admin 
„Patchstack“ paskelbė atvejo analizę, kurioje buvo tiriama, kaip „Cloudflare“ ir kitos bendrosios ugniasienės ir kenkėjiškų programų sprendimai apsaugojo „WordPress“ svetaines nuo bendrų pažeidžiamumo grėsmių ir atakų vektorių. Tyrimai parodė, kad nors bendrieji sprendimai sustabdė grėsmes, tokias kaip SQL injekcija ar skersinių scenarijų rašymas, specialus „WordPress“ saugumo sprendimas nuosekliai sustabdė „WordPress“ specifinius išnaudojimus žymiai didesniu greičiu.
„WordPress“ pažeidžiamumas
Dėl „WordPress“ platformos populiarumo, „WordPress“ papildiniai ir temos yra dažnas įsilaužėlių dėmesys, o pažeidžiamumus galima greitai išnaudoti gamtoje. Kai koncepcijos įrodymas yra viešas, užpuolikai dažnai elgiasi per kelias valandas, palikdami svetainių savininkams mažai laiko reaguoti.
Štai kodėl labai svarbu žinoti apie žiniatinklio prieglobos užtikrintą saugumą ir apie tai, kokie veiksmingi šie sprendimai yra „WordPress“ aplinkoje.
Metodika
„Patchstack“ paaiškino jų metodiką:
„Kaip pradinę padėtį, mes nusprendėme surengti„ Honeypot “svetaines (svetaines, kuriomis mes atliksime kontroliuojamą pentestavimą su 11„ WordPress “specifinių pažeidžiamumų rinkiniu) su 5 skirtingais prieglobos teikėjais, iš kurių kai kurios iš jų turi įsiveržusias savybes, kurios padeda blokuoti„ WordPress “pažeidžiamumus ir (arba) bendrą saugumą.
Be prieglobos teikėjo saugumo priemonių ir trečiųjų šalių teikėjų, kad būtų galima gauti papildomų priemonių, tokių kaip tvirti WAF ar kiti pataisų teikėjai, mes taip pat įdiegėme pataisą kiekvienoje svetainėje, su mūsų testo klausimu:
- Kiek iš šių grėsmių apeis ugniasienės ir kiti pataisų teikėjai, kad galų gale pasiektumėte pataisą?
- Ir ar „Patchstack“ galės sėkmingai juos užblokuoti? “
Testavimo procesas
Kiekviena svetainė buvo sukurta vienodai, su identiškais papildiniais, versijomis ir nustatymais. „PatchStack“ naudojo „išnaudojimo bandymo įrankių rinkinį“, kad atliktų tuos pačius išnaudojimo testus ta pačia tvarka kiekvienoje svetainėje. Rezultatai buvo tikrinami automatiškai ir rankomis, kad būtų galima sustabdyti išpuolius ir ar blokas atsirado dėl šeimininko gynybos, ar iš pataisos.
Bendroji apžvalga: prieglobos teikėjų, palyginti su pažeidžiamumais
„Patchstack“ atvejo tyrime buvo išbandytos penkios skirtingos apsaugos apsaugos priemonių konfigūracijos, taip pat „PatchStack“.
1. Prieglobos teikėjas „Plus CloudFlare WAF“
2. Prieglobos teikėjas B + ugniasienė + „Monarx“ serveris ir svetainės saugumas
3. Prieglobos teikėjas C + Firewall + Imunify Web Server Security
4. Prieglobos teikėjas D + ConfigServer užkarda
5. Prieglobos paslaugų teikėjas E + užkarda
Testavimo rezultatas parodė, kad įvairios prieglobos infrastruktūros apsaugos priemonės nesugebėjo apsaugoti daugumos „WordPress“ specifinių grėsmių, sugaudama tik 12,2% išnaudojimų. „Patchstack“ sugavo 100% visų išnaudojimų.
„Patchstack“ bendrino:
„2 iš 5 pagrindinių kompiuterių ir jų sprendimų nepavyko užblokuoti jokių pažeidžiamumų tinklo ir serverio lygiuose.
1 šeimininkas užblokavo 1 pažeidžiamumą iš 11.
1 kompiuteris užblokavo 2 pažeidžiamumus iš 11.
