WordPress и сигурността - случаи от практиката

11 май 2012
1068 прочитания
0 коментара
2 одобрения
0 неодобрения

Сокол Соколов,
управител на Host.bg

WordPress е софтуер, с помощтта на който могат да се създадат прекрасни уеб сайтове или блогове. Ненапразно за Wordpress се твърди, че е едновременно безплатен и безценен. Заради своята популярност обаче, продуктът привлича хакерите като магнит. През последния месец проблемите на потребителите на WordPress като че ли са повече. Ще разгледаме два случая от практиката на нашите потребители.

Теми за WordPress

В търсене на лесна и бърза декорация на своя сайт блогърите наивно се доверяват на всевъзможните сайтове, които предлагат теми за WordPress. За съжаление, голяма част от безплатните теми изпълняват нещо повече от функцията да пременят вашата уеб страница. Скритите намерения варират от директно изпращане на списъка с потребители и контактна информация на определен адрес до пускане на "шел" - среда за изпълнение на всякакви команди на хостващата машина.

Зловредният код се намира в някой от PHP файловете на темата. Имената са различни във всяка хакната тема, но са съвсем "незабележими" и дори очаквани. Ето някои от тях: template-top.php, prelude.php, footer.php, comments.php, legacy.comments.php, 404.php, archive.php, top.php, functions.php, search-form.php и т. н. Понеже това са реални файлове от някои теми наличието им няма как да сигнализира за проблем.

Нещо повече, хакерите се възползват от практиката, разработчиците на темите да кодират с Base64 файловете в които обявяват авторството си или авторските си права. Затова фактът че някой от тези файлове е изцяло Base64 кодиран все още не означава, че това е проблемният файл. След декодиране на кода обаче, лесно се установява дали това е нормален или хакерски код. Добре де, не съвсем лесно. Обикновено, след декодиране се получава нещо, което само прилича на PHP код. Причината е, че във файла присъства инструкция от типа:

$_X=base64_decode($_X);$_X=strtr($_X,'123456aouie','aouie123456');$_R=ereg_replace('__FILE__',"'".$_F."'",$_X);eval($_R);$_R=0;$_X=0;

която също е Base64 кодирана. Тя изпълнява простата, но ефективна функция да разбърква знаците от кода. След като и това препядствие е преодоляно се разбира дали кодът е предназначен да отвори врата във вашия сайт. Практиката показва, че уязвимите по-този начин сайтове са много повече от тези, от чиито уязвимости се е възползвал някой. Броят на последните обаче също е притеснителен. Нашата препоръка? Ако не сте навътре в нещата, похарчете между 5 и 10 $ за тема.

Уязвимости

Напоследък в Интернет се появиха описания на уязвимости, които относително лесно могат да бъдат използвани. Засилената хакерска дейност пришпори появата на WorPress версия 3.3.2 - в средата на април, като не е изключено в съвсем скоро време да се появи и следваща версия. В момента се работи по WordPress 3.4 бета 3.

Най сериозните уязвимости, за които има информация в Мрежата в момента, представляват няколко CSRF (Cross-Site Request Forgery) експлойти. Това накратко представляват атаки в две стъпки. В първата хакерът "открадва" доверието (в лицето на куки информация например) на атакувания сайт. Във втората се изпращат форми или се изпълняват операции с цел извършване на неоторизирани действия. Става дума за:

1. Change Post Title CSRF
2. Make URLs clickable CSRF
3. Post comments CSRF
4. Add Admin CSRF

За сериозността на уязвимостите може да се съди по списъка на възможните неоторизирани действия:

- Добавяне на потребител / администратор
- Изтриване на потребител / администратор
- Одобряване на коментар
- Забраняване на коментар
- Изтриване на коментар
- Смяна на изображението на фона
- Вмъкване на изображение за хедъра
- Смяна на името на сайта
- Смяна на администратовния e-mail
- Смяна на адреса на сайта

Във версия 3.3.1 поне двата от експлойтите са налице. Все още няма информация от тестове на последната 3.3.2 версия. Тъй като тя е обявена като "секюритии ъпдейт" на 3.3.1, може да се очаква, че дупките са закърпени в нея. Затова засега, препоръката е: Бърз ъпгрейд до версия 3.3.2 може да спести доста неприятности.  

2 одобрения
0 неодобрения
Още от рубрика "Интернет"
КОМЕНТАРИ ОТ  
КОМЕНТАРИ
Трябва да сте регистриран потребител, за да коментирате статията
"WordPress и сигурността - случаи от практиката"



    

абонамент за бюлетина
връзка с нас