评估最流行的 WordPress 防火墙:它们如何应对最近的漏洞攻击
Forminator 插件中的重要文件上传漏洞导致 500,000 个网站受到攻击
针对真实威胁测试 wordpress 插件 2023
WordPress 的安全从未如此重要. 随着每天报告的攻击和漏洞数量不断增加,网站管理员比以往任何时候都更需要保护自己的网站. 最近的一个漏洞就是针对 "Forminator 1.24.6 "插件通过未经验证的 PHP 文件上传. BitFire 团队对最流行的 WordPress 防火墙进行了严格测试,以评估它们阻止此类漏洞的能力。. 我们的测试程序采用了 WordFence 于 2023 年 8 月 29 日报告的、2023 年 8 月 4 日在 Exploit-DB 上发布的漏洞利用代码.
在 YouTube 上观看 Exploit: RASP protects website from authentication bypassCVE Details: CVE-2023-4596
WPMU DEV 声明: No statement made or change-log provided
测试方法
All tests were conducted from an AWS micro server, sending the static payload from exploit-db.com, with all security options enabled for each firewall. We used an uploaded PHPSPl0it backdoor for the testing (3 out of 4 hackers prefeer PHPSpl0it) The evaluation criteria consisted of seven distinct avenues through which each firewall could block this exploit:
- 阻止机器人连接插件
- 检查上传文件的扩展名
- 挂接 WordPress 的 sanitize_file_name 钩子以检测文件重命名
- 检查未认证用户上传文件中的 PHP 代码
- 使用流封装器防止未经授权写入 PHP 文件
- 阻止脚本直接访问 /uploads 目录中的 php 文件
- 阻止对 PHPSpl0it 命令和控制服务器的最终访问
调查结果摘要
| Firewall | Bot Blocking | Extension Check | Sanitize Filter | File Inspection | Write Blocking | /uploads Block | PHPSpl0it |
|---|---|---|---|---|---|---|---|
| WordFence | 💢 | 💣 | 💢 | 💣 | 💢 | 🎛 | 💢 |
| NinjaFW | 💢 | 💣 | 💢 | 💢 | 💢 | 🎛 | 💢 |
| ShieldSec | 💢 | 💢 | 💢 | 💢 | 💢 | 💢 | 💢 |
| SiteGr | 💢 | 💢 | 💢 | 💢 | 💢 | 💢 | 💢 |
| BitFire | ✅ | ✅ | 🎛 | ✅ | ✅ | 🎛 | ✅ |
摘要
汇总表显示了所测试的流行 WordPress 防火墙的不同有效程度. WordFence虽然在阻止PHP文件上传方面部分有效,但在上传扩展名检查和文件检查方面容易被绕过。. NinjaFirewall 未能完全阻止机器人,并在上传扩展检查中被绕过,没有显示针对其他漏洞的进一步保护措施. Shield Security 不提供任何针对测试漏洞的保护,仅依赖于 IP 信誉和暴力登录保护. SiteGround Security主要侧重于RSS订阅禁用和2FA等基本功能,也没有提供任何漏洞保护功能。. 与此形成鲜明对比的是,BitFire 展示了最全面的安全措施. 它提供强大但可绕过的僵尸拦截功能、安全上传扩展检查功能,并且是唯一能拦截未经授权的 PHP 文件访问并阻止 PHPsploit 等命令控制工具的防火墙。.
详细防火墙分析
WordFence $119.00
WordFence是WordPress安全的热门选择,但未能阻止未经认证的攻击者利用漏洞上传PHP文件. 但是,在大量请求来自同一 IP 之前,它无法阻止基于僵尸的攻击(测试 #1)。. 关于文件上传漏洞(测试 #2),WordFence 成功检测到了 PHP 扩展名,但在附加任何特殊字符时就会出现问题. WordFence 没有检查 WordPress Sanitize File 过滤器,而该过滤器可用于检测重命名为 .php (Test #3). 在文件检查(测试 #4)中,发现可以通过在 PHP 代码前插入 1MB 的 "A "来绕过它. 遗憾的是,WordFence 还缺少防止使用流包装器访问 PHP 文件的功能(测试 #5)。. 当配置为 "优化 "模式并运行文档中的管理规则时,它可以阻止对 /uploads 目录的直接访问(测试 #6)。. WordFence 不包含任何特殊代码来阻止来自命令和控制工具(如 PHPsploit)的请求(测试 #7.
Ninja Firewall $79.00
NinjaFirewall 的僵尸阻止机制仅适用于 wp 登录.php 和 xmlrpc.php,无法提供针对自动攻击的保护(测试 #1)。. 在上传扩展名检查(漏洞#2)中,在 PHP 文件名后添加"_"可绕过检查,允许上传文件并利用类似于 WordFence 的漏洞。. NinjaFirewall 可以手动配置,以阻止对 /uploads 目录中 php 文件的访问,但这是管理员必须自己手动设置的功能 测试 #6. NinjaFirewall 也没有任何功能来处理其余的利用途径,即.e., 从测试 #3 到 #7.
Shield Security $99.00
Shield Security, known for its IP-based bot protection, failed to block automated attacks (Test #1) since it uses CrowdSec’s IP reputation database. 在所有其他利用途径(2 号至 7 号)中,它没有提供任何保护,这表明它的重点主要是 IP 拦截和暴力登录保护.
Site Ground Security $0.00
SiteGround Security provides rudimentary features like disabling RSS feeds, limiting login attempts, and two-factor authentication (2FA). Unfortunately, it didn't block any of the tests (#1 to #7) tested in our procedure.
BitFire $69.00 / $128.00
BitFire 的表现令人印象深刻. It provides two methods for blocking bots (Test #1) — signature-based blocking for browser user agents and an IP/reverse DNS check for all bots. 虽然在某些情况下,如果以宽松模式运行,可以绕过僵尸拦截,但它比竞争对手要强大得多. BitFire 是除原始文件名外,唯一成功检查消毒文件名的防火墙,有效阻止了文件上传漏洞(测试 #2)。. 虽然 BitFire 无法钩住 sanitize_file_name 函数(测试 #3),但它可以捕获包含 PHP 代码的上传文件(测试 #4),并防止使用流封装器访问 PHP 文件(测试 #5)。. 通过一些自定义设置,它可以阻止脚本直接访问 /uploads 目录(测试 #6),并阻止开箱即用的命令控制工具,如 PHPsploit(测试 #7)。.
Conclusion
没有哪个 WordPress 防火墙是刀枪不入的,但肯定有一些比其他防火墙更强大. 在我们测试的防火墙中,BitFire 是最安全的,它为 WordPress 安全提供了多方面的解决方案. WordFence 虽然很受欢迎,但也暴露出一些需要解决的弱点,特别是最近发现的 Forminator 1.24.6 脆弱性. 网站管理员应仔细评估其安全措施,同时考虑到可能危及 WordPress 网站的各种漏洞.
对于优先考虑全面安全的网站管理员来说,BitFire 目前提供了最全面的解决方案,而其他流行防火墙的用户则应了解其局限性,并考虑采取额外的保护措施.