1 šeimininkas užblokavo 4 iš 11 pažeidžiamumų. “
„CloudFlare“ ir kiti sprendimai nepavyko
Tokie sprendimai kaip „CloudFlare WAF“ ar „Bundled“ paslaugos, tokios kaip „Monarx“ ar „Imunify“, nesugebėjo nuosekliai spręsti „WordPress“ specifinių pažeidžiamumų.
„Cloudflare“ WAF sustabdė 4 iš 11 išnaudojimų, „Monarx“ užblokavo nė vienos, o „Imunify“ neužkertėtmėms dėl „WordPress“ specifinių išnaudojimų. Ugniasienės, tokios kaip „ConfigServer“, kurios plačiai naudojamos bendroje prieglobos aplinkoje, taip pat nepavyko kiekvieno testo.
Šie rezultatai rodo, kad nors tokio tipo produktai yra pakankamai gerai, palyginti su plačiomis atakų tipais, jie nėra suderinti su konkrečiomis saugumo problemomis, būdingomis „WordPress“ papildiniams ir temoms.
„PatchStack“ sukurtas specialiai sustabdyti „WordPress“ papildinį ir temų pažeidžiamumą realiuoju laiku. Užuot pasikliaudami statiniais parašais ar bendrinėmis taisyklėmis, jis taiko tikslinį švelninimą per virtualius pataisas, kai tik bus atskleisti pažeidžiamumai, prieš užpuolikai gali veikti.
Virtualūs pataisos yra konkretaus „WordPress“ pažeidžiamumo sušvelninimas. Tai suteikia apsaugą vartotojams, o papildinys ar temų kūrėjas gali sukurti trūkumo pataisą. Šis metodas apima „WordPress“ trūkumus, kaip priglobti įmones ir generinius įrankius, nes jie retai atitinka generinių atakų modelius, todėl jie praleidžia tradicinę gynybą ir atskleidžia leidėjus privilegijuoti eskalaciją, autentifikavimo apėjimą ir svetainių perėmimą.
Takeaways
- Standartinė prieglobos gynyba nepavyksta palyginti su daugumos „WordPress“ papildinių pažeidžiamumų (87,8% aplinkkelio norma).
- Daugelis paslaugų teikėjų, tvirtinančių, kad „virtualus pataisymas“ (pvz., „Monarx“ ir „Imunify“), nesustabdė „WordPress“ specifinių išnaudojimų.
- Bendrosios ugniasienės ir WAF sugavo keletą plačių atakų (SQLI, XSS), bet ne „WordPress“ specifinius trūkumus, susietas su papildiniais ir temomis.
- „PatchStack“ nuosekliai blokavo pažeidžiamumus realiuoju laiku, užpildydamas tinklo ir serverio gynybos paliktą spragą.
- „WordPress“ įskiepių ekosistema daro ją ypač patraukliu užpuolikų taikiniu, todėl veiksminga pažeidžiamumo apsauga yra būtina.
„PatchStack“ atvejo analizė rodo, kad tradiciniai prieglobos apsaugos priemonės ir bendrieji „virtualūs pataisymo“ sprendimai palieka „WordPress“ svetaines pažeidžiamos-beveik 88% atakų apeina ugniasienes ir serverio sluoksnio apsaugą.
Nors tokie teikėjai kaip „CloudFlare“ užblokavo kai kuriuos plačius išnaudojimus, specifinės įskiepių grėsmės, tokios kaip privilegijų eskalavimas ir autentifikavimo aplinkkeliai.
„PatchStack“ buvo vienintelis sprendimas, kuris realiu laiku nuolat blokavo šias atakas, suteikdamas svetainių savininkams patikimą būdą apsaugoti „WordPress“ svetaines nuo pažeidžiamumų tipų, kuriems dažniausiai nukreipta užpuolikai.
Pasak „Patchstack“:
„Nepasikliaukite bendromis„ WordPress “gynybos priemonėmis.„ PatchStack “yra sukurtas taip, kad aptiktų ir blokuotų šias grėsmes realiuoju laiku, pritaikant švelninimo taisykles, prieš tai užpuolikams, kad jie galėtų jas išnaudoti.“
Perskaitykite „Patchstack“ atvejo analizės rezultatus čia.
Teminis „Shutterstock“/„Tavizta“ vaizdas
