Einschätzung des Sicherheitslevels einer Installation des Content Management Systems Wordpress
Wordpress ist als einfach zu installierendes Content Management System bekannt und wird meist von kleinen Werbe-Agenturen oder Privatpersonen implementiert, die wenig oder kein eigenes KnowHow in Programmierung und Systemsicherheit haben und kein Budget für die laufende Systemwartung und Updates vorhanden ist. Die meisten Installationen werden nach Übergabe an den Kunden nie wieder gepatcht und sind in einem hochgradig unsicheren Zustand.
Die bestehende Installation eines Content Management Systems bei Übernahme des Kunden objektiv zu beurteilen ist mitunter nur begrenzt und mit viel Aufwand möglich.
Es ist zu prüfen, welches Patchlevel das CMS-Basissystem, welche Versionierung einzelne Erweiterungen/Extensions haben und welcher Anteil davon per Extension Hook modifiziert ist.
Zudem muß man gegenüber dem Kunden dokumentieren, wie 'clean' die Installation, bzw. ob diese möglicherweise infiziert ist. Nur wenn alle Parameter passen und die CMS-Basis noch ausreichend Long Term Support(LTS) des Herstellers besitzt, macht es Sinn, mit einer bestehenden Installation weiterzuarbeiten.
Eine solche Einschätzung ist sehr aufwändig und subjektiv. Es werden Compares gegen eine Clean Install gefahren, sowohl auf Datei-Ebene als auch in der Datenbank.
Als gutes Pentesting Tool nutzen wir das Ruby Skript WPscan. Mit Vulnerability Checks auf Sicherheitslücken/Schwachstellen in der Basisinstallation und allen installierten Modulen in Wordpress läßt sich dieser Penetration Test vollautomatisch ausführen und bringt ein belastbares Ergebnis auf derzeit bekannte Angriffsszenarien.
WPscan gibt es als Modul für die aktuelle KALI Distribution
tools.kali.org/web-applications/wpscan
oder man installiert sich Ruby in seine Linux-Distribution und lädt sich dann WPscan
wpscan.org
aus vom Hersteller.
Sie haben einen Internet-Auftritt mit einer infizierten Wordpress Installation? Gern prüfen wir diese und erstellen ein Angebot zur Bereinigung/Migration auf TYPO3!