WordPress i bezpieczeństwo

WordpressTę stronę renderuje WordPress. Nie da się tego ukryć – analizując źródła html, javascript czy style css szybko można to wywnioskować. Skoro tak łatwo zidentyfikować framework który został użyty do zbudowania strony internetowej, należy szczególnie przyglądnąć się kwestii bezpieczeństwa.

W pierwszej kolejności polecam zweryfikować stronę przez jeden z dostępnych skanerów online (np. tutaj).

Porady dotyczące serwera Apache:

  1. Wyłączenie przeglądu zawartości katalogów.
  2. Wyłączenie sygnatury serwera:
  3. Wyłączenie dostępu do pliku .htaccess:
  4. Blokada przeglądu użytkowników według id:
  5. Dodatkowe zabezpieczenie przed dostępem do panelu administracyjnego:
    1. Wygenerowanie pliku .htpasswd z nazwą użytkownika i hasłem poza publiczną domeną. W tym celu można wykorzystać np. ten generator.
    2. Stworzenie pliku /wp-admin/.htaccess
  6. Zablokowanie serwowania plików .ht*:
  7. Blokada wp-login.php:

Często spotykaną praktyką wśród firm hostingowych jest wymuszenie podstawowego uwierzytelniania do panelu administracyjnego WordPressa z domyślnym loginem i hasłem „wpadmin”. Takie zabezpieczenie zaledwie w nieznacznym stopniu ogranicza penetracje portalu przez boty, zwłaszcza że nazwa użytkownika i hasło podane są zwykle w komunikacie.


Omijanie zabezpieczeń

Poniżej przykład szybkiej analizy komunikatu wyświetlanego podczas podstawowego uwierzytelniania.

Pobranie komunikatu

Przykładowa heurystyka: komunikat zwracany podczas podstawowego uwierzytelniania zawiera login i hasło. Zakładając że login i hasło będą identyczne, istnieje prawdopodobieństwo, że będzie ono jednym ze słów o największej częstotliwości występowania.

Statystyka częstotliwości słów

Jak widać w tym przypadku sprawdzi się powyższa heurystyka. Słowo „wpadmin”, które jest prawidłowym loginem i hasłem znajduje się w zbiorze słów o największej częstotliwości występowania. Jeśli jednak hasło nie zostanie wyszukane tym prostym sposobem, to w następnym kroku należałoby wygenerować wszystkie dwuelementowe wariacje z powtórzeniami wszystkich słów. Zakładając że słów będzie maksymalnie 20, to liczba wszystkich wariacji wyniesie 400. Przy przeznaczeniu 500ms. na weryfikację każdej pary słów, odgadnięcie prawidłowej pary login / hasło zajmie mniej niż 5 minut na jednym wątku.

Ten krótki przykład pokazuje jak marnym zabezpieczeniem przed botami jest podstawowe uwierzytelnianie wyświetlające komunikat zawierający login i hasło.

Sprawdź swoją stronę!

Poniżej umieściłem krótki skrypt do weryfikacji uwierzytelniania na dowolnej stronie opartej na Worpressie. Uruchomienie skryptu nie spowoduje „włamania”, a wyświetli tylko wszystkie możliwe wariacje które mogłyby być sprawdzane przez bota penetrującego.

Wpisz adres strony:

Jedna z najlepszych książek do WordPressa:

Autor: Thord Daniel Hedengren

ISBN: 978-83-246-6678-2

Format: , stron:

Data wydania:

Opis: Najlepszy podręcznik o Wordpressie! Dwóch gigantów postanowiło połączyć swoje potencjały. Razem stworzyli niezwykłą książkę, którą właśnie trzymasz w rękach. Jednym z nich jest Smashing Magazine, należący do najpopularniejszych serwisów poświęconych tworzeniu stron WWW i nie tylko, a drugim Wordpress, lider wśród syst

Cena: 59.00zł

To również może Cię zainteresować:

3 thoughts on “WordPress i bezpieczeństwo

  1. profesor karzeł reakcji

    W logach sucuri (taka wtyczka do wp) widzę, że boty bezproblemowo przechodziły przez to dodatkowe zabezpieczenie i logowały się do wp-admina. Jak sobie przez dziurawą wtyczkę wgrały skrypt do obsługi bazy, to nic dziwnego, że miały dostęp do loginu i hasła samego wordpressa. Tylko skąd mogły wiedzieć jaki jest login i hasło serwerowe? Według infolinii bot został specjalnie dopasowany do tego celu. Z całą pewnością bociarz ręcznie przegląda strony, odgaduje hasła i wpisuje je do bazy bota.

    Na dodatek hosting na tyle kiepski, że nawet nie da się ustawić własnego htpasswd. Przynajmniej nie z poziomu panela administracyjnego (directadmin albo plesk, jedno z tych dwóch). Próba odpalenia tak zabezpieczonego pliku/katalogu kończy się komunikatem 404 ze strony WordPressa.

  2. A co myślisz o tej książce „WordPress i Joomla! Zabezpieczanie i ratowanie stron WWW” – z tego co widzę ma bardzo pozytywne recenzje

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *