Test des sites wordpress pour SQL Injection sur siteurl

Question

J'ai un client dont les sites wordpress ont été piratés deux fois par des scammers iframe. Chaque fois qu'ils ont injecté du code iframe dans le contenu des sites.

Cette dernière fois, aujourd'hui, ils ont simplement changé le siteurl en wp_options à leur code iframe. Le résultat était évident et semblait bâcler simplement les chemins des scripts qui reposent sur

<?php bloginfo(); ?> 

Je ne peux pas déterminer si son compromis de mot de passe (sur FTP ou WordPress lui-même) ou une injection SQL pour modifier siteurl. Puisque la seule chose qui a été modifiée est siteurl, je pense peut-être à SQL Injection.

Que pensez-vous? Un moyen d'analyser un site pour les vulnérabilités potentielles d'injection SQL?

Les seuls greffons actifs sur le site sont sous forme de contacts 7 et Google sitemaps XML.

Answer 1

Il est extrêmement peu probable que SQL Injection 0 jours a été utilisé dans cette attaque. Wordpress est l'un des projets PHP les plus insécurisés que j'ai jamais audités, et il a gagné un prix pwnie pour être si peu sûr. Les «hackers Wordpress» sont une blague complète, ils ont rejeté un de mes rapports de vulnérabilité parce qu'ils étaient incapables de saisir la faille simple, ils n'ont même pas pris la peine d'exécuter mon code d'exploit. (La faille a été corrigée.)

L'utilisation de FTP est une extrêmement mauvaise idée. Vous transmettez des mots de passe en texte clair et le code source sur l'internet ouvert en TEXTE CLAIR, vous devez être complètement fou. Utilisez SFTP !!!! Je sais qu'il y a un virus (je ne me souviens plus du nom ...) qui se propage en sniffant le trafic réseau à la recherche de mots de passe FTP, puis il se connecte et modifie les fichiers .php et .html qu'il trouve. Exécuter un anti-virus sur toutes les machines avec un accès FTP au serveur, AVG va supprimer ce virus.

Je parie que wordpress ou un de vos plugins n'a jamais été mis à jour. Les vulnérabilités dans les plugins sont couramment utilisées pour percer dans les applications Web. Vérifiez tous les numéros de version de toutes les bibliothèques/applications Web installées.

Si vous voulez tester votre site pour injection SQL puis tourner display_errors=On dans votre php.ini et exécutez le Sitewatch free service * ou open source Wapiti. Après avoir corrigé les vulnérabilités, réexécutez l'analyse pour vous assurer que vos correctifs sont conservés. Ensuite, exécutez PhpSecInfo pour verrouiller votre installation php. Assurez-vous de supprimer toutes les entrées RED du rapport.

* Je suis affilié avec ce site/service.

Answer 2

N'oubliez pas les commentaires. J'ai eu des problèmes avec les utilisateurs qui s'enregistraient puis jetaient du code dans les commentaires et dans leur profil. Vérifiez là.

Answer 3

Je pense qu'il est un cheval de Troie volant les mots de passe FTP à partir du PC de l'utilisateur.

En ce qui concerne le logiciel pour tester votre application contre les injections SQL, il y a beaucoup de réponses ici sur le SO déjà

Answer 4

Avez-vous essayé l'un des scanners libres d'injection SQL? Nessus le fait, mais ce n'est plus gratuit, il y en a quelques-uns gratuits, désolé, je n'ai plus d'aide, je n'ai pas regardé les bases de données depuis longtemps et quand je l'ai fait, c'était juste un coup d'œil rapide.

Answer 5

Si le papier lié here a raison, vous devez utiliser NTOSpider pour le laisser attaquer votre site.