Menyerang WordPress

chmood


Teknik ini dapat digunakan untuk menyerang dan masuk ke website berbasis WordPress. Dengan memberikan rincian tentang jenis serangan tujuannya adalah untuk meningkatkan kesadaran tentang perlunya pengerasan dan keamanan pemantauan WordPress.

    Tentu saja setiap penguji penetrasi yang ingin pop situs berbasis WordPress juga dapat menemukan beberapa petunjuk membantu dalam panduan ini.
 

    WordPress adalah aplikasi belakang hampir 20% dari semua situs web. Kemudahan penggunaan dan basis open source membuatnya seperti solusi populer. Jumlah instalasi terus berkembang; ada jutaan instalasi WordPress. Popularitas ini membuat target berair untuk orang-orang jahat yang bertujuan untuk menggunakan server web dikompromikan untuk tujuan jahat.
Mengamankan WordPress

   
Ada banyak panduan yang sangat baik dan rinci tentang mengamankan instalasi WordPress yang tersedia, posting ini tidak dimaksudkan untuk mengulang. Untuk memulai mengamankan WordPress instalasi mencoba panduan yang sangat baik di web wordpress.org Portal
http://codex.wordpress.org/Hardening_WordPress.

Juga perlu diingat bahwa jika Anda menggunakan WordPress layanan hosting dikelola, beberapa serangan ini (dan mitigasi) akan menjadi tanggung jawab penyedia hosting Anda. Jika Anda adalah diri hosting di sebuah VPS unmanaged maka keamanan adalah tanggung jawab Anda. Ok, siap untuk memulai? Mari kita retak.

Pengumpulan informasi

   
Langkah pertama dalam menyerang situs WordPress melibatkan pengumpulan informasi tentang instalasi. Untuk mulai dengan kita ingin mendapatkan gambaran bagaimana terawat situs ini; menentukan apakah situs menjalankan versi inti WordPress terbaru adalah awal yang baik.
WordPress Inti Versi

Dua cara tercepat untuk menemukan versi inti dari situs WordPress adalah untuk memeriksa sumber HTML halaman untuk tag Generator meta di HEAD sumber atau file examplesite.com/readme.html yang didistribusikan sebagai bagian dari file instalasi inti.


Contoh ini diambil dari sumber dari WP standar menginstal versi 3.5.2 dan dua puluh dua belas tema. Dari HTML sumber:

<meta name = "Generator" content = "WordPress 3.5.2" />

Jika meta tag telah dinonaktifkan, memeriksa kehadiran /readme.html dari akar instalasi. Informasi file ini berisi versi WordPress di sana di bagian atas.


   
Hal ini umum untuk menemukan versi instalasi melalui salah satu dari dua teknik ini. Ada masalah keamanan yang dikenal bahkan dalam beberapa rilis terbaru dari inti WordPress, jadi versi ditemukan terhadap kerentanan dikenal. Bahkan jika Anda tidak dapat menemukan eksploitasi baik untuk versi inti WordPress, mengetahui instalasi menjalankan apa-apa lebih tua dari rilis terbaru menunjukkan bahwa situs mungkin tidak dikelola erat - dalam hal kesempatan eksploitasi di tempat lain telah meningkat pesat.

Direktori Indexing

   
direktori pengindeksan diaktifkan pada plugin pengindeksan directoryDirectory adalah fungsi dari server web yang memungkinkan Anda untuk melihat isi dari sebuah direktori di web jalan diakses. Melihat isi direktori memungkinkan pengguna yang tidak sah untuk mengumpulkan banyak informasi tentang instalasi seperti yang plugin dan tema sudah terpasang.

Untuk memeriksa direktori pengindeksan Anda dapat browse ke lokasi folder dan melihat apakah Anda mendapatkan respon yang mencakup "Indeks Of" dan daftar folder / file. Lokasi umum untuk memeriksa akan menjadi:


/ wp-content /
/ wp-content / plugins /
/ wp-content / themes /
/ upload /
/ gambar /


Jika Anda dapat menelusuri / wp-content / plugins / - langkah berikutnya dalam informasi fase di mana kita mencoba untuk menemukan plugin dan versi diinstal mengumpulkan adalah menjadi lebih mudah!

