1. http://lynt.cz
Bezpečnost WordPressu:
bráníme se digitálním nájezdníkům
Vláďa Smitka
vladimir.smitka@lynt.cz
@smitka
Lynt services s.r.o.
Aktualizujte!
Zálohujte!
Buďte opatrní!

2. http://lynt.cz
WP je děravý jako cedník
20. 2. 2016 2
Kdo tento názor už někdy slyšel?
Pojďme si to uvést na pravou míru.

3. http://lynt.cz20. 2. 2016 3
Aktualizovaný / Neaktualizovaný
Tvůrci webů by měli více tlačit na zákazníky,
aby si zaplatili podporu, a opravdu jí vykonávat.
Zákazníci by toto měli být ochotní akceptovat,
web je prakticky další zaměstnanec.

4. http://lynt.cz
Jaký je aktuální stav?
• Velký průzkum 65 000 českých webů 04/2015
20. 2. 2016 4
https://lynt.cz/blog/wordpress-v-cz-velky-pruzkum

5. http://lynt.cz
Stav předevčírem
20. 2. 2016 5
16 639

6. http://lynt.cz
Stav předevčírem
20. 2. 2016 6
3.7.13
247
3.8.13
1779
3.9.10
2229
4.0.10
2570
4.1.10
2946
4.2.7
4305
4.3.3
4695
4.4.2
15225

7. http://lynt.cz
Stav předevčírem
20. 2. 2016 7
25 % WP webů používá verzi řady 3.6 a nižší – pro ně již nevycházejí bezpečnostní updaty
18 % WP webu řady 3.7 a vyšší nemá aplikované poslední bezpečnostní updaty
=
Minimálně 40% českých WP webů obsahuje bezpečnostní chyby

8. http://lynt.cz
Co to v reálu znamená?
• Příležitost pro WordCamp HACK kampaň!
• Rozeslal jsem téměř 1000 hlášení o kritických
zranitelnostech na webových stránkách nebo
již napadených webech
• Přes 300 zranitelných pluginů Slider
Revolution!
• Ohlas na podobné aktivity je ale poměrně
malý…
20. 2. 2016 8

9. http://lynt.cz
Jak si aktualizace ohlídat?
• Plugin WP Updates Notifier pošle mail, když je
update k dispozici
• Pro více webů existují systémy pro hromadnou
správu:
– InfiniteWP
– ManageWP
– WP Remote
• Zapnout auto-update (ideálně mu-plugins):
add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );
20. 2. 2016 9

10. http://lynt.cz
Infinite WP
• Provoz na vlastním hostingu
• Základní verze zdarma (plně funkční)
• Stačí nainstalovat plugin InfiniteWP Client a zkopírovat údaje
20. 2. 2016 10

11. http://lynt.cz
Automatické testování funkčnosti
• Pokud se bojíte, že se něco důležitého updatem
rozbije, je možné napsat si automatizované testy
• Casper.js
• Selenuium
• GhostPy
• Online služby: http://www.testomato.com/,...
20. 2. 2016 11

12. http://lynt.cz
Hackeři?
20. 2. 2016 12

13. http://lynt.cz
Co chtějí?
• Jak to můžu vědět?
• Analýza napadených systémů + Honey Poty
• http://pot.lynt.cz – emulace staršího WP s
některými bezpečnostními chybami, falešné
SSH
20. 2. 2016 13

14. http://lynt.cz
Honey Pot
• Jak dlouho trvalo po spuštění nového stroje
než začaly první útoky?
20. 2. 2016 14
12 minut
• Internet je nebezpečný – akceptujte to a
buďte připraveni!

