בדיקת חדירות לאתרי וורדרפס

בעולם אבטחת מידה והאקינג קיים מושג בדיקת חדירות (Penetration test) שמספק מידע על כל בעיות האבטחה של מערכת שנבדקה. קיימים לא מעט כלים אוטומטיים בתחום וגם כלים ידניים, במאמר הזה אני רוצה להסביר על כלי אוטומטי שמיועד לוורדרפס ובודק את כל בעיות האבטחה הקיימות באתר.
בדיקת חדירות WPScan

מבוא

אבטחת אתרי אינטרנט אחד המרכיבים החשובים ביותר בתהליך פיתוח ותחזוקה שותפת של אתרי האינטנרנט השונים. פורצים רבים מנסים לנצל חולשות אבטחה של האתר בניסין לאתר מקומות חדירה לאתר ברמת המערכת ניהול וגם ברמת המערכת קבצים.

וורדרפס הינה מערכת הכי נפוצה שקיימת בשוק המערכות ניהול תוכן החינמיים (מעל 65% האתרים בעולם). מדובר במערכת עם קוד פתוח שניתן להשתמש בה גם לפיתוח אתרים מצד אחד וגם לחקור את הקוד שלה לצורך פריצות וביצוע מתקפות על האתר מצד השני.

בדיקת חדירות לאתר וורדרפס ניתן לבצע בכמה כלים עם כמה דרכים:

  • בדיקת בריאות האתר של וורדרפס שמספק כמה בעיות שוורדרפס עצמה בודקת.
  • בדיקת אבטחת האתר בעזרת אתר אינטרנט שסורק את האתר.
  • בדיקת חדירות בעזרת כלי אוטומטי שנתמך ע״י אוטומטיק (שהיא המפתחת של וורדרפס) WPScan.
  • כלים נוספים שקיימים בשוק.

כלי בדיקת חדירות WPScan

WPscan סורק בדיקות קופסה שחורה שנכתב בשפת Ruby. סורק את האתר ומאתר בו את כל חולשות אבטחה הקיימות. הכלי מתבסס על מספר מאגרים פתוחים וגלויים ברשת ועל עדכוני גרסאות וורדרפס.
אפשר להירשם באתר ולקבל API בחינם לצורך 25 סריקות ביום.

בערת WPScan אפשר לסרוק את כל האתר ולקבל את הנתונים הבאים:ֿ

  • גרסת וורדרפס בצורה גלויה.
  • תבניות מותקנות – ברמת הגרסאות ובעיות אבטחה גלויות.
  • תוספים מותקנים – ברמת הגרסאות ובעיות אבטחה גלויות.
  • סורק קובץ readme על מנת לאתר את גרסת וורדרפרס.
  • סורק קובץ robots.txt.
  • קבצים שונים שאפשר לנצל את הפריצה שלהם ברמת השרת או ברמת הוורדרפרס.
  • בודק רשימת משתמשים עם אפשרות להתאים ססמאות.

ישנם מספר דרכים להתקין את WPScan שמפורטים בדוקומנטציה בגיטהאב.
אני התקנתי על מק שלי בעזרת brew.

מסך ראשי WPScan
מסך ראשי

כמובן שבשלב ראשון עשיתי עדכון ובדקתי את כל האפשרויות הקיימות שיש לסורק.

הערה: לWPScan יש תוסף לוורדרפס, אבל הוא לא ממש משרת את צורכי המאמר, מסיבה מאוד פשוטה, פורצים לא משתמשים בתוסף אלה בכלים האוטומטיים.

סריקה בסיסית בשרת פיתוח

את הסריקה אני הולך לעשות על השרת הפיתוח עם נתונים הבאים:

  • וורדרפס גרסה 5.7.4
  • תבנית StoreFront גרסה 3.5.1
  • תוסף ACF Pro גרסה 5.9.5
  • תוסף Woocommerce גרסה 5.2.3
  • WP Cron פעיל
  • אפשרות XML RPC פתוחה
  • WP Json Api פתוח
  • משתמש אחד admin ברירת מחדל

ביצוע סריקה מקיפה:

תוצאות סריקה ראשוניות WPScan
תוצאות סריקה ראשוניות

במסך הראשון אפשר לראות את הדברים הבסיסיים שגם דפדפן מספק אותם: מערכת הפעלה של השרת במקרה שלי ubuntu את העובדה שוורדרפס פועל על apache וגם את הגרסה.

דבר נוסף שנמצא בסריקה זה שני קבצים שיכולים לספר קצת על האתר robots.txt וreadme.html. עם הקובץ השני בגרסאות הישנות יותר יש בעיה, הוא מכיל בתוך ההסבר את גרסת וורדרפס.

באתר אחר סריקה מצאה שתיקיים wp-content/uploads אפשרה סריקה ישירה של כל התיקיות ותתי תיקיות. במקרה שלי כל התיקיון חסומות ולא ניתנמות לסריקה ישירה (לא ניתן לראות איזה קבצים או תיקיות יש בתיקייה).