Versi Plugin WordPress

Pada langkah ini kita akan mencoba untuk menemukan banyak plugin yang diinstal (apakah mereka diaktifkan atau tidak) mungkin. Mengetahui plugin yang diinstal memungkinkan kita untuk kemudian mencoba untuk menentukan apakah itu adalah rentan terhadap eksploitasi dikenal.
    Analisis pasif dapat digunakan untuk menemukan plugin melalui permintaan HTTP biasa ke situs WordPress.
    Analisis aktif lebih agresif dan biasanya melibatkan menggunakan script atau alat untuk melakukan ratusan atau bahkan ribuan permintaan HTTP sebagian besar tidak valid.


   
Ulasan sumber HTML situs Wordpress dapat mengungkapkan plugin diinstal, melalui link javascript, komentar dan sumber daya seperti css yang dimuat ke dalam halaman. Ini adalah plugin termudah untuk menemukan dan tidak memerlukan pengujian agresif situs target. Bahkan header HTTP dapat mengungkapkan informasi seperti-X Powered-By header yang mengungkapkan adanya plugin W3-Total-Cache.

   
Sejak beberapa plugin tidak terlihat pada kode HTML; untuk menemukan semua plugin yang diinstal Anda harus mendapatkan lebih agresif. Sejumlah alat dapat memaksa hewan dikenal daftar plugin dari jalur / wp-content / plugins / * Plugin untuk menguji * /. Respon server web biasanya akan mengungkapkan direktori berlaku sebagai lawan direktori diketahui pada server web dengan kode respon HTTP nya.
Pencacahan pengguna

Menemukan nama-nama akun pengguna dari situs, memungkinkan Anda untuk kemudian menyerang password dari para pengguna melalui form login WordPress. Kami akan melalui menyerang password di bagian berikutnya, untuk saat ini memungkinkan menghitung pengguna situs.

Dalam instalasi standar Anda harus dapat menemukan pengguna situs dengan iterasi melalui user id dan menambahkan mereka ke situs URL. Misalnya /? Author = 1, menambahkan 2 kemudian 3 dll untuk URL akan mengungkapkan pengguna masuk id baik melalui 301 redirect dengan Lokasi HTTP header

wordpressexample.com/?author=1


Memiliki akun pengguna yang valid akan sangat berguna ketika datang untuk brute password memaksa. Otomatis pengguna pencacahan dapat dilakukan dengan alat-alat yang tercantum dalam kasar memaksa bagian bawah


Menyerang Pengguna
    Serangan yang paling umum terhadap pengguna WordPress adalah kasar memaksa password dari account untuk mendapatkan akses ke back-end dari sistem WordPress. Cara lain password dapat dikompromikan termasuk mengendus password dalam teks yang jelas selama sesi HTTP masuk atau bahkan mendapatkan mandat dari logger kunci pada workstation administrator WordPress.

Rekening dengan tingkat akses administrator yang paling dicari setelah karena jumlah kenakalan pengguna admin bisa mendapatkan hingga; menambahkan kerang perintah PHP atau javascript berbahaya langsung melalui antarmuka admin adalah contoh umum.

Brute Force wp-login

   Dengan username kita dikumpulkan selama pengumpulan informasi kita dapat memulai (atau hanya mencoba admin). Lihatlah login bentuk /wp-login.php, perhatikan bagaimana login gagal mengkonfirmasi username ketika password yang salah dimasukkan. Hal ini sangat membantu untuk seorang penyerang .... itu juga membuat hal-hal yang lebih user friendly bagi pengguna akhir yang telah lupa username dan password-nya. Ini "fitur" telah diperdebatkan dan telah memutuskan untuk mempertahankan respon ini dalam kode WordPress.
Alat untuk popping password yang lemah

    Kasar memaksa akun pengguna dimungkinkan menggunakan sejumlah alat open source. Selain itu ada cacing terbaru seperti skrip yang tersedia yang telah menyebar melalui interwebs WordPress, mencari dan menyebarkan ke situs WordPress dengan password admin yang lemah.

WPScan - http://wpscan.org



Alat WPScan adalah salah satu yang terbaik yang tersedia ketika datang ke pengujian instalasi WordPress dari perspektif blackbox. Hal ini dapat memaksa hewan plugin, mendeteksi tema rentan, menghitung pengguna dan rekening kekerasan.