15. http://lynt.cz
Co tedy chtějí?
• Vložit na web škodlivý kód, který
návštěvníkům stahuje malware a zobrazuje
reklamy
• Rozesílat SPAM
• Útočit na jiné servery
• Získat citlivé informace
• Odstavit web/server
20. 2. 2016 15

16. http://lynt.cz
Jaké zlé kódy útočníci nahrávají?
20. 2. 2016 16
První zmínka o skriptu Simple UDP
flood z roku 2004:
https://forums.cpanel.net/threads/scr
ipt-in-tmp-made-by-hacker.33184/
Jednoduchý backdoor:
eval($_POST[sam]);
Remote shell – např. b374k
Skripty pro další útoky:
• Lámání hesel
• Posílání SPAMu
• Skript Simple UDP flood

17. http://lynt.cz
Jak to zkouší?
• Přihlášení
• Komentáře
• Konkrétní chyby v
pluginech, šablonách a
jádře WP
• Odposlech informací
• Phishing
• Útoky přes jiné weby na
hostingu
20. 2. 2016 17
Připravená zdaní vrátka:

18. http://lynt.cz
Cross infection
• Častý problém na multihostingu
20. 2. 2016 18
Složkasweby
Web1
Web2
Web3

19. http://lynt.cz
Jak se přihlásit do WP?
• /wp-admin + jméno a heslo
• XML-RPC (/xmlrpc.php)
• Cookie
• REST-API (/wp-json) – již brzy
20. 2. 2016 19

20. http://lynt.cz
Získání přihlašovacích údajů
• /?author=1 => /author/admin/
• Heslo admin, admin0, admin1,… Brute force
Do .htaccess:
RewriteCond %{QUERY_STRING} author=
RewriteRule ^(.*)$ http://beznekam.ty? [L,R=301]
20. 2. 2016 20

21. http://lynt.cz
Nebo to odposlechnu
20. 2. 2016 21

22. http://lynt.cz
Nebo se zeptám
Předmět: Bezpečnostní problém na webu wordcamp.cz
Datum: Sat, 20 FEB 2016 09:51:48 +0200
Od: HOSTING <hosting@hosting.nejaky>
Komu: <ty>
Vážený zákazníku,
Na Vaší webové prezentaci wordcamp.cz založené na redakčním systému WordPress byla zjištěna závažná
bezpečnostní chyba v pluginu Skvělej Plugin, které umožňuje útočníkovi získat plnou kontrolu nad Vaším
webem a následně útočit na další weby.
Oficiální oprava zatím není k dispozici. Naši specialisté však mohou chybu opravit ručně.
K tomu potřebujeme Vaše přihlašovací údaje do administrace WordPress.
Zašlete nám je prosím obratem, ať můžeme zabránit dalším útokům. V opačném případě budeme bohužel
nuceni Vaši webovou prezentaci pozastavit.
Hosting Nějaký, s.r.o.
20. 2. 2016 22

23. http://lynt.cz
XML RPC
• /xmlrpc.php
• Protokol pro vzdálené ovládání webu z aplikací atd. –
umožňuje například publikovat článek
• Téměř se nepoužívá
• Používají ho některé pluginy – JetPack
• Pomocí funkce system.multicall šlo testovat stovky hesel
jedním dotazem (říjen 2015)
• Vhodné zakázat a případně povolit pouze z několika adres pro
funkčnost pluginů
20. 2. 2016 23
Do .htaccess
<Files "xmlrpc.php">
Order Allow,Deny
deny from all
</Files>

24. http://lynt.cz
Cookie
20. 2. 2016 24

25. http://lynt.cz
Cookie
wordpress_9338f7bf999516f89fdc070299cf0b82=admin
%7C1456673124%7COB8LpfMl7ZqlMm1zuN23LMBGOna
0IdLmz4g7JQBwtYn%7Cb73f661495e9323a6df2dffe8001
5360b41ed8970a5cf05dd4053aecc4109a40
20. 2. 2016 25
• md5(URL) = http://pot.lynt.cz
• Uživatelské jméno
• Doba platnosti = 28.2.2016 15:25:24 (+14 dní)
• Hash – AUTH_KEY + AUTH_SALT + 4 znaky z hash hesla
• Token (od 4.0) hash 43 náhodných znaků

