אינטרנט ישראל
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
ראשי » רשת האינטרנט » למפתחי ובוני אתרי אינטרנט » כך סוגרים את החורים הבסיסיים ביותר בוורדפרס

כך סוגרים את החורים הבסיסיים ביותר בוורדפרס

רן בר-זיק יוני 24, 2018 7:07 am 8 תגובות

איך אני בולם ניסיונות סריקה לוורדפרס ומגן על ממשק הניהול שלי.

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.

זה החלק השלישי והאחרון של המאמרים שביססתי על ההרצאה ועכשיו נדבר מעט על הגנה בסיסית של וורדפרס. במאמר הראשון דיברנו על קאלי. במאמר השני דיברנו על סריקה באמצעות wpscan והיום נדבר על תוספים שמסייעים להתגונן בפני אנשים שמשתמשים ב-wpscan ובכלים נוספים.

כפי שאמרתי במפורש בהרצאה – יש הרבה תוספים בשוק ויש סיכוי שתמצאו תוספים יותר טובים שעושים את זה או יותר קלים ופשוטים או יותר יעילים. מה שחשוב הוא להבין את העקרון שעומד מאחורי חור האבטחה ולהבין מה התוסף עושה. ברגע שמבינים מה עושים, כבר קל יותר לבחור. אני אדגים עם תוספים ספציפיים כמובן אבל חשוב להבין שזה לא התוספים הטובים ביותר. חושבים שיש תוסף יותר טוב? יש תגובות 🙂 קחו בחשבון שהמסנן ספאם שלי מעביר לאישור אוטומטי כל תגובה עם לינק אז אם התגובה לא מופיעה לא להכנס ללחץ, היא עברה לאישור (ואאשר אותה כמובן).

כלי נוסף שיש בלינוקס קאלי הם כלי פריצה שבודקים ספריות פתוחות. למשל wp-login אבל לא רק אלא תיקיות נוספות שיכולות להכיל כל מיני דברים מעניינים. שם המוצר הוא dirscan והוא מחפש לפעמים אלפי שמות של תיקיות בעייתיות. הנה למשל דוגמה של dirscan שאני עושה לאתר שהורשיתי לעשות אליו בדיקה. הרבה פעמים אני מכניס נתיבים ידועים. כמו למשל wp-admin או wp-content או נתיבים של wp-json של וורדפרס REST.

dirb scan - סריקת תיקיות על אתר דוגמה
dirb scan – סריקת תיקיות על אתר דוגמה

מה הבעיה עם ממשק לוגין פתוח? כמה בעיות. קודם כל הוא מאפשר לי לדעת מה שם המשתמש. הדבר החשוב ביותר הוא מניעת קבלת שם המשתמש של מנהל האתר. למה שם המשתמש חשוב? כי דרכו אני יכול לעשות הרבה דברים. הדבר הטריוויאלי הוא לנסות להשיג את הסיסמה באמצעות התקפת פישינג, לנסות לעשות ברוט פורס אם ה-xml rpc פתוח לנסות לצאת דרך שם. אבל בגדול זה מראה על מקצועיות.

אז איך בודקים את שם המשתמש? בוא ונראה – בלי ידע טכני. אם ה-wp-admin פתוח ואין בו שום הגבלה, אני פשוט יכול להכניס שמות משתמש ללא בעיה ולראות מה מהם נכון, בדרך כלל זה די קל לנחש.

צעד ראשון - מכניסים שם כלשהו וסיסמה אקראית
צעד ראשון – מכניסים שם כלשהו וסיסמה אקראית
צעד שני - אם השם לא נכון מקבלים חיווי ברור ואפשר להמשיך לשם הבא
צעד שני – אם השם לא נכון מקבלים חיווי ברור ואפשר להמשיך לשם הבא
צעד שלישי - אם שם המשתמש נכון, אני מקבל חיווי על כך
צעד שלישי – אם שם המשתמש נכון, אני מקבל חיווי על כך

אפשר להשיג את שם המשתמש גם אם ממשק ה-rest של וורדפרס פתוח. מדובר בממשק שכשמו כן הוא – מתן גישה ל-API שמאפשר גישה לאתרים שונים. ברוב האתרים הממשק הזה פתוח ומאפשר לראות את שמות המשתמשים. /wp-json/wp/v2/users זה נקודת הכניסה – למשל https://internet-israel.com/wp-json/wp/v2/users

למה זה רע? ראשית ניסיונות ברוט פורס. זה נשמע די תיאורטי אבל ראיתי מקרים שמנהלי אתר בחרו ססמה פשוטה יחסית לניחוש ופורצים הצליחו להכנס לאתר ללא שום בעיה. בנוסף, אם יש לי את שם המשתמש אבל אני לא רוצה/לא יודע איך לעשות ברוטפורס, אני יכול לעשות מתקפת פישינג נגד המשתמש ולנסות להשיג את הסיסמה שלו. אם יש לי את שם המשתמש, חצי עבודה כבר נעשתה.