Berikut adalah contoh output dari tes aku berlari dengan WPScan terhadap low end Digital Samudera VPS ($ 5 / bulan) di mana saya telah memasang instalasi default WordPress.

ruby wpscan.rb u 192.241.xx.x68 --threads 20 --wordlist 500worst.txt --username testadmin

********* MENGGUNTING ******************

[+] Mulai pompa kecil kasar sandi

  
Brute memaksa pengguna testadmin 'dengan 500 password ... 100% selesai.
[+] Selesai di Thu 18 Jul 2013 03:39:02
[+] Berlalu waktu: 00:01:16

Mari kita meninjau output, 500 password diuji terhadap rekening 'testadmin' (yang ditemukan selama pengguna pencacahan). Mereka 500 password diuji dalam 1 menit dan 16 detik! Sementara tes itu menjalankan situs itu masih merespons; administrator server web akan tidak tahu serangan itu terjadi tanpa semacam sistem pemantauan log keamanan di tempat (OSSEC melakukan hal ini sangat baik).

The '500 terburuk' password daftar digunakan di atas adalah dari Skull Security. Situs ini memiliki sejumlah besar daftar password termasuk daftar rockyou 60mb yang berisi lebih banyak dari 500 password!

Nmap NSE Script - http://nmap.org

Nmap port scanner dapat melakukan lebih dari hanya menemukan port terbuka. Versi terbaru dari Nmap datang dibundel dengan skrip NSE yang dapat digunakan untuk menguji banyak kerentanan yang berbeda; termasuk pencacahan pengguna dan kasar memaksa password WordPress.

nmap -sV --script http-wordpress-enum batas --script-args = 25

PORT STATE SERVICE ALASAN
80 / tcp http terbuka syn-ack
| http-wordpress-enum:
| Nama pengguna menemukan: admin
| Nama pengguna menemukan: testadmin
| Nama pengguna menemukan: fred
| Nama pengguna menemukan: alice
| Nama pengguna menemukan: bob
| _Search Berhenti di ID # 25. Meningkatkan batas atas jika perlu dengan 'http-wordpress-enum.limit'

Output di atas menunjukkan contoh run menggunakan script NSE http-wordpress-enum untuk menghitung pengguna WordPress.

PORT STATE SERVICE ALASAN
80 / tcp http terbuka syn-ack
| http-wordpress-brute:
| Account
| testadmin: myS3curePass => Login benar
| Statistika
| _ Sedian 113 tebakan di 19 detik, tps rata: 6

Di atas adalah hasil dari brute memaksa WordPress account menggunakan script NSE http-wordpress kasar.

Bersendawa Suite - http://www.portswigger.net/burp/

Bagi mereka yang akrab dengan keamanan aplikasi web pengujian alat Burp Suite Intruder juga dapat digunakan untuk brute memaksa password WordPress. Sebuah upaya login WordPress hanyalah sebuah permintaan POST setelah semua.
Menangkap Kredensial lebih masuk non-aman

   
Tanpa langkah-langkah keamanan tambahan di tempat (SSL), mengakses / wp-admin / dashboard adalah melalui koneksi terenkripsi. Ini berarti jika Anda login ke situs WordPress Anda pada jaringan yang tidak aman seperti nirkabel di kedai kopi lokal Anda atau bandara login dan password untuk mengelola situs bisa ditangkap oleh penyerang hanya dengan menonton sesi Anda.

Menyerang Aplikasi

   
Plugin, Tema dan Wordpress Inti semua mengandung sejumlah besar kode php dari pengembang di seluruh dunia. Pengembang ini memiliki kemampuan yang berbeda-beda dan fokus ketika datang ke menulis perangkat lunak aman. Untuk alasan ini ada ribuan kerentanan dieksploitasi tersedia untuk penyerang. Memperbarui plugin, Core WordPress dan Tema harus menjadi tugas rutin untuk setiap administrator WordPress untuk memastikan kerentanan dikenal ditambal.

Kerentanan umum termasuk XSS, SQL injection, file upload dan eksekusi kode. Semua ini dapat memiliki konsekuensi devasting ke situs WordPress. Cari melalui Metasploit dan exploit-db.com untuk daftar bug WordPress dieksploitasi.