26. http://lynt.cz
Šifrovací klíče v wp-config.php
define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');
define('AUTH_SALT', 'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT', 'put your unique phrase here');
define('NONCE_SALT', 'put your unique phrase here');
Nové z adresy:
https://api.wordpress.org/secret-key/1.1/salt/
Při zkoumání zranitelnosti ve Slider Revolution používalo 16 % zranitelných webů
výchozí šifrovací klíče.
Pokud instalujete pomocí přejmenování wp-config-sample.php, nezapomeňte klíče
změnit!
20. 2. 2016 26

27. http://lynt.cz
WordPress 4.0+
20. 2. 2016 27
Možnost odhlásit uživatele z ostatních zařízení – díky tokenu
36 % WP webů tuto verzi však nepoužívá
Uživatelský profil:

28. http://lynt.cz
Odposlouchávání
20. 2. 2016 28
Na rozdíl od jména a hesla se cookie posílají neustále.

29. http://lynt.cz
Dopady vzrůstají s právy uživatele
20. 2. 2016 29
• Návštěvník (Subscriber)
– Může pouze číst obsah, editovat svůj profil. Má jednodušší práci s komentáři.
• Spolupracovník (Contributor)
– Může psát nové příspěvky, ale publikovat je může až Admin nebo Šéfredaktor.
Nemá přístup do galerie médií (může ale vkládat obrázky z externích zdrojů) –
guest blogging.
• Redaktor (Author)
– Může spravovat své příspěvky včetně správy komentářů, nahrávat soubory do
galerie médií. Nemůže pracovat se stránkami.
• Šéfredaktor (Editor)
– Může spravovat veškerý obsah – příspěvky, stránky, komentáře, kategorie, v
jeho komentářích může být javascript.
• Administrátor (Administrator)
– Může spravovat vše – obsah, pluginy, šablony, widgety. Ideálně by neměl tvořit
obsah.
• SuperAdministrátor (pro WP multisite) – spravuje síť webů

30. http://lynt.cz
Úprava práv
• Práva lze upravit - pokud někdo potřebuje
například editovat menu, nemusí mít admin
práva:
• Plugin User Role Editor
• Dopsat si vlastní:
20. 2. 2016 30
https://codex.wordpress.org/Roles_and_Capabilities
$role_object = get_role( 'editor' );
$role_object->add_cap( 'edit_theme_options' );

31. http://lynt.cz
HTTPS
• Certifikáty jsou dnes už levné:
• < 200 Kč/rok – např. na ssls.cz
• Zdarma – Let‘s Encrypt
(nutná podpora na serveru)
• Celý web na HTTPS (lepší řešení)
• Jen administrace
20. 2. 2016 31
git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt
./letsencrypt-auto --apache -d <muj-web> -d www. <muj-web>
Obnovovací skript: http://do.co/le-renew (le-renew <muj-web>)

32. http://lynt.cz
Nasazujeme HTTPS pro celý web
• Požádám hostera/správce o nastavení certifikátu
• Vyzkouším, že to funguje
• Nastavení - obecné
20. 2. 2016 32
Lze to také nastavit ve wp-config.php,
ušetří se tím dotazy do DB:
define('WP_HOME', 'https://<muj-web>');
define('WP_SITEURL', 'https://<muj-web>');
• Problém – mixed content – WP vytváří absolutní odkazy – je potřeba je opravit
• SSL Insecure Content Fixer
• Oprava v administraci
• Oprava v databázi:
UPDATE wp_posts SET post_content = REPLACE(post_content,
'http://<muj-web>', 'https://<muj-web>')

33. http://lynt.cz
Nasazujeme HTTPS jen pro administraci
Do wp-config.php:
define( 'FORCE_SSL_ADMIN', true );
Opět bude pravděpodobně problém s „mixed content“ v galerii
médií:
SSL Insecure Content Fixer + nastavení Simple
20. 2. 2016 33

34. http://lynt.cz20. 2. 2016 34
Opraví styly,
JS a obrázky v
galerii médií
Opraví URL i
v obsahu
webu
Nastavení - SSL Insecure Content

