Spätné upozornenia robia WordPress zraniteľným

V decembri 2012 sa objavil na internete článok WordPress Pingback Vulnerability, ktorý rozoberal možnosti zneužitia spätných upozornení (pingbacks) vo WordPress. Na tento problém ale už bolo upozornené oveľa skôr, WordPress Pingback Attack a WordPress DoSnet. Je to dobre známa funkcionalita využívaná mnohými blogermi.

Spätné upozornenie alebo “pingback” je jednou z metód spätného odkazovania, kedy dotyčná webová stránka dostane informáciu o tom, že na jeho obsah smeruje nejaký odkaz. Toto umožňuje autorom článkov udržiavať si prehľad o tom, kto na nich odkazuje. Niektoré blogovacie aplikácie, vrátane WordPress, majú vstavanú podporu pre spätné upozornenia a odosielajú ich ihneď po publikovaní článku.

Utočník má štyri potenciálne cesty ako uškodiť vašej webovej stránke prostredníctvom xmlrpc.php, čo je súbor obsiahnutý vo WordPress pre podporu XML-RPC. Jednou z metód vystavenou svetu v tomto API je práve pingback.ping. Aplikácia spracúva prichádzajúce spätné upozornenia a posiela naspäť požiadavku, ktorá má zistiť či sa na danej URL nachádza spomenutý odkaz na ten čo onen článok. Ak sa hľadaný odkaz na stránke naozaj nachádza, vytvorí sa pri článku komentár so správou, že ho niekto spomenul na svojom webe.

  • Získavanie informácií — útočník môže zisťovať hostiteľov vo vašej internej sieti. (http://vasweb.tld/tato, http://vasweb.tld/dalsia…)
  • Skenovanie portov — útočník môže skenovať porty vo vašej internej sieti a podľa odozvy zisťovať či sú otvorené alebo zatvorené.
  • DoS útok — útočník môže posielať odkazy z veľkého množstva webových stránok, čím spôsobí DoS útok.
  • Hackovanie routeru — útočník má teoreticky možnosť zmeniť nastavenia vášho routeru napríklad za pomoci použitia takejto URL http://admin:admin@192.168.0.1/changeDNS.asp?newDNS=1234.

Ako sa chrániť?

Ak viete, že nebudete používať žiadnu funkcionalitu XML-RPC…

Aktivujte si modul Prevent XMLRPC.

Alebo druhá možnosť je to celé uzamknúť cez .htaccess:

Použite to po ostatných pravidlách v súbore .htaccess v koreňovom adresári webu. Otestujete to otvorením xmlrpc.php vo vašom internetovom prehliadači (napr. http://vasweb.tld/xmlrpc.php). Mali by ste dostať “403 – Forbidden message”. Tip: na presmerovanie xmlrpc.php na ľubovoľnú stránku, zmeňte RedirectMatch nasledovne:

Alternatívnou .htaccess metódou je zakázať kompletne prístup k xmlrpc.php

V prípade použitia tohto spôsobu je možné povoliť spätné odkazy z niektorých IP adries, napríklad z vašej vlastnej, blogovacích služieb ako Blogger či MovableType a podobne:

Tieto obštrukcie je možné ľahko odstrániť po tom, ako sa zraniteľnosť odstráni v niektorej z budúcich WordPress verzií.

Napísať tento článok ma viedlo opätovné rozobratie spomínaného problému v Protection for WordPress Pingback Vulnerability.

Ján Bočínec

WordPress ninja (Webikon)
je ďalší člen tímu poskytujúci svoje služby pre slovenskú komunitu okolo WordPress na techforum.sk, ale nie len na ňom ;). Nakoľko mu WordPress už veľmi prirástol k srdcu a nevie si bez neho predstaviť svoj život, rád sa s vami podelí o informácie, rady, alebo programátorské zručnosti.

Ján Bočínec naposledy napísal (ukázať všetko)

Follow

Zadajte e-mailovú adresu k odberu tohto blogu a dostávajte upozornenia o nových článkoch e-mailom.

Pridajte sa k ostatným: