בדיקת חדירות לאתרי וורדרפס

מבוא

אבטחת אתרי אינטרנט אחד המרכיבים החשובים ביותר בתהליך פיתוח ותחזוקה שותפת של אתרי האינטנרנט השונים. פורצים רבים מנסים לנצל חולשות אבטחה של האתר בניסין לאתר מקומות חדירה לאתר ברמת המערכת ניהול וגם ברמת המערכת קבצים.

וורדרפס הינה מערכת הכי נפוצה שקיימת בשוק המערכות ניהול תוכן החינמיים (מעל 65% האתרים בעולם). מדובר במערכת עם קוד פתוח שניתן להשתמש בה גם לפיתוח אתרים מצד אחד וגם לחקור את הקוד שלה לצורך פריצות וביצוע מתקפות על האתר מצד השני.

בדיקת חדירות לאתר וורדרפס ניתן לבצע בכמה כלים עם כמה דרכים:

בדיקת בריאות האתר של וורדרפס שמספק כמה בעיות שוורדרפס עצמה בודקת.
בדיקת אבטחת האתר בעזרת אתר אינטרנט שסורק את האתר.
בדיקת חדירות בעזרת כלי אוטומטי שנתמך ע״י אוטומטיק (שהיא המפתחת של וורדרפס) WPScan.
כלים נוספים שקיימים בשוק.

כלי בדיקת חדירות WPScan

WPscan סורק בדיקות קופסה שחורה שנכתב בשפת Ruby. סורק את האתר ומאתר בו את כל חולשות אבטחה הקיימות. הכלי מתבסס על מספר מאגרים פתוחים וגלויים ברשת ועל עדכוני גרסאות וורדרפס.
אפשר להירשם באתר ולקבל API בחינם לצורך 25 סריקות ביום.

בערת WPScan אפשר לסרוק את כל האתר ולקבל את הנתונים הבאים:ֿ

גרסת וורדרפס בצורה גלויה.
תבניות מותקנות – ברמת הגרסאות ובעיות אבטחה גלויות.
תוספים מותקנים – ברמת הגרסאות ובעיות אבטחה גלויות.
סורק קובץ readme על מנת לאתר את גרסת וורדרפרס.
סורק קובץ robots.txt.
קבצים שונים שאפשר לנצל את הפריצה שלהם ברמת השרת או ברמת הוורדרפרס.
בודק רשימת משתמשים עם אפשרות להתאים ססמאות.

ישנם מספר דרכים להתקין את WPScan שמפורטים בדוקומנטציה בגיטהאב.
אני התקנתי על מק שלי בעזרת brew.

 brew install wpscanteam/tap/wpscan

כמובן שבשלב ראשון עשיתי עדכון ובדקתי את כל האפשרויות הקיימות שיש לסורק.

 wpscan --update
wpscan --help

הערה: לWPScan יש תוסף לוורדרפס, אבל הוא לא ממש משרת את צורכי המאמר, מסיבה מאוד פשוטה, פורצים לא משתמשים בתוסף אלה בכלים האוטומטיים.

סריקה בסיסית בשרת פיתוח

את הסריקה אני הולך לעשות על השרת הפיתוח עם נתונים הבאים:

וורדרפס גרסה 5.7.4
תבנית StoreFront גרסה 3.5.1
תוסף ACF Pro גרסה 5.9.5
תוסף Woocommerce גרסה 5.2.3
WP Cron פעיל
אפשרות XML RPC פתוחה
WP Json Api פתוח
משתמש אחד admin ברירת מחדל

ביצוע סריקה מקיפה:

 wpscan --url http://fun.devurl.co.il/

תוצאות סריקה ראשוניות WPScan — תוצאות סריקה ראשוניות

במסך הראשון אפשר לראות את הדברים הבסיסיים שגם דפדפן מספק אותם: מערכת הפעלה של השרת במקרה שלי ubuntu את העובדה שוורדרפס פועל על apache וגם את הגרסה.

דבר נוסף שנמצא בסריקה זה שני קבצים שיכולים לספר קצת על האתר robots.txt וreadme.html. עם הקובץ השני בגרסאות הישנות יותר יש בעיה, הוא מכיל בתוך ההסבר את גרסת וורדרפס.

באתר אחר סריקה מצאה שתיקיים wp-content/uploads אפשרה סריקה ישירה של כל התיקיות ותתי תיקיות. במקרה שלי כל התיקיון חסומות ולא ניתנמות לסריקה ישירה (לא ניתן לראות איזה קבצים או תיקיות יש בתיקייה).

שני דברים נוספי שמהביא מקור פוטנציאלי למתקפה: XML-RPC וWP Cron. אפשר לדעת האם הם פעילים או לא.