שני דברים נוספי שמהביא מקור פוטנציאלי למתקפה: XML-RPC וWP Cron. אפשר לדעת האם הם פעילים או לא.

בדיקת חדירות גרסת WordPress

במסך הבא ניתן לראות את גרסה הנוכחית 5.7.4 ואת כל הבעיות הקיימות בגרסה כולל גרסה שבה החולשה תוקנה. חלק מהבעיות הם בגדת המלצה, אבל כמו שניתן לראות בצילום מסך, כל הבעיות הם רציניות ומהוות איום על מערכת. רובם תוקנו ב5.7.5 או 5.8.
כמובן שכדאי לשדרג, אבל אף אחד לא יכול להגיד בביטחון שבגרסאות הבאות אין חולשות חדשות אלה רק תיקון של בעיות קיימות.

תוצאות סריקה – גרסת וורדרפס WPScan
תוצאות סריקה – גרסת וורדרפס WPScan

בדיקת חדירות סריקת תבניות

תבנית וורדפרס היא המרכיב החשוב ביותר במערכת, עליה מתבסס ובה תלוי כל האתר. סורק בודק את כל התבניות המוכרות לו (כמה אלפים) ומחזיר תוצאות.
בסריקה רגילה קיבלתי את שם התבנית ואת גרסתה, כמו כן את ההתראה שמדובר בגרסה ישנה וכדאי לשדרג.

תוצאות סריקה - תבנית פעילה WPScan
תוצאות סריקה – תבנית פעילה

אפשר לבדוק את כל התבניות המכורות לסורק בכמה אפשרויות:

  • נפוצות ביותר t – סריקה נמשכת כ2 דקות.
  • מוכרות כפרוצות vt – סריקה נמשכת פחות מדקה.
  • כל התבניות המוכרות לסורק at – סריקה נמשכת כמעט 40 דקות.

באותה הדרך כמו עם תבניות אפשר לסרוק תוספים על פי פרמטרים הבאים:

תוצאות סריקה של כל התבניות WPScan
תוצאות סריקה כל התבניות

סריקה גלת את כל התבניות שהותקנו על ידי וורדרפס עם גרסאות שונות.

בדיקת חדירות סריקת תוספים

באותה הדרך אפשר לבדוק את התוספים הגלויים שיש באתר, במקרה שלי בכלות ניתן לארת את תוסף woocommerce.

אפשר לבדוק את כל התוספים מוכרים לסורק בכמה אפשרויות:

  • נפוצות ביותר p – סריקה נמשכת כחצי דקה.
  • מוכרות כפרוצות vp – סריקה נמשכת פחות מדקה.
  • כל התבניות המוכרות לסורק ap – לא בוצע סריקה.

עשיתי בדיקה של תוספים נפוצים וגם בדקתי תוספים פרוצים:

תוצאות סריקה תוספים WPScan
תוצאות סריקה – תוספים WPScan

סריקה גלת רק את תוסף ווקומרס בשתי סריקות שונות ולא התייחסה לACF PRO. אלוי בגלל שלא מדובר בתוסף עם בעיות אבטחה או הוא לא מוגדר כתוסף נפוץ.

בדיקת חדירות סריקת משמשים

סורק יכול לשלוף את כל המשתשים הקיימים באתר. סריקה מתבצעת בצורה מקיפה וסורקת את הקוד של הפרטים באתר ומאתרת את המשתמשים, בשלב הבא סיקה מחפשת בRSS Feed ובWP Json API שמספק את כל המידע על משתמשים.

בגלל שבאתר שלי יש רק יוזר בשם admin מאוד פשוט לאתר אותו ולחפש את כל הפרטים עליו.

תוצאות סריקה משתמשים WPScan
תוצאות סריקה – משתמשים

כשאר יש לי את הפרטים של משמשים אפשר לבצעה מתקפת Brute Force עם רשימת מששים הקיימים וקובץ מוכר של ססמאות שאפשר למצוא באינטרנט.

סיכום

כל יום מגלים על פריצה כזאת או אחרת שקיימת בתוך וורדרפס, בתבניות או בתוספים השונים. ניסיתי לתאר את הדברים הבסיסיים שקיימים בסורק ולהציג את הכלי שמאפשר לאתר את חולשות הללו ולהסתכל על האתר מבחוץ כדי לחקור את בעיות אבטחה שלו.

בעל אתר צריך לדעת על הסכנות ולהבין שאתר וורדרפס כמו כל דבר אחר בימים אלו חייב לבחון בקפידה את האבטחה ולצמצם את הפגיעה במוניתין.
סריקה ותחזוקה באופן קבוע מונעים הרבה בעיות גם כלפי הלקוחות וגם כלפי הניהול של האתר וכמובן אמון של מנעוי חיפוש.

מעוניינים ללקבל הצעת מחיר לבדיקת חדירות אתר או תיקון בעיות? צרו קשר

מחפשים פתרונות תכנות מקצועיים?

אם יש לך צורך בעזרה של מפתח מקצועי ומנוסה, אשמח לשמוע ממך