Tag Archives: wordpress

Securizando WordPress con WPHardering

Wordpress-securityWPHardening es una herramienta para securizar los paquetes de WordPress, ya sea antes de su instalación o en un servidor de producción. La misma fue desarrollada por Daniel Maldonado.

WPHardening es una herramienta programada en Python y basada en la consola de comandos. Por defecto WordPress contiene muchos archivos innecesarios para su correcto funcionamiento y requiere de revisiones constantes.

WPHardening esta basado en las mejores practicas de seguridad y consejos que siempre leemos en diferentes papers y blogs pero que sin embargo nunca se implementa.

En esta primera version WPHardening incorpora la activación de flags para realizar diferentes tareas:

  • Cambio de permisos en directorios y archivos .
  • Eliminar archivos innecesarios como readme y licencias.
  • Creación del archivo robots.txt
  • Evadir el fingerprinting de varias herramientas como w3af y wpscan
  • Eliminar las funciones de enumeración de versiones de WordPress independientemente del Theme que se instale.
  • Recomendación y Descarga de diferentes plugins para mejorar la seguridad.
  • Finalmente permite evitar el listado de directorios incorporando archivos index.php y .htaccess

Para comenzar a trabajar con WPHardening es necesario descargar el código directamente desde el repositorio de GitHub de la siguiente manera:

Dentro del directorio wphardening que acabamos de descargar vamos a ver una serie de archivos, donde se encuentra el código fuente de toda la herramientas y algo de información sobre el desarrollo y licencias.

Todas las opciones que les comenté anteriormente se encuentran disponibles para implementarlas.

Para lograr utilizar la herramienta correctamente, es necesario especificar siempre con los flags -d o –dir el Path donde se encuentra nuestro proyecto de WordPress, en lo personal recomiendo realizar este tipo de hardening antes de la instalación de WordPress, pero también es posible realizarlo en un entorno de producción.

De esta forma podemos utilizar todos los flags disponibles como este ejemplo:

Link Descarga: WPHardering

Auditando seguridad de WordPress con WPScan

Es conocido que WordPress es uno de los sistemas de gestión de contenidos más utilizados a lo largo de la red. La sencillez que provee a la hora de gestionar los distintos artículos generados por los autores y la diversidad de plugins existentes han transformado a esta plataforma de CMS en una de los más populares. Sin embargo, es muy recomendable auditar la seguridad del blog que utilice WordPress y de esa forma poder determinar si es vulnerable o no. Para ello, existe una herramienta sumamente recomendable llamada WPScan.

Han existido casos donde la seguridad de un blog ha sido vulnerada por algún plugin de terceros que ha sido instalado en el servidor. Un ejemplo claro de esto fue la vulnerabilidad en el módulo Count Per Day de WordPress. Otro caso de gran repercusión fue el aquel donde WordPress fue vector de propagación de Flashback. Los ciberdelincuentes pudieron lograr esto a través de plugins que permitieron la inyección de código al sitio original.

Debido a esta problemática es importante evaluar la seguridad de los blog así como también considerar los diferentes plugins instalados. WPScan es una herramienta que se actualiza periódicamente y contempla muchos de los plugins instalados así como sus problemas de seguridad.

Con WPScan es posible determinar los plugins que fueron instalados en WordPress a través del siguiente comando:

De esta manera, es posible enumerar y conocer los plugins que se encuentran instalados. Para aquellos que fueron detectados, se realiza un chequeo contra vulnerabilidades conocidas en los mismos. En caso de que el resultado sea afirmativo, WPScan informará sobre la vulnerabilidad y proveerá un enlace con más información y, en algunos casos, indicará el exploit público para explotar la misma. A continuación, puede visualizarse una captura con los plugins detectados por WPScan en un entorno de prueba:

Screenshot from 2013-08-23 16:42:08

Asimismo, mediante el siguiente comando es posible enumerar aquellos usuarios que utilizan la plataforma:

WPScan posee un módulo que permite realizar fuerza bruta sobre aquellos usuarios que fueron enumerados utilizando un archivo del tipo diccionario. Mediante esta técnica será posible auditar la fortaleza de las contraseñas utilizadas por los usuarios del sistema. Es importante recordar que las contraseñas siguen siendo el punto débil de los usuarios.

Otra de las funcionalidades que brinda WPScan es información sobre el tema (perfil gráfico) que tiene instalado el blog. Además, especifica la versión de WordPress que se encuentra instalada en el servidor. Esto puede utilizarse para comprobar de que realmente se esté utilizando la versión más actual del sistema de gestión de contenidos. Además, en caso de que se tenga instalado una versión vulnerable de WordPress, WPScan especificará información relevante sobre dichas vulnerabilidades.

Si bien WPScan provee otras funcionalidades además de las especificadas, cabe destacar que la seguridad debe gestionarse en todo ámbito. Tal cómo hechos pasados lo han demostrado, una vulnerabilidad puede comprometer un sistema a nivel general. Realizando pruebas similares, y conociendo de forma más profunda el escenario global de aquellos sistemas que se gestionen, es posible estar preparados y disminuir las probabilidades de sufrir un ataque.

Nota: En la version de actual de Kali Linux (aka BackTrack) se ejecuta directamente con el comando “wpscan” ya que viene pre-compilado