web-dev-qa-db-ja.com

ワードプレスユーザーの資格情報を盗聴する

もっと「ハードコア」な(遅い)開発からWordPressの開発に来ると、WordPressのログインプロセスが信任状データの盗聴から完全に防御できないことは非常に奇妙なことです。

ウェブサイトにSSLがインストールされていない場合、それはすべてプレーンテキストで行われます。これにより、管理者を含む公衆WiFiで誰のログイン資格情報も入手することが非常に簡単になります。

データをサーバーに送信する前に暗号化する可能性のあるプラグインを探しても、役に立ちませんでした。

だからWordPressは何ですか?すべてのWebサイトにSSLをインストールするのは良い習慣ですか?ウェブサイトにSSLがインストールされているかどうかにかかわらず、OKをパブリックWiFiで管理者アカウントでサインインするだけでよいのですか。そして他のユーザーのログイン/登録プロセスはどうですか? SSL暗号化を使用していない場合、ほとんどのWordPress Webサイトとそのユーザーは、セキュリティ上の大きな危険にさらされます。

1
user102853

ログインプロセス自体はそれほど重要ではありません、それはあなたが年に一度行うことができる正しい設定で一度限りのことです。

重要なのは、送信されている認証Cookieです。それらが暗号化されていない限り、ログインフォーム自体にどの程度の防御をかけるかは問題ではなく、サイトのURLが取得されるたびにクッキーが送信されます。

ですから、あなたはSSLを持っているか、安全ではありません。 Wordpressには、ログインしているユーザー(およびログインフォーム)のHTTPS URLを自動的に取得するための真ん中がありますが、明らかにまだ証明書が必要です。

WiFiの脅威がわか​​っていて証明書のコストがゼロであるのに、なぜ誰もHTTPSを使用しないのですか? 「無料」の証明書はそれを設定して管理するのに時間を浪費し、WiFiの脅威が存在する間は誰もがWiFiを使うことがYahooのアカウントを持つより安全ではないことを示していない。彼らのサイトへの外部Wifi。個人的に私は無料のWiFiが利用可能であっても私の携帯電話のデータを使用しています。

完全なHTTPSサイトを運営していないことによる他の利点、特にキャッシュもあります。 HTTPSを実行すると、コンテンツはキャッシュされません。

だから、業界(グーグル)はそれを白と黒のケースにしようとしますが、実際にはそれは(ほとんどのもののように)灰色です。誰もが自分のセキュリティリスクを評価し、それを克服し、自分の決断を下すのに必要な作業量と比較する必要があります。

1
Mark Kaplun

本当の質問に答えるここでの@ MarkKaplunの答えに加えて、私はトピックにハッカーの視点を追加することにしました。私はセキュリティの「エキスパート」ではありませんが、これに関してはある程度の経験があります。説明させてください。

私が言ったユーザーがいるネットワークに対してMiTM攻撃をしていたら、まず非SSLパケットを見てみましょう。これは暗号化されていません。それでは、フォームキーを見つけたとしましょう。それについては文字化けした値もあります。私の最初の直感は、参照元を探し、参照元に行き、それを行うJSコードを元に戻すことです。

あなたは明らかに私をフラッシュ/ Javaアプリケーションで勝つことができましたが、そうすることはあなたの訪問者を遠ざけることになるので実際には行いません(プライベートなものを持っていない限り、そうでしょう?).

ログインページでSSLを有効にしても、ユーザーに自分の偽の証明書を受け入れさせるようにします。そうすることで、その特定のクライアントから完全な情報開示がもたらされるでしょう。

重要なのは、クライアント側では最終的には暗号化できないため、SSLを使用し、暗号化形式ではなく非常に厳密なログインポリシーを有効にすることです。あなたのユーザーが******であるならば、彼/彼女は1人であり続けるでしょう..

0
Gogol

免責事項:私はセキュリティの専門家ではありませんので、塩のピンチでこれらすべてを取ります。

WPの場合、これ以外の点では違いません。 SSLを使用しない場合、トラフィックを傍受できる人はだれでも送信されたものすべてをフィッシングすることができます。あなたはSSLを取得することも、リスクに耐えることもできます。 WPに固有のものではないので、これはとにかくここではおそらく話題外です。

転送前に暗号化するというあなたの考え - 私は本当にそれを得ません。これを処理するブラウザプラグインを使用しているのでない限り、パスワードを暗号化できるコードは、信頼できないサーバーから来ています。そのため、攻撃者は、トラフィックを監視するのではなく、パスワードを漏洩する改ざんされたJSを送信する必要があります。もう少し難しいかもしれませんが、それでも基本的には同じです。

TLDR。あなたのサイトを安全にしたい場合はSSLを入手してください。そうでなければ、危険にさらされているか、少なくとも敵対的なネットワークを避けてください(例:公共のwifi)

0
kraftner