12.8% daripada Tapak mempunyai Sensitiviti Pengungkapan File Sensitif

October 13, 2017

Entri ini telah diposting di Kerentanan WordPress Security pada 12 Oktober 2017 oleh Dan Moen 2 Replies

Seperti yang anda mungkin tahu kami melancarkan Gravityscan Mei ini. Gravityscan adalah pengimbas keselamatan untuk mana-mana laman web yang berfungsi sebagai pelengkap yang hebat kepada Wordfence . Semalam kami menganalisis data hasil imbasan agregat dari Gravityscan, dan kami melihat data yang mengejutkan kami: 12.8% dari laman web yang kita imbas mempunyai sekurang-kurangnya satu fail yang sensitif dilihat oleh sesiapa di internet .

Ini bermakna bahawa 1 dari 8 anda mungkin mempunyai kelemahan keselamatan sendiri pada tapak anda yang memerlukan perhatian. Berita baiknya ialah masalah ini mudah untuk dibaiki sebaik sahaja anda tahu mengenainya.

Apa maksudnya?

Kelemahan pendedahan fail sensitif adalah situasi di mana fail yang sepatutnya menjadi peribadi boleh diakses oleh dunia luar melalui pelayan web anda. Pemeriksaan Gravityscan untuk beratus-ratus file yang dianggap oleh penganalisis keselamatan kami berpotensi sensitif. Mereka jatuh ke dalam kategori berikut:

Fail Konfigurasi – ini adalah fail yang memberitahu WordPress (atau perisian laman web lain) cara berfungsi. Contoh fail konfigurasi ialah 'wp-config.php' dan 'php.ini'. Fail jenis ini sering mengandungi maklumat yang dapat digunakan oleh penyerang untuk mengompromikan laman web anda termasuk bukti kelayakan pangkalan data. Penyerang dengan akses pangkalan data boleh membuat pengguna admin untuk diri mereka sendiri dan mengambil alih tapak anda.

Utiliti – Utiliti adalah skrip yang boleh digunakan untuk pelbagai tugas pentadbiran dan debugging. Mereka sering agak berkuasa, memberikan pengguna keupayaan untuk melakukan perkara seperti pertanyaan pangkalan data anda dan membuat perubahan pada fail. Contoh popular termasuk phpMyAdmin dan Admin. Kami menulis tentang satu popular pada bulan Julai yang dipanggil searchreplacedb2 bahawa penggodam secara aktif mengusahakan dan mengeksploitasi.

Log Files – Sistem operasi anda dan perisian lain pada pelayan web anda merekodkan peristiwa dalam fail log. Fail-fail ini sering membantu pemilik tapak dan pentadbir yang menyelesaikan masalah. Dalam banyak kes penyertaan akan memasukkan maklumat yang penyerang mungkin berguna.

Fail Ujian dan Sandaran – Selalunya tapak ujian dan fail sandaran dibiarkan bertumpu pada pelayan web. Dalam banyak kes, mereka termasuk maklumat sensitif penyerang mungkin menggunakan untuk mengeksploitasi laman web pengeluaran anda.

Bagaimana untuk memeriksa tapak anda

Seperti yang anda tahu, kami membuat Wordfence, yang merupakan firewall dan pengimbas keselamatan yang direka khusus untuk WordPress. Dan pasukan kami juga membuat Gravityscan untuk mencari kelemahan dan malware dalam sebilangan besar aplikasi web lain, termasuk WordPress, Joomla, Drupal, Magento dan lain-lain.

Jika anda menggunakan Wordfence, anda hanya boleh menjalankan imbasan Wordfence dan ia akan menemui kelemahan pendedahan fail yang khusus WordPress, seperti sandaran dan sisa salinan sementara wp-config.php.

Sebagai alternatif, anda boleh menggunakan Gravityscan untuk mencari kelemahan pendedahan fail di WordPress dan produk lain seperti Drupal, Joomla, Magento dan banyak lagi.