אני צריך גם להגן על ממשק הניהול – כלומר למנוע אינדיקציה לשם משתמש שגוי (לכתוב שם משתמש ו/או סיסמה לא נכונים), לבלום יותר מכמה ניסיונות בו זמנית ולשנות את השם של ממשק הניהול. איך מונעים גישה לממשל הניהול? יש כמה תוספים שפותרים את העניין הזה – למשל ithemes security שגם מונע הצגה אם שם המשתמש או הסיסמה שגויים וגם מספק דרך לשנות את כתובת ממשק הניהול. כשאני רואה שממשק הניהול סגור, אני מבין שהאתר הזה מאובטח – זה גם פחות הערות ב wpscan.

ithemes security

אם אני עושה wp scan ואני רואה שאין שום אייטמים, אז אני יודע שמדובר באתר שלוקח את האבטחה ברצינות. וזה גם משהו שממש קל לעשות. מרימים instance של קאלי, עושים בדיקה מהירה. מתקנים את הכל או עם תוספים או עם קוד, מוודאים שהכל מעודכן ומתעדכן וגובים כסף על השירות. כולם מרוצים: הלקוח מקבל אתר יותר מאובטח + הוכחות שנעשו פעולות, בונה האתר יכול לקבל כסף על שירות ייחודי שלא רבים מספקים. מי לא מרוצה? החאפרים.

אפשר לקחת את זה למקום יותר טוב, אם תסרקו את האתר שלי ב-wpscan, מה תראו לפי דעתכם?

block scan
block scan

מה קרה פה? אם אין user agent, הסריקה מתפוצצת. אם אני אבקש יותר מדי בקשות – הסריקה תמות ואני אחסם, אם אני אשלח יותר מדי בקשות ב-404, אני אכשל. למה? כי כל בקשה שעוברת דרך הוורדפרס נכשלת. למה? כי יש לי פיירוול. לא, לא הייתי צריך לעשות דבר ברמת ההוסטינג. כל מה שהייתי צריך לעשות זה לרכוש מוצר חמוד שנקרא Web Defender של cobweb שעולה לי 7 דולר לחודש ומכיל גם שירותי סריקה לקבצי PHP רעים. אני לא חושב שלקוח יכול להתקין כזה מוצר כי:
א. הוא לא מבין אותו.
ב. הוא לא ידע מה לעשות עם ההתראות שלו. יש לפעמים false positive.

cobweb security
cobweb security

וכאן יכול להיות הערך המוסף שלכם. התקנת תוסף כזה יכולה לסייע מאוד. אם האתר שלכם נפרץ שוב ושוב, התקנה שלו וסריקה של כל הקבצים יכולה מאוד לסייע. באופן אישי? הוא מותקן על הבלוג האישי שלי וזה אומר המון. שילוב של שני התוספים לעיל מקנה שקט נפשי משמעותי מאוד.

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.
וורדפרס

8 תגובות

  1. יוסי לוי הגב יוני 24, 2018 בשעה 8:38 am

    אני מניח שכל ההסברים כנראה מאוד טובים. בכל אופן, הזארגון הוכני נשמע משובח. הבעיה היא שזה לא ממש עוזר למי שלא מבין את הזארגון. השורה התחתונה של הפוסט הזה: המלצת להתקין שני תוספים, שלא ברור מה הם עושים ולא הסברת איך להשתמש בהם. על אחד מהם כתבת בפירוש שהוא לא יעזור למי שלא מתמצא בדקויות הטכניות כמוך. סך כל התועלת בפוסט הזה לבעל אתר וורדפרס עצמאי היא אפס אחד גדול.

    • מישהו הגב יוני 24, 2018 בשעה 11:12 am

      אני מבין שאתה לא מרוצה, כספך יוחזר לך במלואו.

      וברצינות, הפוסט נועד לעזור לבוני אתרים ומתכנתי ווב כיצד לאבטח בצורה טובה יותר את האתרים שהם בונים ולייצר ערך מוסף מול בוני אתרים מתחרים עבור הלקוחות שלהם. הוא במפורש לא נועד אליך, אתה הלקוח.
      אם לא הבנת את הנכתב פנה למישהו שמבין מה כתוב כאן כדי שיתחזק לך את האתר.

  2. אבי הגב יוני 24, 2018 בשעה 11:27 pm

    תאכלס אני נהנה לקרוא, ומצטער להגיב ככה אבל המידע הזה נחשב לעתיק במונחים של האינטרנט והוורדפרס, יש מעקף דיי פשוט לכל מה שציינת, ואני לא מבין הרבה באבטחה, רק ממאמרים, אפשר למצוא את היוזר שלך למשל בדרכים קלות יותר, כך גם את ה-url להתחברות לממשק המנהל, גם אם שינית אותו. אם מישהו "מטרגט" אותך לא יעזרו לך התוספים. זה ממזער את הסיכון לאתרים חלשים, אבל האקר טוב יפרוץ כמעט כל אתר וורדפרס במאמץ בינוני מבחינתו.

