Wordpress - scan vulnerabilități
Balistic CMS, softul din spatele acestui blog, l-am scris cu scopul de a fi rapid și sigur. După 10 ani în care am încercat cam toate variantele de CMS-uri mi-am dat seama că trebuie schimbată abordarea.
Nu faci performanță reîncălzind ciorba.
Pe lângă asta, este configurat să logheze și să mă anunțe la orice eroare pe care o întâmpină utilizatorul, cum ar fi paginile care nu există ce returnează codul 404 Page Not Found.
Ca o paranteză, puteți citi aici de unde vine indicativul 404.
Astăzi găsesc pe email ce vedeți mai jos:
wp-content/plugins/videowhisper-video-conference-integration/vc/vw_upload.php
wp-content/themes/simplecart/admin/upload-file.php
wp-content/plugins/work-the-flow-file-upload/public/assets/jQuery-File-Upload-9.5.0/server/php/index.php
wp-content/themes/designfolio-plus/admin/upload-file.php
wp-content/plugins/inboundio-marketing/admin/partials/csv_uploader.php
wp-content/plugins/simple-ads-manager/sam-ajax-admin.php
wp-content/plugins/wp-easycart/inc/amfphp/administration/banneruploaderscript.php
wp-content/plugins/website-contact-form-with-file-upload/
wp-content/plugins/i-dump-iphone-to-wordpress-photo-uploader/uploader.php
Au încercat să găsească vulnerabilități ale site-ului încercând diferite portițe știute.
Acum începe discuția despre softurile gratuite, open source și developeri. Fiind mult prea lungă, o voi scurta.
Principala problemă în cazul de mai sus nu este a Wordpress-ului. După cum se vede s-a încercat accesarea unor plugin-uri și a unor teme făcute de terți. Terți care pot face un plugin sau o temă, dar nu neapărat o și securizează.
Iar dacă atacatorul găsește o portiță și poate face upload sau rula un script, șansele de a compromite 100% un site sau de a fura datele sunt imense.
De aceea încă nu înteleg de ce unii oameni se aruncă cu capul înainte și consideră Wordpress-ul drept un "Holy Grail" ...