header(\"Status 503 Service Temporarily Unavailable\"); ?>\n<?php header(\"Retry-After 3600\"); \/\/ 60 minutes ?>\n<?php mail(\"your@email.com\", \"Database Error\", \"There is a problem with teh database!\"); ?>\n\n\n\n<\/code><\/pre>\n\n<\/pre>\n