Wczoraj wśród odwiedzanych strona znalazła się strona projektu Corgi, czyli “nowoczesna aplikacja webowa, która zabezpieczy Twoją stronę”. Patrząc na moje zainteresowania (zawodowe), taki slogan mógł zainteresować, nawet jeśli strona niekoniecznie skojarzyła mi się z gotowym projektem, a bardziej czymś w stylu prostej strony MVP, mającej “tymczasowo” łapać pierwszych zainteresowanych projektem, pewnie też w fazie MVP (nie wiem, nie sprawdzałem, ale o tym za chwilę…).

Krótka historia o tym, jak Corgi.pro zrobiło mi dzień swoim “raportem” na temat (nie)bezpieczeństwa (mojej) strony na WordPressie

Na stronie sporo tekstów o (nie)bezpieczeństwie stron internetowych, zwłaszcza tych na WordPressie, oraz to, co mnie zainteresowało od razu, czyli możliwość sprawdzenia swojej strony pod kątem (nie)bezpieczeństwa:

Sprawdź poziom bezpieczeństwa swojej strony!

Wprowadź adres swojej strony, a Corgi używając swoich supermocy sprawdzi, czy jest ona dobrze zabezpieczona i czy możesz spać spokojnie.

No po takiej zachęcie aż być może grzechem byłoby nie skorzystać, więc na szybko wbiłem adres Webinsider.pl i przeżyłem 3 zaskoczenia.

Pierwsze, że test jest niezwykle szybki, bo pewnie nie pomylę się, jak napiszę, że trwał sekundę czy dwie. Takie narzędzia jak WPScan mogą się schować ze swoimi czasami analizy.

Drugie zaskoczenie było potencjalnie bardziej poważne, bo okazało się, że moja strona “moja strona nie jest wystarczająco chroniona”. O psia kostka, że pozwolę sobie zacytować:

A skoro “moja strona nie jest wystarczająco chronione”, to z tym większą ciekawością rzuciłem okiem na szczegółowy raport:

Dowiedziałem się z niego (tak, nazwali to raportem ;-)), że strona trzymała tylko 26% “bezpieczeństwa”, co oznacza, że “poziom bezpieczeństwa strony jest bardzo niski”. Brzmi poważnie, a może nawet bardzo poważnie. Przynajmniej dopóki nie spojrzeć do reszty tego “raportu”, bo tam się dowiedziałem, że – werble – na stronie są:

Jawne informacje o użytkownikach panelu admina

No i tu już mogłem tylko… się śmiać. Bo owe informacje to wyświetlane nazwy użytkowników, czyli w moim przypadku “Patryk”, który faktycznie pojawia się jako autor większości artykułów na stronie. W końcu wypada, by autor miał choćby imię… ;-)

I mogę zapewnić, że te nazwy (m.in. Patryk, Beata) nie mają nic wspólnego z nazwami użytkowników do panelu admina WordPressa. Najwidoczniej autorzy mechanizmu przygotowującego raport nie słyszeli, że nazwa wyświetlana w WordPressie to niekoniecznie faktyczna nazwa użytkownika. Być może dlatego, że nigdy nie zaglądali do ustawień swojego profilu, gdzie można w prosty sposób wybrać, jaka ma być nazwa wyświetlana.

Z innych aspektów tej analizy i raportu nie będę się śmiał, bo… ich nie ma. Serio. To jedyny składnik tego raportu i zarazem wielkie zagrożenie, czyli lista użytkowników, ale nie po loginach, ale nazwach wyświetlanych.

Gdybym był złośliwy, to może bym nawet mógł się zastanowić, czy tutaj nie ma zaczepienia o art. 286.§ 1 Kodeksu Karnego:

Kto, w celu osiągnięcia korzyści majątkowej, doprowadza inną osobę do niekorzystnego rozporządzenia własnym lub cudzym mieniem za pomocą wprowadzenia jej w błąd albo wyzyskania błędu lub niezdolności do należytego pojmowania przedsiębranego działania, podlega karze pozbawienia wolności od 6 miesięcy do lat 8.

Bo oczywiście poza tym, że ów “raport” jest, jaki jest, to ktoś “mniej techniczny” może jednak potraktować go poważnie, tym samym przestraszony może skusić się na płatną usługę dostępną na tej stronie… Ale na szczęście nie jestem złośliwy, nawet jeśli niektórzy twierdzą czasem inaczej… ;-)

No i na koniec spokojnie, bo nawet jak w Waszym przypadku nazwa użytkownika jest taka sama jak nazwa wyświetlana, to jeszcze nie koniec świata. Atakujący dalej potrzebuje poznać hasło do konta, a do tego nazwę użytkownika zawsze można zmienić (tylko wtedy ustawcie wyświetlaną nazwę na coś innego). Do tego, skoro o prawdziwym, a nie wyimaginowanym (nie)bezpieczeństwie jesteśmy, to dobrze dodać (nie tylko do) do WordPressa podwójne uwierzytelnienie…