WordPress to najpopularniejszy system blogowy w Internecie.
Średnio już co 3 strona korzysta właśnie z niego.
Jednak przez te lata wokół tego narzędzia narosło wiele mitów.
Czy #wordpress jest bezpieczny?
O tym w dzisiejszym #od0dopentestera
Spróbujmy prześledzić liczbę podatności.
Wykorzystamy do tego celu stronę WPScan Vulnerability Database.
Ostatni znany błąd w samym silniku pochodzi z marca 2019 roku.
Jest oznaczony jako atak XSS przy użyciu komentarza.
Tylko, że aby go wykorzystać, musimy odwiedzić złośliwą witrynę będąc zalogowanymi do panelu administracyjnego naszej strony.
Atak ten opiera się więc w głównej mierze na socjotechnice.
Kolejny błąd z lutego to RCE – czyli wykonanie kodu.
Tym razem atakujący musi posiadać konto z uprawnieniami autora.
A to bardzo rzadka sytuacja. Dlaczego?
Ponieważ uprawnienia te pozwalają na publikację własnych wpisów na danej stronie.
Autor jest to więc osoba, której administrator ufa na tyle, aby dać jej możliwość dodawania nowych treści do serwisu.
Ponownie, potencjalny atakujący musi w jakiś inny sposób uzyskać dostęp do takiego konta.
Skąd zatem taka zła sława systemu?
Chodzi o rozszerzenia, czyli dodatkowe kawałki kodu, które zwiększają jego możliwości.
Przy pomocy paru kliknięć strona może stać się sklepem internetowym lub galerią zdjęć.
Tylko że dodatki te tworzone są przez niezależnych twórców i rzadko kiedy przechodzą kontrolę jakości.
Większość błędów bezpieczeństwa odnajdywanych jest właśnie tam.
Podsumowując: bezpieczeństwo strony w głównej mierze zależy od ilości i jakości rozszerzeń jakie na niej zainstalujesz.
Podczas doboru warto sugerować się ilością instalacji.
Popularne aplikacje zazwyczaj są częściej aktualizowane.
Można też sprawdzić historię błędów danego dodatku.
Fakt istnienia podatności w przeszłości niekoniecznie dyskwalifikuje dane rozszerzenie.
Dlaczego? Żadna aplikacja nie jest w 100% bezpieczna.
Ważne jest jak szybko i w jaki sposób odpowiedział na taki incydent twórca.
Opis dodatkowych metod zabezpieczeń na blogu.
Lub na YouTube.
Możesz również posłuchać jako #podcast na Google i Apple Podcasts oraz Spotify i Anchor.
Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany do podobnych wpisów dodaj się do Mirkolisty.
#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes #security #webdev