    • רן בר-זיק הגב יוני 26, 2018 בשעה 3:32 pm

      הי, זו תגובה סופר לגיטימית 🙂 אולי כן הייתי צריך להדגיש שמדובר בהכנה בסיסית (כאמור בכותרת היה כתוב ׳סגירת חורים בסיסיים׳). ההגנות האלו לא יחזיקו הרבה מעמד הרבה מול האקר שמטרגט אישית – אבל בינינו? כמה אנשי אבטחת מידע יטרגטו אישית אתר שהוא לא פוליטי/בעייתי? ההגנות האלו יעבדו יפה על סקריפטים, על אנשי ״אופס ישראל״ שמהווים 99 אחוז מההתקפות. יש לך אתר בעייתי שייתכן ויטורגט? תצטרך איש אבטחת מידע אמיתי כדי להגן עליו כמו שצריך.

  3. דרור הגב יוני 25, 2018 בשעה 7:56 pm

    רן היי
    רציתי לשאול שאלה שמעניינת אותי ואף אחד לא הצליח לתת לי תשובה חד משמעית.בממשק של סי פאנל יש רכיב כזה שנקרא pasword protaction זה בעצם דורש עוד שם משתמש סיסמא נגיד על wp-admin.האים זה יותר טוב מתווספים או פחות טוב?כי זה הגנה ברמת שרת

  4. אלחנן הגב יולי 1, 2018 בשעה 11:08 am

    כרגיל מאמרים מחכימים שמוסיפים רבות, תודה רבה

  5. אור הגב יולי 2, 2018 בשעה 2:54 pm

    שאלת תם – מדוע ההתמקדות היא בWP בעיקר, ומה ההבדל העיקרי מול פלטפורמות כמו של WIX?

    • רן בר-זיק הגב יולי 2, 2018 בשעה 3:58 pm

      וויקס היא לא פלטפורמה כי עם שירות ומן הסתם לא רלוונטי לפוסטים מסגנון זה שעוסקים במי שיש לו אתר עצמאי.

השארת תגובה

ביטול

ללמוד ג'אווהסקריפט בעברית

ללמוד לתכנת ג'אווהסקריפט בעברית שגייס יותר משלוש מאות אלף שקל ולמעלה מ-2000 תומכים - בואו ללמוד עכשיו איך לתכנת.

רשימת הנושאים
  • מדריכים
    • ריאקט
    • טייפסקריפט
    • ECMAScript 6
    • ES20XX
    • Node.js
    • Express
    • רספברי פיי
    • Babel
    • docker
    • MongoDB
    • Git
    • לימוד MySQL
    • SASS
    • jQuery
    • CSS3
    • HTML 5
    • SVN
    • LESS
  • פיתוח אינטרנט
    • פתרונות ומאמרים על פיתוח אינטרנט
    • jQuery Scripts
    • jQuery למתקדמים
    • יסודות בתכנות
    • נגישות אינטרנט
  • חדשות אינטרנט
  • מידע כללי על אינטרנט
    • רשת האינטרנט
    • בניית אתרי אינטרנט
  • rss logo

    לכל המאמרים

    לכל המאמרים שפורסמו באינטרנט ישראל משנת 2008 ועד עכשיו.
  • rss logo

    RSS Feed

    משתמשים בקורא RSS? אם כן, עקבו אחרי אינטרנט ישראל באמצעות פיד ה-RSS!
    מה זה RSS?
  • Twitter logo

    עקבו אחרי בטוויטר

    בחשבון הטוויטר שלי אני מפרסם עדכונים מהירים על חדשות בתחום התכנות והיזמות, התרעות על מצבי חירום ורכילות בוערת על תחום הווב.
    מה זה טוויטר?
  • facebook like image

    ערוץ הטלגרם של אינטרנט ישראל

    בערוץ הטלגרם של אינטרנט ישראל אני מפרסם את הפוסטים של באתר וכן עדכונים טכנולוגיים נוספים.
    מה זה טלגרם?
  • github logo

    הפרויקטים שלי בגיטהאב

    הפרויקטים שאני כותב ושוחררו לציבור ברישיון קוד פתוח נמצאים ברובם בגיטהאב.
חיפוש

כל הזכויות שמורות לרן בר-זיק ולאינטרנט ישראל | מדיניות הפרטיות של אתר אינטרנט ישראל | אתר אינטרנט ישראל נגיש לפי תקן WCAG 2.0 AA | הצהרת הנגישות של האתר | אבטחת מידע ודיווח על בעיית אבטחת מידע

גלילה לראש העמוד