homefinance blog
Recientemente tuve a Tim Nash, el líder de la plataforma de WordPress en 34sp.com, para hablar en la reunión local de WordPress. Es la tercera vez que Tim habla en la reunión, y en el pasado habló sobre la seguridad y el rendimiento del sitio, pero esta vez habló sobre algunos estudios de casos de piratería; Cómo se explotaron los sitios y qué se podría hacer para aliviar la vulnerabilidad. El discurso de Tim fue esencialmente una introducción aterradora y útil a la penetración (o pentestante) con un sabor de WordPress. Me hizo pensar en cuán seguros son los sitios que administro y tal vez debería profundizar más en la seguridad del sitio, más que en los elementos fundamentales de la seguridad de WordPress.
¿Qué es la prueba de penetración? Cuanto más ingrese en la seguridad del sitio, más oscuro se vuelve. Las pruebas de penetración son la práctica de simular un ataque contra un sistema, red, aplicación o sitio web para identificar las vulnerabilidades que podrían ser explotadas. En términos simples, se convierte en el hacker que protege su sitio. Pero eso significa que cualquier prueba que esté haciendo debe ser autorizada por el propietario o el sistema del sitio (léase: su jefe o cliente debe rendirse) y para evitar el arresto y los cargos penales (tenga en cuenta que no soy abogado), no recomendaría La implementación de cualquiera de estas técnicas o el uso de estas herramientas para fines adversos.
Si prueba un sitio web, hágalo en una copia exacta de su entorno de desarrollo local donde sea posible. ¡No pondrá el lugar de producción en carga innecesaria y no se confundirá con un hacker! 👮 Las pruebas de penetración generalmente se realizan con un conocimiento completo sobre el sistema (“caja blanca”), para permitir tantas vulnerabilidades como sea posible, o simulando un ataque real sin ningún conocimiento del sistema (“caja negra”). ¿Por qué lo haces, por qué pones todo tu problema de más pruebas? Es posible que no le importe demasiado si su blog personal es explotado, solo elimínelo y limpie como desee. Sin embargo, el comercio electrónico y los sitios esenciales para las empresas requieren que la seguridad sea una preocupación principal. La tarea de penetración regular tiene algunos beneficios importantes:
Encuentra las vulnerabilidades preventivamente, especialmente que los complementos y los temas se actualizan y se instalan nuevos
Prevenir tiempos caros que no funcionen para reparar y restaurar sitios después de hacks que se acercan a estas vulnerabilidades antes de que sean explotados
Evite las sanciones regulatorias y el daño de la reputación manteniendo seguros los datos del cliente
Herramientas de prueba de penetración recomendadas El mejor consejo para la seguridad del sitio de WordPress es mantener todo lo que se actualiza WordPress. Como Tim – estresado
Es mejor remediar los problemas debido a las actualizaciones del tema o el complemento que tener un sitio pirateado para resolver la alternativa es continuar quedando sin un código obsoleto que pueda contener vulnerabilidades que se hayan corregido. Lo que nos lleva a la primera herramienta en nuestro arsenal de prueba. WPSCAN WPSCAN es un escáner de WordPress gratuito, un cuadro negro, que interroga a su sitio para ver qué complementos ha instalado, verifique la versión e informe si estos complementos tienen una vulnerabilidad conocida utilizando datos de la base de datos. De wpscan.wpscan vulnerabilidades es una excelente herramienta es una excelente herramienta es una excelente herramienta es una excelente. Para usar si acaba de heredar un sitio y desea verificar si los complementos o temas tienen problemas conocidos. DigitalCean tiene un buen tutorial para el uso de WPSCan. Los temas pueden ser particularmente susceptibles a las vulnerabilidades debido a la mala práctica, una vez popular, para combinar complementos con temas. Mal, porque si usa dicho tema, a menos que el desarrollador del tema actualice los complementos regularmente en su tema y lance actualizaciones de la versión del tema, es poco probable que las versiones corregidas de los complementos vulnerables lleguen a su sitio (¿Revolution Slider alguien?)