35. http://lynt.cz
Přesměrování z HTTP na HTTPS
V .htaccess:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R,L]
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
20. 2. 2016 35
* Může se lišit v závislosti na hostingu

36. http://lynt.cz
Další šifrované protokoly
• SFTP/SCP/FTPs místo FTP
• SSH místo Telnet
• IMAPs (POP3s) místo IMAP (POP3)
• SMTP TLS/SMTP STARTTLS místo SMTP
• VPN
20. 2. 2016 36

37. http://lynt.cz
Jak probíhá útok?
• Veřejně známé informace (majitelé domény,
emailové adresy, ip, jména zaměstnanců… recon-
ng)
• Aktivní scan, identifikace - WP-scan
• Agresivní scan – např. DirBuster (zkouší, zda
existují určité složky např. /phpmyadmin/)
• Testy zranitelností, generuje podivné dotazy
• Často lze odhalit díky velkému množství chyb 404
20. 2. 2016 37

38. http://lynt.cz
XSS
20. 2. 2016 38

39. http://lynt.cz
XSS – horší
20. 2. 2016 39

40. http://lynt.cz
XSS – velmi nebezpečné
20. 2. 2016 40
Překryv reagující na pohyb myši
onMouseMove

41. http://lynt.cz
XSS – maximum
20. 2. 2016 41

42. http://lynt.cz
Požádáme administrátora o pomoc
Předmět: Bezpečnostní problém na webu wordcamp.cz
Datum: Sat, 20 FEB 2016 09:42:48 +0200
Od: HOSTING <hosting@hosting.nejaky>
Komu: <ty>
Vážený zákazníku,
Na Vaší webové prezentaci wordcamp.cz založené na redakčním systému WordPress byla zjištěna
závažná bezpečnostní chyba v pluginu Skvělej Plugin, které umožňuje útočníkovi získat plnou kontrolu
nad Vaším webem a následně útočit na další weby.
Dokud nebude oprava k dispozici, je potřeba vypnout funkci Oškliváctví – to můžete udělat snadno
pomocí následujícího odkazu:
http://<vas-web>/wp-content/plugins/skvelej-plugin/abc.php?xy=dG9obGUgamUgemx5IGtvZCA6LSk
Pokud funkci nevypnete, nebo plugin neodstraníte, budeme bohužel nuceni Vaši webovou prezentaci
pozastavit.
Hosting Nějaký, s.r.o.
20. 2. 2016 42

43. http://lynt.cz
Cross-site request forgery
• Nastává, když systém neověřuje, odkud opravdu přišel požadavek
20. 2. 2016 43
Admine, podívej
se na tuhle
super stránku!
Super stránka
Lorem ipsum
/založ uživatele
• Obranou jsou podepsané formuláře (server do nich vkládá token,
který si po odeslání ověří)
• Ve WP tzv. „nonce“ (ne všechny pluginy je využívají…)
/wp-admin/post.php?post=1&action=trash&_wpnonce=b192fc4204

44. http://lynt.cz
SQL Injection
• Opět neošetřené uživatelské vstupy
• Lze modifikovat databázové dotazy a díky tomu
získat i obsah celé databáze
• Zajímavé info v DB:
– E-maily
– Uživatelská jména, zahashovaná hesla
– Token k autentifikačnímu cookie
– Přístupové údaje k dalším službám
20. 2. 2016 44

45. http://lynt.cz
Bezpečnostní pluginy
• Má oblíbená kombinace:
• WordFence + BBQ: Bad Block Queries
• Blokace chybných přihlášení
• Omezení skenování
• Detekce změn v souborech
• Zákaz získávání uživatelských jmen
• Zákaz PHP v uploads
• Omezení SPAMu
• Přístup ke globálního seznamu právě útočících
• Filtr podezřelých dotazů
20. 2. 2016 45

46. http://lynt.cz20. 2. 2016 46

47. http://lynt.cz
WordFence – po instalaci
20. 2. 2016 47
Level 2: začne posílat více upozornění, snižují se limity chybných přihlášení
Level 3: se začínají uplatňovat omezování provozu
Level 4: okamžitě blokuje neplatná jména

