Una spiegazione dettagliata di come gli aggressori utilizzano Man-in-the-Middle (MitM) per hackerare siti web WordPress e credenziali di accesso. Questo articolo è solo a scopo didattico.
Come qualsiasi altra applicazione web con un modulo di login, WordPress invia il tuo nome utente e password in una richiesta HTTP quando si accede. Per impostazione predefinita, HTTP non è un protocollo crittografato. Ciò significa che a meno che il tuo sito web WordPress non utilizzi HTTPS, la comunicazione tra te e il server Web è suscettibile di intercettazioni.
Gli hacker con intenti malevoli possono facilmente intercettare e modificare il traffico HTTP in chiaro (non crittografato) del tuo sito web WordPress. Naturalmente, uno dei pezzi più interessanti di informazioni per un utente malintenzionato sarebbe le credenziali di amministratore di WordPress.
Il software utilizzato per condurre attacchi Man-in-the-Middle (MitM) è liberamente e ampiamente disponibile. Questo articolo tratterà alcuni esempi reali di come MitM può essere utilizzato per prendere il controllo del tuo sito web WordPress. Quindi raccomanda il modo migliore per difendersi da loro.
- Che cos’è un attacco Man-in-the-Middle (MitM)?
- Come fa un attaccante ad entrare nel mezzo?
- Hacking di siti web WordPress – furto di password& credenziali di accesso
- Furto di cookie di autenticazione
- In che modo i cookie si riferiscono all’autenticazione?
- Proteggere se stessi/il vostro sito web WordPress da attacchi MitM
- Ulteriori precauzioni per l’indurimento della sicurezza di WordPress
Che cos’è un attacco Man-in-the-Middle (MitM)?
Un attacco Man-in-the-Middle (MitM) è un termine generale per gli attacchi in cui un hacker si posiziona come intermediario tra un mittente e un destinatario. Ad esempio, tra il tuo browser e il sito web che stai visitando. Ciò consente all’utente malintenzionato di origliare e, in molti casi, modificare anche il contenuto man mano che viene inviato e ricevuto tra le due parti. Nella maggior parte dei casi, se acquisiscono le credenziali possono accedere e hackerare il tuo sito web WordPress.
Come fa un attaccante ad entrare nel mezzo?
Gli attacchi Man-in-the-Middle (MitM) in genere (non sempre) coinvolgono un utente malintenzionato che si trova sulla stessa rete locale (LAN) dell’utente. Uno degli attacchi MitM più comuni coinvolge ARP spoofing. I dettagli nitty-gritty di ARP spoofing sono oltre lo scopo di questo articolo. Tuttavia, il risultato di un attacco di spoofing ARP di successo comporterebbe lo switch di rete o il router che viene ingannato nel pensare che la macchina dell’attaccante sia la tua macchina e viceversa.
Il risultato di ciò è che invece di ciascuna parte che invia direttamente i dati l’una all’altra, prima li invia all’attaccante. Per far sembrare le cose normali, l’attaccante inoltra il traffico alla destinazione giusta. Tuttavia, questo dà all’attaccante la possibilità di ispezionare e persino modificare il contenuto della trasmissione.
Hacking di siti web WordPress – furto di password& credenziali di accesso
Per capire come le credenziali di WordPress sarebbero state rubate, diamo prima un’occhiata a una richiesta HTTP contenente le credenziali inviate utilizzando gli strumenti di sviluppo integrati del browser.
Si noti che questo non è un attacco Man-in-the-Middle (MitM), ma questo aiuta a illustrare cosa cercare in seguito.
Ora diamo un’occhiata a ciò che un utente malintenzionato vedrebbe quando ispeziona il traffico HTTP non crittografato. In questo esempio stiamo usando Wireshare, è uno strumento di analisi di rete gratuito e popolare.
Oltre a rubare password / credenziali di WordPress, un utente malintenzionato può anche semplicemente rubare il tuo cookie di autenticazione per impersonarti.
HTTP è un protocollo stateless. In HTTP il server non attribuisce alcun significato speciale alle richieste che arrivano sullo stesso socket TCP. Ciò significa che, a meno che non si desideri digitare la password ogni volta che si richiede una pagina, il browser deve memorizzare un token temporaneo. Questo token è noto come token di sessione. Il browser invia automaticamente questo token ad ogni richiesta. Fortunatamente, i browser hanno un meccanismo integrato per questo: i cookie. Ecco perché l’eliminazione dei cookie del browser ti consentirà di disconnetterti da tutti i siti web.
Ciò implica che un utente malintenzionato non ha nemmeno bisogno della tua password per impersonarti. L’unica cosa di cui hanno bisogno è ottenere un token di sessione.
Ancora una volta, le stesse informazioni sono accessibili a un utente malintenzionato all’interno di Wireshark.
Utilizzando un’estensione del browser gratuita come Cookie-Editor, un utente malintenzionato può facilmente utilizzare il valore del cookie rubato nel proprio browser e iniziare a navigare nell’amministratore di WordPress come te.
Proteggere se stessi/il vostro sito web WordPress da attacchi MitM
Attacchi Man-in-the-Middle come quello dimostrato in questo articolo sono molto basso sforzo per un utente malintenzionato di tirare fuori. Soprattutto nelle reti pubbliche o scarsamente protette come un WiFi pubblico. Fortunatamente, proteggersi da questi attacchi di hacking è molto semplice: assicurati di abilitare e applicare HTTPS sul tuo sito web WordPress.
HTTPS crittografa il traffico tra il browser e il server. Se un utente malintenzionato dovesse tentare di leggere il contenuto del traffico HTTPS, tutto ciò che vedrà è un sacco di testo crittografato privo di significato e confuso.
Ulteriori precauzioni per l’indurimento della sicurezza di WordPress
Mentre dovresti senza dubbio abilitare HTTPS sul tuo sito web come prima priorità per contrastare gli attacchi Man-in-the-Middle (MitM), le seguenti sono buone best practice di follow-up per esaminare il puntellamento.
- Aggiungere l’autenticazione a due fattori (2FA) per aumentare la sicurezza del tuo sito web WordPress meccanismo di autenticazione
- Applicare una forte WordPress password per fare indovinare la password attacchi molto più difficile
- Tenere un WordPress attività di log per monitorare l’accesso non autorizzato di amministrazione di WordPress
- Installare un File di WordPress Integrità Monitor per rilevare file dannoso modifiche per l’installazione di WordPress
- Impostare un WordPress firewall e soluzione di sicurezza per contrastare comuni attacchi alle applicazioni web.