WordPress-lekken opsporen – hulp bij het beveiligen van de website

Redactie
0

Vele websites zijn gebouwd in WordPress, maar worden niet altijd correct onderhouden en gebruiken vaak verouderde versies waardoor er in je site lekken ontstaan, die je gelukkig ook zelf kunt opsporen. Kwetsbare plug-ins en thema’s worden misbruikt door aanvallers, hackers. We laten zien hoe je met behulp van een Ruby-tool de website kan beveiligen.


WordPress lekken opsporen


WordPress is populair en kwetsbaar

Het contentmanagementsysteem WordPress is zeer populair – ook bij aanvallers. Door gebrek aan aandacht en kennis van het onderhoud wordt het vaak gebruikt met verouderde – en kwetsbare – versies of met kwetsbare plug-ins en thema’s.

Configuratiefouten werken een overname door derden in de hand. Het opsporen van dergelijke mazen is nu kinderspel – bijvoorbeeld met de WordPress Security Scanner WPScan. Dat kan een grote hulp zijn bij het beveiligen van je website.

Als je de volgende stappen te angstaanjagend vind kun je natuurlijk ook het beheer over de website aan een externe partij overdragen. Je kunt dan wel een eigen website ontwerp maken, maar de beveiliging en update aan de beheerder overlaten.


Blijf op de hoogte van tips voor beveiliging van netwerk en website!

Schrijf je in voor de nieuwsbrief:


WPScan voor opsporen lekken in WordPress

Op de GitHub-pagina van deze Ruby-tool staat hoe je die onder Linux, macOS en als Docker-container kunt downloaden en aan de gang kunt krijgen. Kali-gebruikers kunnen zich de moeite besparen, het programma is daar al geïnstalleerd.

De instructie voor WPScan staan in de handleiding

Om je WordPress-installatie te scannen, geef je WPScan gewoon de url mee:

wpscan –url https://jouw-website.nl/wordpress

Voordat de analyse begint, haalt de veiligheidsscanner een database met actuele informatie van inter­net. Dat wordt normaal gesproken automatisch gedaan, maar als je die wilt gebruiken op de ­onveilige WordPress-installaties van RasPwn (zie hieronder het kopje ‘Geschikt aanvalsdoel: RasPwn’), zul je geen internetverbinding hebben zolang je verbonden bent met het Raspberry Pi-testnetwerk.

In dat geval moet je eerst verbinding maken met je normale netwerk en de update handmatig starten met

wpscan –update

Verbreek daarna de verbinding voordat je de scan van het RasPwn-netwerk start.

Geeft informatie over WordPress

WPScan geeft gaandeweg interessante informatie over de WordPress-installatie, waaronder de WordPress-versie inclusief de releasedatum en een beoordeling of die editie veilig is volgens de huidige stand van zaken.

Lekken opsporen

Bovendien identificeert de tool de versies van de webserver en PHP, alsmede thema’s, plug-ins en diverse configuratiefouten. In principe kun je zelf op onderzoek uitgaan op internet om na te gaan welke veiligheidsproblemen er in de geïdentificeerde versies bestaan, maar WPScan kan dat ook voor je doen.

De tool vraagt die informatie op bij de server van de ontwikkelaars via een Web-API (voor vulnerability-informatie) – waarvoor eerst gratis registratie vereist is .


Geschikt aanvalsdoel: RasPwn

De in deze serie artikelen genoemde hacking-tools zijn niet illegaal, maar je mag ze natuurlijk niet gebruiken in strijd met de ­geldende wetgeving.

Om niet in de verleiding te ­komen de tools zonder toestemming op andermans servers te testen, moet je een geschikte oefen­omgeving creëren – bijvoorbeeld een testnetwerk waarin zich alleen systemen bevinden die je wilt en mag aanvallen.

Een geschikt aanvalsdoel is RasPwn, dat een heel netwerk vol kwetsbare servers simuleert waarop je je kunt uitleven. Je zet het eenvoudigweg over op een microSD-kaart, die je vervolgens in een Raspberry Pi stopt (minimaal een Raspberry Pi 2B).

Na het opstarten verschijnt een wifinetwerk met de naam ‘­RasPwn OS’, waarmee je verbinding kunt maken met het wachtwoord In53cur3!

Open vanaf dat netwerk http://playground.raspwn.org met een browser, voor alle belangrijke informatie over het virtuele netwerk en de kwetsbare servers.

Er mag geen netwerkkabel op de Rasperry Pi worden aangesloten, anders kan de zeer kwetsbare image toegang krijgen tot je hoofdnetwerk en het inter­net – wat je ten koste van alles moet vermijden!

Mogelijke doelwitten zijn kwetsbare WordPress-installaties, een verouderde versie van het webshopsysteem osCommerce, het databaseprogramma phpMyAdmin, een mailserver, Samba enzovoort.

Het Debian Linux waarop RasPwn op gebaseerd is, is ook bijna zeven jaar oud en zit vol gaten. Bovendien zijn er tal van webapplicaties, zoals OWASP Bricks en Damn Vulnerable Web Application (DVWA), die zijn ontwikkeld met als enig doel zo kwetsbaar mogelijk te zijn om typische beveiligingslekken op een actief systeem te demonstreren.

Lees meer over hacking in c't magazine mei/2022

Deel dit artikel

Lees ook

Hacking gadgets voor inbreken op pc’s, netwerken en smartphones

Met de juiste tools zijn netwerken, computers, smartphones enzovoort vaak een makkelijk doelwit voor hackers. We hebben eens een flinke verzameling va...

Bescherm jezelf tegen hacking-gadgets, herken een hacking aanval

Veel hacking-gadgets beheersen complexe IT-aanvallen. In dit artikel bespreken we enkele bedreigingen en leggen we uit hoe je jezelf tegen een hacking...

0 Praat mee
avatar
  Abonneer  
Laat het mij weten wanneer er