48. http://lynt.cz
WordFence – Live Traffic
20. 2. 2016 48

49. http://lynt.cz
WordFence – detekce změn
20. 2. 2016 49

50. http://lynt.cz
WordFence – omezování provozu
20. 2. 2016 50

51. http://lynt.cz
WordFence – bezpečnost přihlášení
20. 2. 2016 51

52. http://lynt.cz
WordFence – další nastavení
20. 2. 2016 52

53. http://lynt.cz
WordFence – další nastavení
20. 2. 2016 53
Skvělý plugin, chybí však blokování podezřelých řetězců v URL

54. http://lynt.cz20. 2. 2016 54
Jednoduchý plugin bez konfigurace – automaticky
blokuje podezřelé HTTP požadavky
Např.: eval(, base64_, UNION * SELECT, wp-config.php, < …

55. http://lynt.cz
Co dělat při infekci
• Odstavení webu (např. zákaz v .htaccess)
• Smazání a obnova ze zálohy/desinfekce (FAR)
• Odstranění příčiny (často aktualizace)
• Změna hesla na FTP
• Změna hesla do DB
• Změna hesel uživatelů + kontrola neznámých
• Nové šifrovací klíče do wp-config.php:
https://api.wordpress.org/secret-key/1.1/salt/
• Kontrola souborů pluginem (Wordfence, Sucuri
Scanner)
20. 2. 2016 55

56. http://lynt.cz
Inspirace - jak chráníme naše weby?
• wp-login.php pouze z ČR (GeoIP modul)
• Blokovaný xmlrpc.php a další soubory + zákaz PHP v uploadech
• Blokace komentářového SPAMu (NoSpamNX) a Ping/Track Backů
(Topsy Blocker)
• Hromadná správa aktualizací
• Izolace jednotlivých webů
• HTTP hlavičky:
– X-Frame-Options SAMEORIGIN;
– X-XSS-Protection "1; mode=block"
– X-Content-Type-Options nosniff
• Odstranění nepoužívaných pluginů a šablon
20. 2. 2016 56

57. http://lynt.cz
Inspirace - jak chráníme naše weby?
• Fail2Ban (chybná přihlášení, příliš 404,
https://wordpress.org/plugins/wp-fail2ban/)
• Filtrování podezřelých řetězců (na straně serveru)
• Analýza logů (Log Stash) a chyb (Sentry) a monitoring serverů
(Zabbix)
• Sledování změn v souborech + analýza malware – Maldet + Yara
• Denní záloha na straně serveru (lze řešit i pluginy pro WP:
BackWPup, UpdraftPlus, BackupBuddy)
• Sledování informací o nových hrozbách
20. 2. 2016 57

58. http://lynt.cz
Další zdroje
• Info o zranitelnostech
• https://www.owasp.org/
• https://wpvulndb.com/
• https://blog.sucuri.net/
• https://www.wordfence.com/blog/
• https://packetstormsecurity.com/
• https://www.reddit.com/r/xss
• Loňská přednáška:
• http://www.slideshare.net/vsmitka/bezpenost-wp-tipy-pro-
kadho-wordcamp-praha-2015
20. 2. 2016 58

59. http://lynt.cz
Domácí úkol na zítra
□ Zkontrolovat, zda mám vygenerované unikátní
šifrovací klíče ve wp-config.php
□ Zazálohovat
□ Smazat pluginy, co nepoužívám/byly jen k
jednorázové činnosti
□ Smazat zbytečné šablony (nechat jen jednu
výchozí z instalace a případně rodičovskou)
□ Snížit oprávnění uživatelům, kteří jej nepotřebují
□ Aktualizovat, co je možné
20. 2. 2016 59

60. http://lynt.cz
A to je vše, přátelé.
20. 2. 2016 60
aktualizujte, zálohujte, používejte bezpečnostní plugin, buďte opatrní