בדיקת חדירות גרסת WordPress

במסך הבא ניתן לראות את גרסה הנוכחית 5.7.4 ואת כל הבעיות הקיימות בגרסה כולל גרסה שבה החולשה תוקנה. חלק מהבעיות הם בגדת המלצה, אבל כמו שניתן לראות בצילום מסך, כל הבעיות הם רציניות ומהוות איום על מערכת. רובם תוקנו ב5.7.5 או 5.8.
כמובן שכדאי לשדרג, אבל אף אחד לא יכול להגיד בביטחון שבגרסאות הבאות אין חולשות חדשות אלה רק תיקון של בעיות קיימות.

בדיקת חדירות סריקת תבניות

תבנית וורדפרס היא המרכיב החשוב ביותר במערכת, עליה מתבסס ובה תלוי כל האתר. סורק בודק את כל התבניות המוכרות לו (כמה אלפים) ומחזיר תוצאות.
בסריקה רגילה קיבלתי את שם התבנית ואת גרסתה, כמו כן את ההתראה שמדובר בגרסה ישנה וכדאי לשדרג.

תוצאות סריקה - תבנית פעילה WPScan — תוצאות סריקה – תבנית פעילה

אפשר לבדוק את כל התבניות המכורות לסורק בכמה אפשרויות:

נפוצות ביותר t – סריקה נמשכת כ2 דקות.
מוכרות כפרוצות vt – סריקה נמשכת פחות מדקה.
כל התבניות המוכרות לסורק at – סריקה נמשכת כמעט 40 דקות.

באותה הדרך כמו עם תבניות אפשר לסרוק תוספים על פי פרמטרים הבאים:

 wpscan --url http://fun.devurl.co.il/ -e t
wpscan --url http://fun.devurl.co.il/ -e vt

תוצאות סריקה של כל התבניות WPScan — תוצאות סריקה כל התבניות

סריקה גלת את כל התבניות שהותקנו על ידי וורדרפס עם גרסאות שונות.

בדיקת חדירות סריקת תוספים

באותה הדרך אפשר לבדוק את התוספים הגלויים שיש באתר, במקרה שלי בכלות ניתן לארת את תוסף woocommerce.

אפשר לבדוק את כל התוספים מוכרים לסורק בכמה אפשרויות:

נפוצות ביותר p – סריקה נמשכת כחצי דקה.
מוכרות כפרוצות vp – סריקה נמשכת פחות מדקה.
כל התבניות המוכרות לסורק ap – לא בוצע סריקה.

עשיתי בדיקה של תוספים נפוצים וגם בדקתי תוספים פרוצים:

 wpscan --url http://fun.devurl.co.il/ -e p
wpscan --url http://fun.devurl.co.il/ -e ap

תוצאות סריקה תוספים WPScan — תוצאות סריקה – תוספים WPScan

סריקה גלת רק את תוסף ווקומרס בשתי סריקות שונות ולא התייחסה לACF PRO. אלוי בגלל שלא מדובר בתוסף עם בעיות אבטחה או הוא לא מוגדר כתוסף נפוץ.

בדיקת חדירות סריקת משמשים

סורק יכול לשלוף את כל המשתשים הקיימים באתר. סריקה מתבצעת בצורה מקיפה וסורקת את הקוד של הפרטים באתר ומאתרת את המשתמשים, בשלב הבא סיקה מחפשת בRSS Feed ובWP Json API שמספק את כל המידע על משתמשים.

בגלל שבאתר שלי יש רק יוזר בשם admin מאוד פשוט לאתר אותו ולחפש את כל הפרטים עליו.

 wpscan --url http://fun.devurl.co.il/ -e u

תוצאות סריקה משתמשים WPScan — תוצאות סריקה – משתמשים

כשאר יש לי את הפרטים של משמשים אפשר לבצעה מתקפת Brute Force עם רשימת מששים הקיימים וקובץ מוכר של ססמאות שאפשר למצוא באינטרנט.

 wpscan --url http://fun.devurl.co.il/ -U admin -P passwords.txt

סיכום

כל יום מגלים על פריצה כזאת או אחרת שקיימת בתוך וורדרפס, בתבניות או בתוספים השונים. ניסיתי לתאר את הדברים הבסיסיים שקיימים בסורק ולהציג את הכלי שמאפשר לאתר את חולשות הללו ולהסתכל על האתר מבחוץ כדי לחקור את בעיות אבטחה שלו.

בעל אתר צריך לדעת על הסכנות ולהבין שאתר וורדרפס כמו כל דבר אחר בימים אלו חייב לבחון בקפידה את האבטחה ולצמצם את הפגיעה במוניתין.
סריקה ותחזוקה באופן קבוע מונעים הרבה בעיות גם כלפי הלקוחות וגם כלפי הניהול של האתר וכמובן אמון של מנעוי חיפוש.

מעוניינים ללקבל הצעת מחיר לבדיקת חדירות אתר או תיקון בעיות? צרו קשר