Alat terbaik untuk brute memaksa plugin diinstal mirip dengan yang digunakan untuk password brute force. Alat WPScan memiliki pilihan untuk mencari semua plugin, plugin yang paling populer atau hanya plugin rentan. Skrip Nmap NSE juga tersedia untuk brute memaksa plugin. Perhatikan bahwa kasar memaksa ribuan jalur Plugin akan menghasilkan ribuan 404 entri Tidak ditemukan dalam file log server web.
Plugin dan Tema yang telah diinstal tapi tidak diaktifkan, masih bisa memperkenalkan kerentanan sebagai kode buruk mungkin langsung dapat diakses melalui jalur web. Contoh ini akan menjadi fungsi meng-upload rentan, yang memungkinkan file lokal atau remote termasuk. Meskipun plugin / theme tidak diaktifkan fungsi meng-upload masih bekerja melalui akses langsung file php di jalur web. Kasar memaksa lokasi file-file yang rentan adalah serangan yang sangat umum dengan memindai bot.

Serangan Server

Pengujian aplikasi WordPress itu sendiri adalah hanya satu bagian dari memastikan situs web Anda aman. Server yang host situs web juga harus tetap aman.
Akun Brute Force Manajemen

Sebuah brute force attack yang sukses terhadap rekening manajemen server akan memberikan penyerang akses penuh ke server dan aplikasi WordPress.

Layanan yang dapat menyerang dengan password brute force menebak meliputi:

    
Layanan SSH
    
Layanan database MySQL
    
Webmin Manajemen Server
    
CPanel atau WHCMS Web Hosting Control Panel
    
Aplikasi manajemen database phpMyAdmin

Untuk mengurangi kemungkinan akun manajemen kompromi aturan normal berlaku.

    
Gunakan password yang kuat di mana-mana, tidak kembali menggunakan mereka!
    
Pindah SSH ke port yang berbeda
    
Gunakan SSL untuk layanan manajemen berbasis web
    
Alamat IP daftar putih yang dapat terhubung ke layanan

Eksploitasi Server Software

   
Kerentanan keamanan dieksploitasi dapat hadir dalam perangkat lunak server atau sistem operasi. Contoh dapat ditemukan di setiap milis kerentanan, eksploitasi Injection baru-baru SQL telah berhasil digunakan terhadap WHMCS web hosting control panel software yang sangat populer. PHPMyAdmin telah lama menjadi aplikasi favorit untuk menyerang, karena popularitasnya dan daftar panjang kerentanan.

Server Software Misconfiguration

Sering kali kerentanan keamanan dapat diperkenalkan murni melalui kesalahan konfigurasi dari layanan atau praktik manajemen yang buruk.
Alat untuk menemukan Keamanan Poin Lemah di Server

Alat-alat ini dapat digunakan oleh penyerang dan pembela untuk menemukan masalah keamanan pada server target. Tiga contoh di bawah ini adalah contoh. Ada banyak alat pengujian keamanan lainnya yang dapat digunakan untuk menemukan sistem yang rentan; baik komersial dan open source.

OpenVAS Kerentanan Scanner - openvas.org

Sebuah sumber kerentanan scanner terbuka dengan koleksi plugin yang berjumlah dekat dengan 30000, plugin menguji berbagai aspek dari sistem atau jaringan perangkat.

Nmap Port Scanner - nmap.org

Tes untuk port terbuka dan seberapa efektif firewall melindungi sistem dengan terkenal Nmap Port Scanner. Sebuah firewall dikonfigurasi dengan baik yang hanya memungkinkan akses ke layanan yang dibutuhkan membuat pekerjaan penyerang jauh lebih sulit.

Nikto Web Server Scanner - www.cirt.net

Sebuah scanner kerentanan yang berfokus pada server web dan mencari script rentan diketahui, kesalahan konfigurasi dan item web server lain yang menarik. The Nikto alat yang telah ada selama bertahun-tahun namun masih memiliki tempat di penguji penetrasi toolbox.
GRATIS WordPress Periksa

atau mendaftar untuk akses on-line ke canggih WPScan, Nmap, Nikto dan OpenVAS scanner.


Ada banyak alasan mengapa situs WordPress diserang. Memahami bahwa itu tidak terjadi, dan jangan buah tergantung rendah. Menjaga semuanya up to date, terus backup teratur, elakukan pengerasan dasar dan jika Anda berasal pendapatan dari itu ..... menguji keamanan Anda secara teratur dan memiliki visibilitas dengan real time monitoring (seperti OSSEC)
.
Thank's My Family  Team T.I Sniper.

Semoga wawasan bertambah

Komentar