29 jun 2019
Ryan Dewhurst is de bedenker en oprichter van WPScan, in dit interessante interview met WordFence legt hij uit wat WPScan kan en wat dat betekent voor de veiligheid van WordPress.
Wat is WPScan?
WPScan is een programma dat draait in Linux (Momenteel standaard geïnstalleerd in Kali Linux) waarmee je de veiligheid van je WordPress website kunt testen.
WPScan geeft je de mogelijkheid de volgende veiligheidstests te doen waarbij zowel informatie als zwakheden tevoorschijn komen:
- Gebuikersaccounts
WPScan zal pogingen doen voor het extraheren van gebruikersnamen/accounts.
Een gebruikersnaam is 50% van de benodigde logingegevens om in het WordPress administratiepanel te komen. - Brute force tests op wachtwoorden
Met een flinke woordenlijst vuurt WPScan allemaal wachtwoorden op de website af. Wanneer het juiste wachtwoord geraden is zul je dit resultaat zien. - Het checken van de actieve plugins
Zowel de plugins als de versie van de plugin + de bekende lekken voor die versie worden vertoond. - WordPress lekken
Op 6 manieren wordt de actuele versie van WordPress opgezocht.
Als er lekken zijn in de betreffende versie worden die direct weergegeven. - En meer..
Met WPScan kom je erachter waar je website lek is en welke stappen je moet ondernemen om je website veiliger te maken.
WPScan wordt een pen-test genoemd. Dit is een afkorting van “penetration test”. Kortom: hoe ver komt een hacker of hackbot in je website.
Het begin van WPScan
WPScan is in 2011 opgericht als tool om WordPress websites te testen op hun veiligheid.
In 2014 is daar de website wpvulndb.com bijgekomen, een openbare website waarop iedereen gemakkelijk kan zien welke plugins, thema’s of WordPress core lekken (exploits) bevat.
WordFence en WPScan
WordFence, die een gerenommeerde beveiligingsplugin voor WordPress ontwikkeld heeft, maakt al een ruime tijd gebruik van WPScan om WordFence te verbeteren. Ze kijken hierbij naar de zogenoemde exploits (uit te buiten zwakheden) die WPScan aangeeft.
Tevens gebruiken ze de informatie van wpvulndb.com om te zien welke plugins lek zijn.
Tips van een beveiligingsexpert
Je kunt je beschermen tegen hackbots en hackers die diverse methodes gebruiken om je website te hacken.
De 3 belangrijkste somt Ryan Dewhurst op in het interview:
- Beperk het aantal administratoren die je website kunnen beheren
- Gebruik goede wachtwoorden
- Installeer een beveiligingsplugin zoals bijvoorbeeld WordFence
Aanvulling: het gebruik van een beveiligingsplugin zorgt ervoor dat hackers weinig informatie uit je website krijgen. De aanvragen van hackbots worden geblokkeerd op basis van patronen, de specifieke query’s en op basis van het aantal aanvragen.
Wij gebruiken zelf iThemes Security PRO, maar raden iedereen aan die nog geen klant van ons is: zet minimaal 1 beveiligingsplugin in je website en configureer die beveiligingsplugin goed. Zonder beveiligingsplugin is je WordPress website een open deur waar net zo lang aan gerammeld kan worden totdat een hacker in het admin kan komen met en malware kan plaatsen met alle gevolgen van dien.
Het interview
Als je de Engelse taal beheerst kun je het volledige interview zien.
Is de video niet meer beschikbaar? Laat het even weten info[a]wpbeveiligen.nl dan zoeken we een alternatief op youtube.
Ik lees ook wel eens dat als je je website goed in de gaten houdt en alles regelmatig update, dat een beveiligings plug niet nodig is. Op Facebook lees ik vaak dat bij iemand een site gehackt is. Dan gaat het bijna altijd over thema’s en plugins die al lang niet meer geupdate zijn. Komt het toch voor dat sites die regelmatig geupdate worden toch gehackt worden?
Soms wordt een website die ge-update is ook gehackt. In 99% van de gevallen door een script/malware dat een lek heeft gevonden in de nieuwste update. Beveiliging is daarom belangrijk, wanneer beveiliging ingezet wordt worden veelgebruikte methodes geblokkeerd voor hackers en scripts.
Een veelgebruikte methode is bijvoorbeeld injecties in de url/navigatiebalk of via de input velden, die worden door de beveiligingsplugins geblokkeerd, wanneer een plugin dan onjuiste code hanteert die ook in de laatste update gebruikt wordt is het de beveiligingsplugin die je website beschermt tegen injecties en malware.
Kali Linux kan je downloaden als iso bestand. Als je dan Kali Linux bijvoorbeeld in Virtualbox installeert, is het dan te doen om dan zelf de scan uit te voeren? Ik ga het in ieder geval proberen. Mocht het lukken dan laat ik het jullie wel weten.