Elrejteni az elrejthetetlent

Valóban érdemes rejtőzködni?

Ha WordPresst használsz, és egy kicsit is utánajártál annak, hogy hogyan teheted biztonságosabbá, bizonyára belefutottál olyan leírásokba, hogy hogyan rejtsd el a WordPresst. Ez a téma megannyiszor felbukkan, és egyszerűen nem tudom hova tenni…

Megszámlálhatatlanul sok oldalnál futok bele ilyen próbálkozásba, ami csak arra jó, hogy aztán egy egyszerű mozdulattal kikerüljem a védelmet.

Valóban van értelme a dolognak?

wp-admin, wp-login elrejtése

Alapszinten a wp-login.php és wp-admin átnevezése áll. Ez az első dolog, amit minden Facebook csoportban ajánlanak. Úgy tekintenek rá, mint valami szent grálra. A probléma csupán annyi, hogy annyit ér, mint halottnak a csók. Ebben a videóban mutattam rá példát. Elég egy-két jól megválasztott dolgot beírni a címsorba, és a WordPress szinte azonnal felfedi, hogy hol tudsz belépni.

Ez a megközelítés azért is hibás, mert ha egy botnet / vírus, be akar jutni a rendszerbe, akkor valószínűleg a xmlrpc.php-n, vagy a REST API-n keresztül fog próbálkozni. Egyrészt azért, mert sokkal egyszerűbb leprogramozni. Másrészt meg azért, mert ha telepítettél is bármilyen captcha bővítményt a belépéshez, az ezeken a “gépi” interfészeken keresztül egyszerűen nem működik. Nem is működhet, hiszen az xmlrpc is, és a REST API is arra lett kitalálva, hogy szoftver kommunikáljon a WordPress-sel. A captcha meg arra van, hogy szoftver ne kommunikálhasson. Ráadásul mindkét felület GUI nélküli, így nem is lehetne megmutatni a captcha-t.

Ott tartunk tehát, hogy biztosra akarsz menni, ezért van captcha is a belépési oldalon, meg át is nevezted a wp-login.php-t. Én meg megmutattam, hogy semmit nem értél vele. Sebaj, menjünk tovább…

A leggyengébb láncsszem

Onnan is látszik, hogy  sokan annyira komolyan veszi ezt a bújócskát, hogy a létezik a piacon fizetős bővítmény, aminek a fő üzenete az, hogy úgy elrejti a WordPresst, hogy a saját anyja sem ismer rá.

Azon most finoman emelkedjünk felül, hogy a fejlesztőnek én jeleztem, hogy a demo site-ról egész pontosan 2 lekérésből meg lehetett mondani, hogy

1) WordPress alapú az oldal,
2) hol van a belépési felület.

Ezt az alapvető biztonsági hiányosságot rögtön javították, majd kihúzták magukat, hogy “most már jó”! Nem, nem jó. Van ugyanis egy technika, amit úgy hívnak, fingerprinting. Ezzel a technikával simán meg lehet mondani egy-egy oldalról, hogy WordPress van-e alatta. Egy ilyen tool például a whatweb, ami megtalálható a Kali-ban is. Nos, az említett bővítmény weboldaláról fél másodperc alatt derült ki, hogy wordpress. De elég végigpásztázni egy scripttel a menüt, és ha valamelyik oldalon van egy mondjuk egy Contact Form 7-es űrlap, már le is bukott az oldal. Azért említettem pont a CF7-et, mert ez a leggyakoribb. De kismillió olyan bővítmény van, ami pillanatok alatt buktatja le a legjobban álcázott WordPresst is.

Ne feledd: a lánc olyan erős, mint a leggyengébb láncszem!

Ez tényleg akkora probléma?

Most őszintén, valaki mondjon nekem egy elfogadható választ arra, hogy miért olyan baromi nagy probléma, ha látszik, hogy WordPress alapú az oldalad? A teljes web negyedét WP oldalak teszik ki, így cikinek biztos nem ciki ha valaki WordPress-t használ.

Ha az oldalad biztonságos, akkor tök mindegy, hogy látszik-e. Ha meg nem biztonságos, akkor az a tök mindegy, hogy “elrejtetted-e” a kíváncsi szemek elől. Ha arra törekedsz, hogy titokban tartsd a WordPress-ed, akkor egyértelműen rossz helyen van a fókusz!