Como se mencionó anteriormente, nada se compara para mantener todo actualizado. Si no activa las actualizaciones automáticas de temas y complementos para su sitio de WordPress, entonces vale la pena ejecutar WPSCAN automáticamente en los sitios e incluso inscribirse en alertas de correo electrónico gratuitas de la base de datos de vulnerabilidad WPSCAN. SQLMAP SQLMAP automatiza el proceso de detección de vulnerabilidades de inyección SQL. Si sabe que un sitio acepta datos a través de los parámetros Get, Post o Cookie o por el encabezado de solicitud de agente de usuario HTTP, entonces es posible que se vea afectado por una vulnerabilidad de inyección SQL. Es una herramienta de línea de comandos que está señalando . A su sitio con una amplia gama de argumentos y modificadores que le permiten probar vulnerabilidades. Por ejemplo, para obtener SQLMAP para ver si podemos obtener acceso a la base de datos, use el argumento DBS que indica una URL que acepta una cadena de consulta: SQLMAP -U http://mysite.dev/Products/?cat= 15 -DBS ¿Por qué debería preocuparse por la inyección de SQL? Suponga que tiene un complemento que acepta datos a través de una cadena de consulta y no corrige esos datos correctamente antes de usarse para interrogar la base de datos, luego un usuario malicioso podría transmitir condiciones SQL a la cadena de consulta o incluso declaraciones. SQL apilado (piense que HTTP: //mysite.com/?id=1; Database Drop 😬).
Si desarrolla un complemento o código que acepta los datos del usuario a través de formularios o cadenas de consulta, considere cuidadosamente cómo desinfectar y verificar los datos antes de usarlos en el extremo posterior. Use SQLMAP para intentar piratear su propio código de WordPress para probar su robustez. Phpstan Tim también mencionó phpstan, que es una herramienta de análisis estático de PHP que puede señalar la base de código para ayudar a encontrar errores y errores en su código. Vi a Gilbert, mencionándolo recientemente en base a los códigos de laravel de spinUpWP, por lo que I Estaba ansioso por enderezarlo a algunos sitios de WordPress: porque @github estuvo abajo todo el día, pasamos algo de tiempo instalando @Phpstan en nuestro último proyecto de Laravel. Muy seguro, encontró algunos errores. https://t.co/3zsanrhijn – Gilbert Pellegrom (@gilbritron) 22 de octubre de 2018, desafortunadamente, el instrumento está más orientado a los objetos, lo que WordPress no es. Hay alternativas para analizar el código de WordPress. Existen reglas de WordPress para php_codesniffer que verifica si su código cumple con los estándares definidos para ayudar a eliminar posibles problemas de código. Además, los servicios como Scrutinizer analizarán continuamente el código para encontrar problemas, errores e imponer estilos de codificación. También existe el proyecto Tide para ayudar a mejorar la calidad del complemento de WordPress y el código del tema.
El monitoreo activo de la calidad de su código durante el desarrollo reducirá la probabilidad de que el código vulnerable alcance la producción. Kali Si te tomas en serio las pruebas de penetración, eche un vistazo a Kali. Kali es una plataforma de prueba completa instalada como una máquina virtual en la que puede ejecutar un conjunto completo de herramientas y tomar todos los pasos para detectar, explotar y remediar las vulnerabilidades (¡para fines hermosos, por supuesto!). Wordfency tiene un excelente pasos a seguir como parte de una prueba de penetración utilizando la plataforma Kali: reconocimiento
escanear
explotación
Atenuación
Hay muchas otras herramientas para ayudar a probar, como OWASP ZAP, MetaSploit y Burpsy. Pero sea cual sea el instrumento que elija, en última instancia, el propósito de penetrar en las pruebas es la parte de mitigación. Si puede encontrar y recrear agujeros de seguridad, puede repararlos. La conclusión espero que esto le haya ofrecido una buena introducción a la práctica de prueba de penetración avanzada y lo que vale la pena invertir para la seguridad de su sitio de WordPress. ¿Las pruebas de penetración en sus sitios de WordPress o para clientes? ¿Extrañaba alguna herramienta que considere útil? Háganos saber en los comentarios a continuación.
Una introducción en las pruebas de penetración de WordPress
Tags Una introducción en las pruebas de penetración de WordPress