Dalam kes ini kami ingin mengesyorkan bahawa anda menjalankan sebuah pemeriksaan Wordfence dan Gravityscan jika anda seorang pengguna WordPress . Alasannya kami mencadangkan ini kerana sebenarnya terdapat ratusan pemeriksaan kelemahan pendedahan fail yang dilakukan oleh Gravityscan. Sesetengah cek ini adalah untuk skrip utiliti seperti searchreplacedb2. Ini bukan skrip khusus WordPress, tetapi kadang-kadang digunakan oleh pemilik tapak WordPress. Dengan menggunakan Gravityscan, anda juga menyemak skrip bukan-WordPress ini.

Untuk mengimbas dengan Wordfence, hanya masuk ke laman web WordPress anda dan tekan butang "Pindai" Wordfence.

Untuk memeriksa laman web anda dengan Gravityscan, hanya menuju ke Gravityscan.com dan jalankan imbasan. Pastikan anda memasang Pemecut untuk imbasan lebih cepat dan lebih teliti.

Judul untuk penemuan ini akan menjadi 'fail peribadi dilihat' dan akan diberikan jenis 'kerentanan' dan produk itu akan 'Kandungan'. Anda perlu menaik taraf ke Pro untuk melihat butiran kerentanan (percubaan percuma 14 hari tersedia). Penerangan akan menunjukkan nama dan lokasi fail, sesuatu seperti 'https://yoursite.com/phpMyAdmin-2.6.3-rc1'.

Apa yang perlu dilakukan jika tapak anda mempunyai isu ini

Perkara pertama yang perlu anda lakukan ialah memutuskan sama ada anda benar-benar memerlukan fail di laman web anda. Dalam banyak kes, fail log atau ujian lama tidak lagi diperlukan. Jika boleh, hapuskannya dari pelayan anda untuk menyelesaikan masalah.

Dalam sesetengah kes, fail mungkin diperlukan, perlu dihadapi orang ramai, berada di tempat yang betul dan tidak mengandungi data sensitif. Dalam kes-kes tersebut semata-mata menandakan penemuan imbasan sebagai positif palsu dalam Gravityscan .

Akhir sekali, untuk fail konfigurasi, anda perlu memastikan bahawa anda telah menetapkan keizinan dengan betul. Berikut adalah sumber-sumber untuk beberapa fail WordPress yang paling penting:

Kesimpulan

Peratusan tinggi pemilik laman web secara tidak sengaja meninggalkan fail sensitif yang terdedah di laman web mereka. Untuk memastikan laman web anda, penting untuk mengelakkan meninggalkan fail ujian, sandaran, fail log dan utiliti yang terletak di dalam direktori web yang menghadap awam. Sekiranya anda tidak memerlukan fail lagi, padamkannya. Sekiranya anda memerlukannya, simpan di tempat yang tidak boleh diakses oleh dunia.

Pastikan keizinan untuk fail konfigurasi di laman web anda disediakan dengan keselamatan dalam fikiran. Peratusan besar permintaan yang berniat jahat blok firewall Wordfence cuba untuk memuat turun fail konfigurasi, terutama wp-config.php.

Akhirnya, imbas laman web anda secara berkala dengan pengimbas keselamatan pilihan penuh seperti Wordfence atau Gravityscan. Dengan pemantauan keselamatan percuma tersedia, tidak ada alasan untuk tidak.

Adakah anda menikmati siaran ini? Kongsi!

] ( 27 undi)
Kedudukan anda:



Sumber

Bacaan WordPress Yang Lebih Menarik!

Game Addict – Clan War Gaming Theme
Themeforest,
Themeforest,

Game Addict – Clan War Gaming Theme

Pembuat Rojak - May 28, 2018

Penagih Permainan - Melepaskan semangat anda. Permainan Addict adalah tema untuk puak-puak dan permainan. Ia membolehkan anda dapat membuat dan…

Dapatkan Pakej Layout Pejabat Doktor Percuma & Bersih untuk Divi
Elegant Themes,
3 views
Elegant Themes,
3 views

Dapatkan Pakej Layout Pejabat Doktor Percuma & Bersih untuk Divi

Pembuat Rojak - May 27, 2018

Hey Divi Nation! Terima kasih kerana menyertai kami untuk ansuran seterusnya Inisiatif Rekaan Divi mingguan kami; di mana setiap minggu,…

Leave a Comment

Your email address will not be published.