Évaluation des pare-feu WordPress les plus populaires : Comment se comportent-ils face aux exploits récents ?

Une faille critique dans le téléchargement de fichiers dans le plugin forminator rend 500 000 sites vulnérables

WordPress Site Hacked
Active Exploitation
Cory Marsh
Cory Marsh
Share:
Cory Marsh has over 20 years Internet security experience. He is a lead developer on the BitFire project and regularly releases PHP security and programming videos on BitFire's you tube channel.

Tester les plugins wordpress contre les menaces réelles 2023

La sécurité de WordPress n'a jamais été aussi vitale. Avec un nombre croissant d'attaques et de vulnérabilités signalées chaque jour, les webmasters doivent plus que jamais protéger leurs sites.. L'une de ces vulnérabilités récentes visait le "Forminator 1"..24.6" par le biais d'un téléchargement de fichier PHP non authentifié. L'équipe BitFire a rigoureusement testé les pare-feux WordPress les plus populaires afin d'évaluer leur capacité à bloquer ce type d'exploit.. Notre procédure de test utilise le code d'exploitation publié sur Exploit-DB le 4 août 2023, signalé par WordFence le 29 août 2023..

Regardez Exploit sur YouTube : RASP protects website from authentication bypass

CVE Details: CVE-2023-4596

Déclaration de WPMU DEV : No statement made or change-log provided

Méthodologie d'essai

All tests were conducted from an AWS micro server, sending the static payload from exploit-db.com, with all security options enabled for each firewall. We used an uploaded PHPSPl0it backdoor for the testing (3 out of 4 hackers prefeer PHPSpl0it) The evaluation criteria consisted of seven distinct avenues through which each firewall could block this exploit:

  1. Bot Blocking pour empêcher la connexion au plugin
  2. Vérification de l'extension du fichier téléchargé
  3. Accrochage du crochet WordPress sanitize_file_name pour détecter le renommage de fichier
  4. Inspection des fichiers téléchargés par des utilisateurs non authentifiés à la recherche de code PHP
  5. Empêcher l'écriture non autorisée de fichiers PHP avec les Stream Wrappers
  6. Bloquer l'accès direct des scripts aux fichiers php dans le répertoire /uploads
  7. Bloquer l'accès final au serveur de commande et de contrôle PHPSpl0it

Résumé des résultats

✅ - Fully Blocked No Bypass, 💢 - Not Blocked, 💣 - Bypassable 🎛 - Manual Rule
Firewall Bot Blocking Extension Check Sanitize Filter File Inspection Write Blocking /uploads Block PHPSpl0it
WordFence 💢 💣 💢 💣 💢 🎛 💢
NinjaFW 💢 💣 💢 💢 💢 🎛 💢
ShieldSec 💢 💢 💢 💢 💢 💢 💢
SiteGr 💢 💢 💢 💢 💢 💢 💢
BitFire 🎛 🎛

Résumé

Le tableau récapitulatif révèle des degrés d'efficacité variables parmi les pare-feu WordPress les plus populaires qui ont été testés. WordFence, bien que partiellement efficace pour bloquer les téléchargements de fichiers PHP, était susceptible de contourner les techniques de vérification des extensions de téléchargement et d'inspection des fichiers.. NinjaFirewall n'a pas réussi à bloquer complètement les bots et a été contourné lors des vérifications des extensions de téléchargement, ne montrant aucune mesure de protection supplémentaire pour les autres exploits.. Shield Security n'a offert aucune protection contre les exploits testés, s'appuyant uniquement sur la réputation des adresses IP et la protection par force brute des identifiants de connexion. SiteGround Security, qui se concentre principalement sur des fonctions de base telles que la désactivation des flux RSS et le 2FA, n'offre pas non plus de protection contre les exploits.. En revanche, BitFire a mis en place les mesures de sécurité les plus complètes.. Il offrait un blocage robuste, bien que contournable, des vérifications sécurisées des extensions de téléchargement, et était le seul pare-feu à intercepter les accès non autorisés aux fichiers PHP et à bloquer les outils de commande et de contrôle tels que PHPsploit..

