Aanvaller kan nieuwe WordPress-site in 30 minuten vinden
Aanvallers kunnen nieuwe WordPress-sites binnen 30 minuten vinden en in het ergste geval overnemen omdat de installatie nog niet is afgerond. Vorige maand waarschuwde securitybedrijf Wordfence voor aanvallen op nog niet afgeronde WordPress-installaties.
Na de installatie van WordPress op een server moet de website zelf nog worden geconfigureerd. Hiervoor is er de standaardpagina /wp-admin/setup-config.php. Aanvallers scannen actief naar deze specifieke pagina. In het geval ze deze pagina vinden kunnen ze de website overnemen. Tijdens de Def Con-hackerconferentie in Las Vegas liet onderzoeker Hanno Bock zien hoe aanvallers in 30 minuten nieuwe WordPress-sites kunnen vinden om vervolgens aan te vallen (pdf).
Een aanvaller kan namelijk van Certificate Transparency gebruikmaken. Dit is een open standaard waarmee de online gemeenschap uitgegeven ssl-certificaten kan monitoren. Zo kan bijvoorbeeld Facebook zien of iemand een ssl-certificaat voor één van hun domeinen heeft aangevraagd. Ook kunnen security-teams kijken of een certificaatautoriteit ten onrechte een certificaat heeft uitgegeven dat het niet had moeten uitgeven. Iedereen kan deze data, waaronder de domeinnaam, via Certificate Transparency inzien.
Bock demonstreerde dat 30 tot 60 minuten nadat een nieuw ssl-certificaat is uitgegeven, aanvallers dit via Certificate Transparency kunnen achterhalen. Dit biedt aanvallers een manier om nieuwe websites te vinden om vervolgens aan te vallen. In het geval van WordPress kan een aanvaller de website monitoren totdat de setuppagina beschikbaar wordt. Beheerders krijgen van Wordfence het advies om de ip-adressen te beperken die toegang tot de website hebben.
Buitendien kun je natuurlijk zorgen dat de admin website alleen vanaf een set voorgedefinieerde ip nummers kan worden benaderd, zeg maar alleen het interne netwerk.
Buitendien kun je natuurlijk zorgen dat de admin website alleen vanaf een set voorgedefinieerde ip nummers kan worden benaderd, zeg maar alleen het interne netwerk.
Het kan allemaal bij de meeste providers wel. Maar is vaak toch lastig.
Buitendien kun je natuurlijk zorgen dat de admin website alleen vanaf een set voorgedefinieerde ip nummers kan worden benaderd, zeg maar alleen het interne netwerk.
Klinkt leuk... Totdat je bedenkt dat de meeste WP installaties op shared hosting plaats vinden. Of misschien vanaf een VPS. En de meeste zijn allemaal vanuit thuis hobby geïnstalleerd. Die hebben nog nooit gehoord van DMZ, firewall, intern / extern netwerk, voorgedefinieerde ip nummers.
Leuk voor een professionele partij, maar die hebben meestal hun zaakje in orde.
Ook kan je de optie tijdens install WP om de site te doorzoeken voor zoekmachines uitzetten en pas als de site klaar is de optie weer aan zetten?! Ben een noob wp dus zeg maar wat?! ;)
De documentatie van de Wordpress site schiet hierin dan ook behoorlijk te kort, en ze lijken vooral prat te gaan op hun eigen '5 minute install'.
De documentatie van de Wordpress site schiet hierin dan ook behoorlijk te kort, en ze lijken vooral prat te gaan op hun eigen '5 minute install'.
Uit veiligheid kun je ervoor kiezen om een bepaalde map te beveiligen of af te schermen voor onbevoegden. Hiervoor dien je een .htaccess bestand aan te maken en te plaatsen op jouw webruimte in de door jou gekozen map.
Je kunt op deze wijze bezoekers vanaf een gespecificeerd IP adres of bereik volledig blokkeren. Let er wel op dat je jezelf niet buitensluit van je eigen website. Voeg nooit jouw eigen IP adres toe voor IP blokkade. Mocht dit wel het geval zijn dan kun je de .htaccess beveiliging eraf halen vanuit jouw FTP programma.
Instructie:
In dit voorbeeld willen we de toegang op IP niveau beheren via een .htaccess bestand.
Maak een .htaccess bestand aan.
Plaats in het .htaccess bestand de volgende code:
Het onderstaande houdt in dat het voor iedereen is toegestaan behalve voor deze twee IP adressen:
order allow,deny
deny from 123.123.123.123
deny from 124.124.124.124
allow from all
Het onderstaande houdt in dat het voor iedereen is toegestaan behalve voor deze twee IP reeksen:
order allow,deny
deny from 123.123.123
deny from 124.124.124
allow from all
Het onderstaande houdt in dat het voor niemand is toegestaan behalve voor deze twee IP adressen:
order deny,allow
deny from all
allow from 123.123.123.123
allow from 124.124.124.124
De root server locatie voor een Webhosting Plus pakket is: /storage/web/public/sites/
Upload het .htaccess bestand naar de FTP folder waar je wilt dat dit .htaccess bestand zijn werk doet.
Bron:
https://helpdesk.mijndomein.nl/hc/nl/articles/200461172--htaccess-IP-blokkade
Ook kan je de optie tijdens install WP om de site te doorzoeken voor zoekmachines uitzetten en pas als de site klaar is de optie weer aan zetten?! Ben een noob wp dus zeg maar wat?! ;)
Search Engine Visibility staat standaard uit direct na installatie en moet je dus zelf aanzetten.
Verder is er als je je 5 min install gewoon netjes afmaakt niets aan de hand. Een installatie verlaten, sjaa... vraag je er ook om.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.