Sorgente immagine: https://greggbanse.com/
Introduzione Alzi la mano chi non ha storto il naso leggendo il titolo di questo articolo?
Sicuramente moltissimi ed è stata la mia stessa reazione quando mi sono imbattuto in un post dal titolo The Unhackable WordPress Blog scritto da Matthew Bryant (mandatory).
Incuriosito dal titolo, volutamente provocatorio, ho continuato la lettura fino alla fine e sono rimasto molto entusiasta, in pratica il buon Matthew Bryant espone la sua teoria che si basa sul trovare un alto livello di sicurezza convertendo da dinamico a statico il CMS WordPress (e non solo)....
Installare e configurare wordpress è veramente semplice, soprattutto grazie al suo wizard user friendly.
Come spesso accade però le configurazioni di default necessitanto di ritocchi.
Una delle principali personalizzazioni da eseguire è quella di impedire la lettura degli utenti wordpress da remoto.
Per testare l’importanza di questo aspetto, possiamo utilizzare il security scanner WPScan :
[root@wpscan_test wpscan]# ./wpscan.rb --url http://www.example.it --enumerate u
_______________________________________________________________
__ _______ _____
\ \ / / __ \ / ____|
\ \ /\ / /| |__) | (___ ___ __ _ _ __
\ \/ \/ / | ___/ \___ \ / __|/ _` | '_ \
\ /\ / | | ____) | (__| (_| | | | |
\/ \/ |_| |_____/ \___|\__,_|_| |_|
WordPress Security Scanner by the WPScan Team
Version v2....
Wordpress ad oggi è la piattaforma CMS più diffusa al mondo, di conseguenza anche la più analizzata sotto l’aspetto della sicurezza.
Per testare ed escludere la propria copia di wordpress da eventuali vulnerabilità note, è possibile utilizzare il software scanner WPScan.
Nel repository ufficiale CentOS non esiste il pacchetto precompilato di wpscan, quindi andrà scaricato e compilato manualmente.
Scenario e requisiti Ambiente di test
Versione Linux: CentOS 6.5 (x86_64) Versione WPScan: 2....