image

Aanvaller kan nieuwe WordPress-site in 30 minuten vinden

dinsdag 1 augustus 2017, 10:51 door Redactie, 8 reacties

Aanvallers kunnen nieuwe WordPress-sites binnen 30 minuten vinden en in het ergste geval overnemen omdat de installatie nog niet is afgerond. Vorige maand waarschuwde securitybedrijf Wordfence voor aanvallen op nog niet afgeronde WordPress-installaties.

Na de installatie van WordPress op een server moet de website zelf nog worden geconfigureerd. Hiervoor is er de standaardpagina /wp-admin/setup-config.php. Aanvallers scannen actief naar deze specifieke pagina. In het geval ze deze pagina vinden kunnen ze de website overnemen. Tijdens de Def Con-hackerconferentie in Las Vegas liet onderzoeker Hanno Bock zien hoe aanvallers in 30 minuten nieuwe WordPress-sites kunnen vinden om vervolgens aan te vallen (pdf).

Een aanvaller kan namelijk van Certificate Transparency gebruikmaken. Dit is een open standaard waarmee de online gemeenschap uitgegeven ssl-certificaten kan monitoren. Zo kan bijvoorbeeld Facebook zien of iemand een ssl-certificaat voor één van hun domeinen heeft aangevraagd. Ook kunnen security-teams kijken of een certificaatautoriteit ten onrechte een certificaat heeft uitgegeven dat het niet had moeten uitgeven. Iedereen kan deze data, waaronder de domeinnaam, via Certificate Transparency inzien.

Bock demonstreerde dat 30 tot 60 minuten nadat een nieuw ssl-certificaat is uitgegeven, aanvallers dit via Certificate Transparency kunnen achterhalen. Dit biedt aanvallers een manier om nieuwe websites te vinden om vervolgens aan te vallen. In het geval van WordPress kan een aanvaller de website monitoren totdat de setuppagina beschikbaar wordt. Beheerders krijgen van Wordfence het advies om de ip-adressen te beperken die toegang tot de website hebben.

Reacties (8)
01-08-2017, 11:21 door Anoniem
Volgens mij zet je de firewall van DMZ naar intern netwerk open tijdens installatie, de firewall naar extern netwerk open je pas als alleswerkt...
Buitendien kun je natuurlijk zorgen dat de admin website alleen vanaf een set voorgedefinieerde ip nummers kan worden benaderd, zeg maar alleen het interne netwerk.
01-08-2017, 11:59 door Whacko
Door Anoniem: Volgens mij zet je de firewall van DMZ naar intern netwerk open tijdens installatie, de firewall naar extern netwerk open je pas als alleswerkt...
Buitendien kun je natuurlijk zorgen dat de admin website alleen vanaf een set voorgedefinieerde ip nummers kan worden benaderd, zeg maar alleen het interne netwerk.
Ja leuk en aardig, maar voor een beetje pro-sument niet handig die van een hosting provider gebruik maakt. Dan zul je al moeten gaan stoeien om je toegang van buitenaf te beperken.
Het kan allemaal bij de meeste providers wel. Maar is vaak toch lastig.
01-08-2017, 12:08 door Tha Cleaner
Door Anoniem: Volgens mij zet je de firewall van DMZ naar intern netwerk open tijdens installatie, de firewall naar extern netwerk open je pas als alleswerkt...
Buitendien kun je natuurlijk zorgen dat de admin website alleen vanaf een set voorgedefinieerde ip nummers kan worden benaderd, zeg maar alleen het interne netwerk.

Klinkt leuk... Totdat je bedenkt dat de meeste WP installaties op shared hosting plaats vinden. Of misschien vanaf een VPS. En de meeste zijn allemaal vanuit thuis hobby geïnstalleerd. Die hebben nog nooit gehoord van DMZ, firewall, intern / extern netwerk, voorgedefinieerde ip nummers.

