תוספי אבטחה לוורדפרס – בטוחים? כדאי שתחשבו שוב

מה עושים תוספי אבטחה לוורדפרס?

לפני שנכנסים לעניינים והסברים טכניים להלן פירוט ציפיות מבעלי אתרים שהאתר שלהם בנוי על פלטפורמת מע’ ניהול אתרים  וורדפרס wordpress.

מציאת קבצים זדוניים למשל וירוסים.

פיקוח וניטור על הרכיבים של האתר כגון :

• מערכת וורדפרס כמערכת לניהול האתר.
• תוספים מכל הסוגים שאמורים לעזור לבעלי האתר להוסיף לאתר תכונות שבעבר רק מתכנתים או בוני אתרים מקצועיים היו יכולים לספק.
• פיקוח על בעיות טכניות של  אבטחה ואחרות של התבנית שאחראית על כל העיצוב באתר וורדפרס.
• מציאה ואבחון של התנהגות חריגה לפי סטנדרטים ידועים ומקובלים ואו שינוי נתונים בקבצים שאינו טבעי או מקובל ע”פ רוב וסינכרוניזציה למאגרי דאטה של אבטחת מידע.
• חסימת תנועה ממיקום או בעלת אופי זדוני כפי שנקבע בסטנדרטים של אבטחת מידע , למשל התקפות מסוג ddos וקיימות כמה וכמה סוגי התקפות המתאימות להגדרה.
• חסימת מיילים חשודים זדוניים דרך מערכת האתר אל מיילים אחרים.
• התראות דרך ובשיתוף ובניצול הדפדפן המקומי לפעילות זדונית .
• חלק מתוספי האבטחה אפילו בודקים מה יש באחסון עצמו ומעל התקנת וורדפרס או Public html .
• ניהול הרשאות והלבנת פעילות וקבצים  על כל המשתמע ומורכב כדוג’ אימות דו שלבי.
• בשום מקרה ובשום אופן תוספי אבטחה לא אמורים להשאיר אחרי ההתקנה ויותר חשוב ההסרה קבצים שיכולים להיחשב במערכת כלשהי כזדוניים או לא לגיטימיים.
• אם גוגל מגלה קבצים או פעילות לא לגיטימית כפי שמוגדרת במערכות אבטחה צד ג’ היא עלולה ואף פועלת נגד בעל האתר לדוג’ : פגיעה בקידום מכל סוג.
• בשום אופן
• בשום אופן
• בשום אופן 
• אם מסירים תוסף ממערכת וורדפרס אין שום סיבה בעולם שלחברה שייצרה את התוסף תהיה גישה או הסרתה ופעילותה לשעבר תיצור בקדור backdoor!!
• במילים פשוטות יותר : 
• אם התקנתי תוסף אבטחה שנקרא לו משה ומשה עבד עד שהחלטתי לכבות אותו ושלא יעבוד יותר.
• אם אחרי שכיביתי אותו עדיין יש לחברה שייצרה את התוסף אפשרות גישה לא מורשית  ולא לגיטימית ושהגולש התמים לרוב אינו מודע לה , אז יש בעיה !!!
• בתמונה רואים את עבודתו של תוסף מאוד מפורסם וטוב שמזהה תוסף אבטחה קטן ואחר ממנו כזדוני , הוא זדוני מהסיבה שהוא מאפשר לא רק לחברה הקודמת להיכנס לאתר אלא לכל האקר גישה נוחה לכניסה לאתר דרך מערכות אבטחה אחרות בין אם באתר או בשרת או בשירותי CF ועוד..
• 

  דוג’ לקוד מסוג דלת אחורית

• 100
  אתרי אינטרנט שנפרצים מידי יום
• להלן הסבר טכני יותר על הנזק שיכול לגרום מחדל מעין זה שמתואר במאמר זה ומודגש בתמונה  המצ”ב
• מהו   סוג  backdoor  561/c? 
• הנ”ל הופיע בשמות הבאים כתוכנה זדונית שמאפשרת  כל מיני תופעות סייבר.
• רשימה חלקית : 

1. 1. A backdoor known as cgok
   2. A backdoor known as 561C
   3. Suspicious eval with a base64_decode
   4. A suspicious code known as eval_exit
   5. Obfuscated code using eval via create_function.
   6. A malicious PHP backdoor
   7. A backdoor known as preg_replace-variant
   8. A backdoor known as SPEEDY-03
   9. A malicious file uploader known as Generic
   10. A backdoor known as n1zb
   11. A backdoor known as Xh33l 

• הסבר קל ככל האפשר למי שאינו טכני  לפי הסדר ברשימה
• 1. מוטמע ופועל מתוך phpinfo.php
• 
• ניתן לראות שהסימנים המקובלים להתראה אינם קיימים 
•  eval, exec , system , assert , preg_replace ועוד..
• הנגזרת לביצוע בדוג’ : 
• 
• התוצאה ? 
• full shell access
• רשימה קטנה של בקדור מהגדולים והמפורסמים שהסבו נזקים של מיליונים ולמיליונים.
• • Back Orifice
  • DSL
  • PGP full disk encripition
  • joomla plug-in 
  • The proftpd
  • borland interbase 
•  
• 2.  סוגי קוד זדוני שיעשה שימוש ב 
• Obfuscation
• במילים פשוטות הקוד יוחלף לקוד שאינו יזוהה ע”י מערכות ושיטות מקובלות , סוג של הסוואה. 
  ההתראה =  outright detection 
• backdoor.PHP/Obfu 
• 3. בקדור לכל דבר ועניין  שמקודד בbase64_decode   
• בקדור שגורם לנגזרת שמייצרת אנומליות שמתגברת על  ids’ים מסוימים.
• 5. הrequest שחוזר מייצר eval בערך של 0.
• 6. קוד בphp שמייצר וירוס תולעת סוס טרויאני , דוג’ טובה היא reverse shell ולפעמים נכתב עם שימוש  בruby 
• 7. בקדור  בשיטת variants replacment.
• 8. בקדור שילוב של 2 ו6 .
• 9. בקדור, טריגר ספריית הupload והפונקציה המובנית של וורדפרס  wp-wcd.php
• 10. בקדור n1zb בדרך כלל מנצל חולשות  בתבנית לא מעודכנת עם רכיבים מובנים ואו דרך שינוי wp-config.php
• לסיכום : 
• בקדור דלת אחורית משמש לאסקלציית הרשאות וגישה מורשית ולרוב לא מורשית למשאבים ונתונים .
• ההשלכות יכולות להיות חמורות ולגרום נזק רב גם לבעלי אתרים קטנים שמשקיעים בעסק ומשקיעים בקידום בגוגל ובמיתוג העסק על כל הרבדים .

אתרים חייבים לבצע בדיקת אבטחה אחת לשנה לפחות כדי לוודא שאין סיכוי שהמערכת מכילה חולשות ואם כן אז שהחולשות לא ינוצלו ע”י האקרים.