Wordpress Plugins

Hey Leute,

ich will mal eure Meinung zu etwas hören: Es gibt ja viele Wordpress Plugins mit jeweils mehreren Versionen. Jeder dieser Versionen kann verschiedene Dateien enthalten (abgesehen von den php-Dateien), also beispielsweise Text-Dateien, Bilder etc.

Nun könnte man doch ein kleines Tool entwickeln, dass auf einer Wordpress Page versucht, eben diese Dateien zu finden, da ja der Pfad zu den Dateien doch immer gleich ist: 404 Redirect. Also ich meine, man nimmt die gesamte Datenbank aller Wordpress Plugins auf der Wordpress.org Seite, iteriert über jedes Plugin und prüft, ob auf der entsprechenden Domain Dateien von dem gerade iterierenden Plugin zu finden sind. Falls man dann also Dateien zu einem solchen Plugin findet, kann man eventuell die Version eines Plugins erraten und wenn man diese Informationen hat, eventuell sogar - sofern das entsprechende Plugin mit der Version eine Schwachstelle hat - diese ausnutzen.

Würde so ein Tool (das eben nur die Version und das Plugin herausfindet) - wenn man es programmieren würde - unter den Hackerparagraphen fallen? Macht so ein Tool überhaupt Sinn?

Eine Schutzmaßnahme wäre zumindest mal die, dass man den Ordner pluginname verändert, oder? (Zumindest soweit ich das abschätzen kann)
 
Die meisten Botnets, die sich auf Wordpress-Installationen spezialisiert haben, haben bereits entsprechende Tools integriert. Da aber bereits das Scannen von Netzwerken rechtlich fragwürdig ist, da dies unter die Formulierung "nicht für ihn bestimmte Daten" aus § 202b StGB fallen kann, wäre ich mit so einem Tool "in the wild" eher vorsichtig. Ein guter Anwalt kann dir daraus durchaus einen Strick drehen. Allerdings gilt auch hier: Wo kein Kläger, da kein Angeklagter. ;) Gut anonymisiert in's Netz stellen und man hält sich rechtliche Probleme halbwegs vom Leib.

Einen wirksamen Schutz stellt das Umbenennen der Plugin-Ordner übrigens nicht dar. Schon die aufrufbaren Dateinamen geben in den meisten Fällen Hinweise auf das Plugin, das sich in dem Ordner verbirgt. Hinzu kommt, dass die meisten Plugins auch Einfluss auf's Interface haben, so dass sich deren HTML-Code in der Seite wiederfindet. Und ausserdem machen viele Plugins den Fehler eine README-Datei mitzuliefern, aus der der Name des Plugins hervorgeht. Um Wordpress-Plugins vor der Identifizierung zu schützen bedarf es daher etwas mehr Aufwand. Installiere dir einfach mal auf einem Webserver ein anständiges IDS, ein Wordpress und einen Honeypot, auf den das IDS Angriffsversuche und Scans umleitet. Dann kannst du dir anschauen was entsprechende Bots heutzutage alles probieren um die Plugins zu erkennen. Das geht bis zum Erstellen von MD5-Checksummen für den Output bestimmter Dateien, dem Parsen des Outputs der Seiten uvm.. Denn keineswegs machen alle Plugins die empfohlenen Redirects, wenn sie direkt angesprochen werden. Will man sein Wordpress anständig schützen hilft nur eine sorgfältige Auswahl der Plugins (z.B. vorher mal schauen, wie oft diese in der Vergangenheit mit Sicherheitsproblemen auffällig geworden sind) und Updates, sobald diese verfügbar sind. Dazu noch eine WAF und ein halbwegs brauchbares HIDS um Injections zu erkennen und man ist halbwegs auf der sicheren Seite.

Tipp an dieser Stelle für Wordpress-Betreiber, die die Möglichkeit haben einen Varnish vor ihren Webserver zu schalten. Mit folgender Varnish-Konfiguration kann man ca. 80% der Botnets, die auf Wordpress losgehen, von vornherein aussperren: https://github.com/bitmuncher/bitscripts/blob/master/varnish_default.vcl Kann entsprechend modifiziert natürlich auch verwendet werden um solche Bots in einen Honeypot umzuleiten um ihr Verhalten zu analysieren.
 
Tipp an dieser Stelle für Wordpress-Betreiber, die die Möglichkeit haben einen Varnish vor ihren Webserver zu schalten. Mit folgender Varnish-Konfiguration kann man ca. 80% der Botnets, die auf Wordpress losgehen, von vornherein aussperren: https://github.com/bitmuncher/bitscripts/blob/master/varnish_default.vcl Kann entsprechend modifiziert natürlich auch verwendet werden um solche Bots in einen Honeypot umzuleiten um ihr Verhalten zu analysieren.

Varnish kenn ich noch gar nicht...8o Kann es sein, dass die angegebene Konfiguration erstmal nur auf den User-Agent schaut?

wpscan kannte ich bisher auch noch nicht. Da könnte ich doch gleich mal hier auf meinem zweiten Rechner Wordpress auflegen und drauf losscannen ... :D
 
Varnish kenn ich noch gar nicht...8o Kann es sein, dass die angegebene Konfiguration erstmal nur auf den User-Agent schaut?

Ja, das tut sie. Aber die meisten Botnets sind nunmal bereits an diesem zu erkennen. So zumindest meine Erfahrung. Weitere Konfigurationen sind dann sehr individuell von der vorhandenen Wordpress-Installation abhängig. Natürlich kann man solche Listen auch im Apache oder Nginx direkt einpflegen, aber dort sind sie nicht so performant wie bei einem vorgeschalteten Varnish. Und der übernimmt ganz nebenbei auch noch das Caching und entlastet damit den Webserver. Bei Bedarf kann man ihn auch gleich als Loadbalancer verwenden. Deswegen nutze ich ihn lieber für solche Zwecke. Er bietet aber auch die Möglichkeit Requests auf bestimmte URL-Schemas umzuleiten oder zu blocken und dank der Möglichkeiten von "Embedded C" in der Konfiguration, ist er auch gut geeignet um Umleitungen in Honeypots umzusetzen. Wenn du mit dem Gedanken spielst ihn einzusetzen, findest du unter Bitmunchers TechBlog - Einführung in die Konfiguration von Varnish eine kurze Einführung in die Konfiguration. Ersetzt natürlich nicht unbedingt eine aktuelle Referenz, die man auf deren Seite findet: https://www.varnish-cache.org/docs/3.0/reference/vcl.html
 
Zurück
Oben