Come fanno i cracker a caricare gli script php nella directory dei contenuti wp di Wordpress?

14

Ho visto un sito che è stato attaccato caricando script php (presumibilmente una sorta di shell, o codice che carica una shell) nella directory wp-content / uploads di Wordpress. Solitamente questa directory viene utilizzata per i contenuti caricati dall'utente come foto ecc. Questo particolare server è stato configurato per eseguire quindi gli script dannosi per qualsiasi utente su Internet (con conoscenza dell'URL corretto).

Come funziona? Come potrebbe il cracker ottenere wordpress per posizionare il file php nella directory uploads senza un account utente? Io questo solo il famigerato ed esplicito tipo "sì, wordpress non è sicuro" tipo di problema?

    
posta Thomas 05.04.2014 - 20:55
fonte

3 risposte

13

Non direi che la causa principale del problema è Wordpress, ma piuttosto il fatto che:

  • Ci sono così tanti temi / plugin per Wordpress disponibili da sviluppatori di terze parti, e la gente di solito non li controlla prima di installarli. Dal momento che la barriera di accesso per PHP è molto bassa, molti di questi sviluppatori di terze parti non hanno / hanno scarsa conoscenza della sicurezza IT

Penso che uno degli scenari più possibili sia quello in cui una configurazione di Wordpress è configurata con un plugin / tema che consente caricamenti anonimi. Un esempio è la Vulnerabilità legata al caricamento di file arbitrari di Uploadstone Theme upload.php .

In sostanza,

  1. È necessario assicurarsi che i caricamenti non autorizzati / anonimi non siano consentiti
  2. Sposta i file caricati fuori dalla directory principale web
  3. Verifica il contenuto per assicurarti che solo ciò che ti aspetti venga caricato e salvato

La pagina su Caricamento file senza restrizioni sul sito web OWASP ha alcune ottime spiegazioni sull'argomento.

    
risposta data 05.04.2014 - 23:08
fonte
5

Sono d'accordo che i plugin e i temi possono essere problematici, ma voglio aggiungere altri tre suggerimenti relativi all'uso dei plugin:

  1. Assicurati di eseguire l'ultima versione dei plug-in AND di WordPress.
  2. Passa attraverso i tuoi plugin e cancella tutto ciò di cui non hai veramente bisogno. Prova a sostituire i plug-in con il codice, laddove possibile.
  3. Sii più esigente riguardo al download dei plug-in (chi l'ha creato, quando e quanto spesso viene aggiornato).

Gli sviluppatori di terze parti, anche se inizialmente mancano i problemi di sicurezza, offrono aggiornamenti per coprire i problemi di sicurezza, ma una parte della responsabilità ricade anche sull'utente WP. Ho ignorato gli aggiornamenti perché hanno reso più lavoro per me a breve termine, ma alla lunga hanno creato molti problemi.

Questo è il consiglio di un consulente che abbiamo assunto per aiutarci a proteggere i nostri siti Web dopo che i nostri file .php sono stati violati.

    
risposta data 07.04.2014 - 13:17
fonte
4

Crea un file vuoto in un editor di testo. Chiamalo .htaccess e incolla qui il seguente codice:

<Files *.php>
    deny from all
</Files>

Ora carica questo file nella cartella / wp-content / uploads /.

Codice Spiegazione: Questo codice controlla qualsiasi file PHP e nega l'accesso ad esso.

    
risposta data 16.05.2015 - 17:39
fonte

Leggi altre domande sui tag