Olen viimastel aastatel WordPressiga üha enam kokku puutunud ning isegi mõned veebilehed valmis programmeerinud WordPressile. Nüüdsest tegelen WordPressiga juba igapäevaselt, seega otsustasin kirjutada WordPressi turvalisusest, mis annab mulle endale teadmisi juurde, mida uute veebilehtede programmeerimisel silmas pidada ning ehk saab ka juba tehtud lehed üle käia, kui peaks selguma, et mingid asja on tegemata ning vajavad tähelepanu. Lisaks saan ka kliente harida turvalisuse teemadel ning ka neid veenda, et see on ülioluline. Üldiselt kliendid ei taha investeerida oma aega ja raha turvalisusse ning nad ei oska ega taha ohte ennetada.
Räägitakse, et WordPressi kasutab ca 25% kõikidest maailma veebilehtedest. See on hea, sest kui turvaviga avastatakse siis on üsna suur arendajate kommuun, kes selle probleemiga kohe tegelema hakkavad. Teisest küljest niikaua kui seda turvaviga korda ei tehta on kõik 25% maailma lehtedest mingil määral ründele avatud. Lisaks sellele ei tee mõned arendajad veebilehtedele uuendusi, sest pluginate tootjad ei ole nii kiiresti jõudnud enda pluginaid uuendada. Ning kui uuendada WordPress ära, siis võib tekkida konflikt kuskil koodis ja siis ei tööta jällegi veebileht. Mõni arendaja on väga custom veebilehe arendanud, et see ei kannatagi enam uuendusi, mis jätab veebilehed ebaturvaliseks. Seega hea oleks arendada mõeldes sellele, et saaks WordPressi ennast alati uuendada nii et tekiks võimalikult vähe konflikte erinevate pluginate ja ise kirjutatud koodi vahel. Tähelepanu pöörata ka sellele, et turvavead ulatuvad WordPressi core’st kaugemale. Ründele on avatud ka pluginad ja themed. Vastavalt wpscan.org raportile on 52% turvavigadest pluginates, 37% WordPressi cores failides ja 11% teemades.
Ründajatel eesmärgiks on saada kontroll veebilehe üle haldustasandil. See tähendab, et nad saavad lugede faile ja andmeid andmebaasis. Samuti tähendab see, et ründajad saavad ka muuta faile, teha muutusi andmebaasis ning manipuleerida veebilehega. Seda tehakse mitmetel eesmärkidel:
- SPAMi saatmine – et saata SPAM emaile peavad ründajad jooksutama scripte veebilehel, mis saadavad mass emaile.
- Majutada pahatahtlikku sisu – ründajad võivad veebilehele üles laadida illegaalset sisu, näiteks pornograafia, narkootikumide müük või muud SPAM sisu. Ebatsensuurse sisu majutamine uuel lehel, mille reputatsiooni pole veel langenud võimaldab pahalastel vältida erinevaid filtreid.
- Varastada veebilehe infot – eesmärk võib olla ettevõtte info varastamine, näiteks klientide emailid, nimed, aadressid, telefoninumbrid jne. Kui ründajad saavad tuhandete klientide emailid siis saavad nad uued inimesed kellele saata kas SPAM või kahtlase sisuga emaile. Lisaks võib olla veebilehel personaalset informatsiooni, mis aitavad kaasa identiteedi vargustele.
- Rünnata teisi veebilehti – kui ründaja on saanud kontrolli veebilehe üle, saab ta kasutada nakatunud veebilehte selleks, et teha bot attact mis ründab näiteks teisi veebilehti. Seejärel on veebileht osa botnetist mis on suur grupp arvuteid mida kasutatakse ründeks.
Üldiselt on kaks staadiumit, kuidas rünnatakse WordPressi veebilehti. Esimeses staadiumis tehakse luuret, kus ründaja kogub informatsiooni sinu veebilehe kohta. Teises staadiumis proovitakse teostada rünnet kogutud informatsiooni põhjal.
Luure staadiumis kogub ründama kokku kõik võimaliku informatsiooni veebilehe kohta, mille põhjal leiab ta haavatavad punktid. Kaks kõige tähtsamat infokildu, mida uuritakse on see, et mis tarkvara peal jookseb veebileht ning mis versiooni ta kasutab. Sealt edasi on juba võimalik uurida, mis on selle versiooni nõrkused. Internetist leidub andmebaase, kus on kirjeldatud erinevate versioonide turvanõrkused. Näiteks kui ründaja teeb kindlaks, et WordPress jookseb versiooni 4.2.2 peal, siis on teada, et cross-site scripting on turvanõrkus ning sealt on võimalik teostada rünnet. Kuid kui sul on uuem versioon, siis ei pea ründaja aega sellele turvanõrkusele raiskama ning saab leida andmebaasist uuema versiooni nõrkused.
Seega alati enne rünnet kogutakse kokku info ning analüüsitakse, mis WordPressi versioon hetkel kasutusel on. Samuti kaardistatakse kõikide pluginate ja teemade versioonid. Nagu statistika näitas, siis on 52% nõrkustest just pluginates.