Leuk voor een professionele partij, maar die hebben meestal hun zaakje in orde.
01-08-2017, 12:20 door Anoniem
Als je de hele site offline bouwt en beveiligd met plugins (dichttimmerd), en pas als je helemaal klaar bent met installatie en organisatie de site via FTP upload en instellingen wijzigt (phpmyadmin/sql en wp-config.php). Kan er toch weinig misgaan?
Ook kan je de optie tijdens install WP om de site te doorzoeken voor zoekmachines uitzetten en pas als de site klaar is de optie weer aan zetten?! Ben een noob wp dus zeg maar wat?! ;)
01-08-2017, 13:30 door Anoniem
Als je weet wat je doet dan zal dit nooit een probleem zijn. Echter zijn er een hoop mensen die niet (helemaal) weten wat ze doen, en ze worden hiervoor ook niet actief gewaarschuwd.
De documentatie van de Wordpress site schiet hierin dan ook behoorlijk te kort, en ze lijken vooral prat te gaan op hun eigen '5 minute install'.
01-08-2017, 14:19 door Anoniem
Door Anoniem: Als je weet wat je doet dan zal dit nooit een probleem zijn. Echter zijn er een hoop mensen die niet (helemaal) weten wat ze doen, en ze worden hiervoor ook niet actief gewaarschuwd.
De documentatie van de Wordpress site schiet hierin dan ook behoorlijk te kort, en ze lijken vooral prat te gaan op hun eigen '5 minute install'.
.htaccess IP blokkade
Uit veiligheid kun je ervoor kiezen om een bepaalde map te beveiligen of af te schermen voor onbevoegden. Hiervoor dien je een .htaccess bestand aan te maken en te plaatsen op jouw webruimte in de door jou gekozen map.

Je kunt op deze wijze bezoekers vanaf een gespecificeerd IP adres of bereik volledig blokkeren. Let er wel op dat je jezelf niet buitensluit van je eigen website. Voeg nooit jouw eigen IP adres toe voor IP blokkade. Mocht dit wel het geval zijn dan kun je de .htaccess beveiliging eraf halen vanuit jouw FTP programma.

Instructie:

In dit voorbeeld willen we de toegang op IP niveau beheren via een .htaccess bestand.

Maak een .htaccess bestand aan.

Plaats in het .htaccess bestand de volgende code:

Het onderstaande houdt in dat het voor iedereen is toegestaan behalve voor deze twee IP adressen:
order allow,deny
deny from 123.123.123.123
deny from 124.124.124.124
allow from all
Het onderstaande houdt in dat het voor iedereen is toegestaan behalve voor deze twee IP reeksen:
order allow,deny
deny from 123.123.123
deny from 124.124.124
allow from all
Het onderstaande houdt in dat het voor niemand is toegestaan behalve voor deze twee IP adressen:
order deny,allow
deny from all
allow from 123.123.123.123
allow from 124.124.124.124

De root server locatie voor een Webhosting Plus pakket is: /storage/web/public/sites/

Upload het .htaccess bestand naar de FTP folder waar je wilt dat dit .htaccess bestand zijn werk doet.
Bron:
https://helpdesk.mijndomein.nl/hc/nl/articles/200461172--htaccess-IP-blokkade
02-08-2017, 07:29 door Anoniem
Joomla heeft inmiddels een patch uitgebracht in versie 3.7.4 voor dit probleem. Het betrof dus niet alleen Wordpress, maar ook alle Joomla sites voor de laatste versie.
29-08-2017, 14:19 door jetinternet
Door Anoniem:
Ook kan je de optie tijdens install WP om de site te doorzoeken voor zoekmachines uitzetten en pas als de site klaar is de optie weer aan zetten?! Ben een noob wp dus zeg maar wat?! ;)

Search Engine Visibility staat standaard uit direct na installatie en moet je dus zelf aanzetten.
Verder is er als je je 5 min install gewoon netjes afmaakt niets aan de hand. Een installatie verlaten, sjaa... vraag je er ook om.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.