Analyse détaillée du pare-feu

WordFence $119.00

WordFence est un choix populaire pour la sécurité de WordPress mais n'a pas réussi à arrêter un exploit permettant le téléchargement de fichiers PHP par des attaquants non authentifiés.. Cependant, il ne bloque pas les attaques basées sur des robots (test n° 1) jusqu'à ce qu'un très grand nombre de requêtes proviennent de la même adresse IP.. En ce qui concerne la vulnérabilité liée au téléchargement de fichiers (test n° 2), WordFence a détecté avec succès l'extension PHP, mais a échoué lorsqu'un caractère spécial lui a été ajouté.. WordFence ne vérifie pas le filtre WordPress Sanitize File qui pourrait être utilisé pour détecter le fichier renommé en .php (test #3). Pour l'inspection des fichiers (test n° 4), il a été constaté qu'il était possible de le contourner en insérant 1 Mo de 'A' avant le code PHP.. Malheureusement, WordFence ne dispose pas non plus de fonctionnalités permettant d'empêcher l'accès aux fichiers PHP à l'aide de wrappers de flux (Test #5).. Il peut bloquer l'accès direct au répertoire /uploads lorsqu'il est configuré en mode "Optimisé" et qu'il exécute une règle de gestion issue de la documentation (Test #6).. WordFence ne contient pas de code spécial pour bloquer les requêtes provenant d'outils de commande et de contrôle comme PHPsploit (Test #7).

Ninja Firewall $79.00

Le mécanisme de blocage des robots de NinjaFirewall ne fonctionne que pour wp-login.php et xmlrpc.php, ne fournissant pas de protection contre les attaques automatisées (Test #1). Dans la vérification de l'extension de téléchargement (Exploit #2), l'ajout d'un "_" au nom du fichier PHP contourne les vérifications et permet au fichier d'être téléchargé et exploité de la même manière que WordFence.. NinjaFirewall peut être configuré manuellement pour bloquer l'accès aux fichiers php dans le répertoire /uploads, mais il s'agit d'une fonction manuelle que l'administrateur doit effectuer lui-même Test #6. NinjaFirewall ne dispose pas non plus de fonctions permettant de traiter les autres possibilités d'exploitation, à savoir i.e.de l'essai n° 3 à l'essai n° 7.

Shield Security $99.00

Shield Security, known for its IP-based bot protection, failed to block automated attacks (Test #1) since it uses CrowdSec’s IP reputation database. Dans tous les autres cas d'exploitation (n° 2 à n° 7), il n'a fourni aucune protection, ce qui montre qu'il se concentre principalement sur le blocage des adresses IP et la protection par force brute des identifiants de connexion..

Site Ground Security $0.00

SiteGround Security provides rudimentary features like disabling RSS feeds, limiting login attempts, and two-factor authentication (2FA). Unfortunately, it didn't block any of the tests (#1 to #7) tested in our procedure.

BitFire $69.00 / $128.00

Les performances de BitFire sont impressionnantes. It provides two methods for blocking bots (Test #1) — signature-based blocking for browser user agents and an IP/reverse DNS check for all bots. Bien que le blocage des robots puisse être contourné dans certaines conditions s'il est exécuté en mode détendu, il est considérablement plus robuste que ses concurrents.. BitFire est le seul pare-feu à avoir vérifié avec succès les noms de fichiers assainis en plus des noms de fichiers bruts, bloquant ainsi efficacement la vulnérabilité du téléchargement de fichiers (test n°2).. Bien qu'il n'accroche pas la fonction sanitize_file_name (Test #3), BitFire attrape les fichiers téléchargés contenant du code PHP (Test #4) et empêche l'accès aux fichiers PHP en utilisant des wrappers de flux (Test #5).. Avec un peu de personnalisation, il peut bloquer l'accès direct des scripts au répertoire /uploads (Test #6) et il bloque les outils de commande et de contrôle courants comme PHPsploit (Test #7)..

Conclusion

Aucun pare-feu WordPress n'est à l'épreuve des balles, mais certains sont certainement plus robustes que d'autres. Parmi les pare-feu que nous avons testés, BitFire est apparu comme le plus sûr, offrant une approche à multiples facettes de la sécurité de WordPress. WordFence, bien que populaire, a révélé plusieurs faiblesses qui doivent être corrigées, notamment en ce qui concerne le Forminator 1 récemment découvert..24.6 vulnérabilité. Les webmasters doivent évaluer soigneusement leurs mesures de sécurité, en tenant compte de la gamme variée d'exploits qui peuvent compromettre un site WordPress..

Pour les webmasters qui privilégient une sécurité approfondie, BitFire offre actuellement la solution la plus complète, tandis que les utilisateurs d'autres pare-feu populaires doivent être conscients de leurs limites et envisager des mesures de protection supplémentaires..

Cory Marsh
Cory Marsh
Share:
Cory Marsh has over 20 years Internet security experience. He is a lead developer on the BitFire project and regularly releases PHP security and programming videos on BitFire's you tube channel.