Hacking WordPress websites & stealing WordPress passwords

een gedetailleerde uitleg over hoe aanvallers Man-In-The-Middle (MitM) gebruiken om WordPress websites en inloggegevens te hacken. Dit artikel is alleen voor educatieve doeleinden.

net als elke andere webtoepassing met een aanmeldformulier, verzendt WordPress uw gebruikersnaam en wachtwoord in een HTTP-aanvraag bij het inloggen. HTTP is standaard geen versleuteld protocol. Dat betekent dat, tenzij uw WordPress website HTTPS gebruikt, de communicatie tussen u en de webserver gevoelig is voor afluisteren.

Hackers met kwaadaardige bedoelingen kunnen eenvoudig onderscheppen en wijzigen van uw WordPress website cleartext (niet-versleutelde) HTTP-verkeer. Natuurlijk, een van de meest interessante stukjes informatie voor een aanvaller zou uw WordPress administrator referenties.

de software die gebruikt wordt om man-in-the-Middle (MitM) aanvallen uit te voeren is vrij en op grote schaal beschikbaar. Dit artikel zal betrekking hebben op een aantal real-world voorbeelden van hoe MitM kan worden gebruikt om de controle over uw WordPress website te nemen. Dan beveelt het aan hoe je je het beste tegen hen kunt verdedigen.

Wat is een man-in-the-Middle (MitM) aanval?

Een Man-In-The-Middle (MitM) aanval is een algemene term voor aanvallen waarbij een hacker zich positioneert als tussenpersoon tussen een afzender en een ontvanger. Bijvoorbeeld tussen uw browser en de website die u bezoekt. Hierdoor kan de aanvaller afluisteren, en in veel gevallen, ook de inhoud te wijzigen als het wordt verzonden en ontvangen tussen de twee partijen. In de meeste gevallen, als ze vast te leggen de referenties kunnen ze inloggen en hack uw WordPress website.

Hoe komt een aanvaller in het midden?

Man-In-The-Middle (MitM) aanvallen hebben meestal (niet altijd) betrekking op een aanvaller die op hetzelfde LAN (Local Area Network) zit als u. Een van de meest voorkomende MitM-aanvallen betreft ARP spoofing. De nitty-gritty details van ARP spoofing zijn buiten het bereik van dit artikel. Echter, het resultaat van een succesvolle ARP spoofing aanval zou resulteren in uw netwerk switch of router wordt misleid in het denken dat de machine van de aanvaller is uw machine en vice versa.

het resultaat hiervan is dat in plaats van dat elke partij direct gegevens naar elkaar verzendt, ze het eerst naar de aanvaller sturen. Om dingen normaal te laten lijken, stuurt de aanvaller het verkeer door naar de rechtmatige bestemming. Dit geeft de aanvaller echter de mogelijkheid om de inhoud van de transmissie te inspecteren en zelfs te wijzigen.

Hacking WordPress websites-stealing passwords & login credentials

om te begrijpen hoe WordPress credentials zouden worden gestolen, laten we eerst kijken naar een HTTP-verzoek met ingediende credentials met behulp van de browser ingebouwde developer tools.

merk op dat dit geen man-in-the-Middle (MitM) aanval is, maar dit helpt te illustreren waar je later naar moet zoeken.

laten we nu eens kijken naar wat een aanvaller zou zien bij het inspecteren van niet-versleuteld HTTP-verkeer. In dit voorbeeld gebruiken we Wireshare, is een gratis en populaire netwerk analyse tool.

het stelen van authenticatiecookies

naast het stelen van WordPress wachtwoorden / referenties, kan een aanvaller ook gewoon uw authenticatiecookie stelen om u na te doen.

hoe verhouden cookies zich tot authenticatie?

HTTP is een statenloos protocol. In HTTP voegt de server geen speciale betekenis toe aan verzoeken die via dezelfde TCP socket aankomen. Dit betekent dat de browser een tijdelijk token moet opslaan, tenzij u elke keer dat u een pagina aanvraagt uw wachtwoord wilt invoeren. Dit token staat bekend als een sessie token. De browser stuurt dit token automatisch met elk verzoek. Gelukkig hebben browsers hiervoor een ingebouwd mechanisme-cookies. Dat is de reden waarom het verwijderen van uw browser cookies zal je uitgelogd uit alle websites.

wat dit impliceert is dat een aanvaller niet eens je wachtwoord nodig heeft om je te imiteren. Het enige wat ze nodig hebben is om een greep van uw sessie token te krijgen.

opnieuw is dezelfde informatie toegankelijk voor een aanvaller binnen Wireshark.

met behulp van een gratis browserextensie, zoals Cookie-Editor, kan een aanvaller eenvoudig de waarde van de gestolen cookie in zijn browser gebruiken en als u door de WordPress-admin bladeren.

jezelf / je WordPress-website beschermen tegen MitM-aanvallen

Man-in-the-Middle-aanvallen zoals die in dit artikel worden aangetoond, zijn zeer weinig moeite voor een aanvaller om uit te voeren. Vooral in openbare of slecht beveiligde netwerken zoals een openbare WiFi. Gelukkig, jezelf te beschermen tegen deze hacking-aanvallen is zeer straight-forward-zorg ervoor dat u HTTPS in te schakelen en af te dwingen op uw WordPress website.

https versleutelt het verkeer tussen uw browser en de server. Als een aanvaller moest proberen om de inhoud van HTTPS-verkeer te lezen, alles wat ze zullen zien is een heleboel betekenisloze, verminkte versleutelde tekst.

extra voorzorgsmaatregelen voor het verharden van WordPress-beveiliging

hoewel u HTTPS op uw website zonder twijfel moet inschakelen als uw eerste prioriteit om man-in-the-Middle (MitM) – aanvallen te dwarsbomen, zijn de volgende goede follow-up-best practices om naar shoring up te kijken.

1. voeg tweefactorauthenticatie (2FA) toe om de beveiliging van uw WordPress-website-authenticatiemechanisme te verbeteren
2. sterke WordPress-wachtwoorden afdwingen om aanvallen met wachtwoorden te raden aanzienlijk moeilijker te maken
3. Houd een WordPress-activiteitenlogboek bij om ongeautoriseerde toegang tot de WordPress-admin te controleren
4. Installeer een WordPress-Bestandintegriteitsmonitor om kwaadaardige bestandswijzigingen in uw WordPress-installatie op te sporen
5. Stel een WordPress-firewall en beveiligingsoplossing in om veelvoorkomende aanvallen op webtoepassingen te dwarsbomen.