Interview mit Ryan Dewhurst, Gründer von WPScan

Ryan Dewhurst ist ein ethischer Hacker und Penetrationstester, der sich seit vielen Jahren dafür einsetzt, Menschen in der WordPress-Community dabei zu helfen, die Sicherheitslage ihrer Websites zu verbessern und sie vor böswilligen Angreifern zu schützen.

Ryan ist der Gründer von WPScan, einem kostenlosen Blackbox-WordPress-Sicherheitsscanner, der für Sicherheitsexperten und Blog-Betreuer geschrieben wurde, um die Sicherheit ihrer Websites zu testen. Das CLI-Tool WPScan verwendet derzeit eine Datenbank mit 21.875 WordPress-Schwachstellen.

1. Erzählen Sie uns für diejenigen, die Sie nicht kennen, was Sie tun und etwas über Ihre Vergangenheit und Referenzen.

Seit ich denken kann, interessiere ich mich für Computer und das Internet. Früher ging ich zum Haus eines Nachbarn, der einzige Mensch, den ich damals kannte, der einen Computer besaß, um auf seinem Windows 95-Rechner Solitaire zu spielen. Er hatte nicht einmal Zugang zum Internet, aber ich war glücklich, nur mit dem Computer zu interagieren.

Später, als Teenager, überredete ich meine Mutter, mir einen eigenen Computer zu kaufen, diesmal mit Internetzugang! Die Fähigkeit, mit Menschen aus der ganzen Welt zu interagieren, hat mich umgehauen. Yahoo war damals groß und sie hatten einen Dienst namens Yahoo! Chat, und in diesem Dienst hatten sie einen Chatraum namens „Hacker's Lounge“. Ich verbrachte Nächte um Nächte in diesem Chatroom und versuchte herauszufinden, worüber alle sprachen, Trojaner, RATs, DoS, allgemeine Programmierung und so weiter.

Später im Leben sah ich, dass die örtliche Universität einen Bachelor-Abschluss in Ethical Hacking for Computer Security anbieten würde. Ich hatte mit 15 die Schule verlassen, um zu arbeiten, hatte also keinerlei Qualifikation. Die Anforderungen für den Kurs waren mindestens drei Qualifikationen, einschließlich GCSE-Niveau in Mathematik und Englisch, die ich nicht hatte. Also kündigte ich sofort meinen schlecht bezahlten Job und absolvierte einen schnellen College-Kurs, der kostenlos war, weil ich nicht viel Geld verdiente, um die erforderlichen Qualifikationen zu erhalten. Trotz der Qualifikationen wurde ich anfangs abgelehnt, an dem Kurs teilzunehmen, aber ich schaffte es, die E-Mail-Adresse des Lehrers zu finden und ihm eine lange Geschichte darüber zu schreiben, dass dieser Kurs meiner Meinung nach das einzige war, was ich im Leben tun wollte. Und schließlich wurde ich in den Kurs aufgenommen! Nach vier Jahren schloss ich die Ausbildung mit erstklassiger Auszeichnung ab.

Danach bekam ich eine Stelle bei einem Unternehmen für Penetrationstests als Sicherheitsingenieur für Webanwendungen, wo ich viele der führenden britischen Unternehmen auf Sicherheitsprobleme testete. Ich habe diesen Job aufgegeben, um mein eigenes Unternehmen für Penetrationstests und schließlich WPScan zu gründen, wo ich jetzt bin.

2. Sie sind seit Jahren in der Sicherheitsbranche für Webanwendungen tätig. Was hat Ihr Interesse speziell an WordPress geweckt?

Ich fing an, über meine Erfahrungen und Dinge zu bloggen, die ich über Sicherheit gelernt hatte, und entschied mich zufällig für WordPress als Blogging-Plattform. Eines Tages stieß ich auf eine Sicherheitslücke, die jemand anderes gepostet hatte und die WordPress betraf. Da ich im Sicherheitsbereich arbeitete und selbst WordPress verwendete, schrieb ich einen Exploit für die Schwachstelle, um ihn auf meiner eigenen Website zu testen. Dann begann ich mit einem Kaninchenbau anderer Sicherheitslücken, die WordPress betrafen, und steckte schließlich all dieses Wissen in ein Tool, das ich WPScan nannte.

3. Viele Sicherheitsexperten für Webanwendungen sehen auf WordPress herab. Ich habe mit vielen gesprochen, die sagen, dass sie WordPress niemals verwenden würden oder dass die Funktionsweise fehlerhaft ist (z. B. hat ein Plugin vollen Zugriff auf alle Hooks usw.). Was sind Ihre Gedanken dazu?

Da WordPress im Web so weit verbreitet ist, ist es ein attraktives Ziel für Angreifer. Dies führte dazu, dass viele Sicherheitsforscher und Black-Hat-Hacker sich mit WordPress befassten, als es noch in den Kinderschuhen steckte. Da WordPress noch nicht so ausgereift war wie heute, wurden viele Sicherheitsprobleme gefunden. Aber heute ist der WordPress-Kern relativ gesehen ein sehr sicheres Content Management System (CMS). Das Problem liegt heutzutage in den Plugins von Drittanbietern. Es gibt einfach so viele von ihnen, was die Benutzer in erster Linie anzieht, aber jedes einzelne Plugin, das Sie installieren, bringt auch ein zusätzliches Risiko für Ihre Website mit sich.

Aber auch dies wird besser, da innovative Unternehmen gegründet werden, um dieses Problem anzugehen. Aus meiner Erfahrung sehen wir, dass WordPress-Plugins im Laufe der Zeit sicherer werden. Einfach aufgrund des Niveaus der Forschung und der Unternehmen, die sich diesem Bereich jetzt widmen.

4. In Bezug auf WPScan gibt es einen Open-Source-Scanner, das Plugin, die Schwachstellendatenbank usw. Können Sie bitte erklären, wie diese Projekte miteinander verbunden sind, welches man verwenden sollte und warum?

Die WPScan WordPress-Schwachstellendatenbank ist das, was alle unsere Dienste zusammenhält. Alle unsere anderen Produkte und Dienstleistungen stützen sich auf die Datenbank, sie sind Clients, die die Daten konsumieren und sie auf eine Weise präsentieren, die für unsere Benutzer nützlich ist.

Das WPScan CLI-Tool war unser erstes Produkt, das für nicht-kommerzielle Benutzer kostenlos verwendet werden kann. Es scannt eine WordPress-Website aus einer Außenperspektive, um einem Hacker die Sicht auf Ihre WordPress-Website zu geben. Dieses Tool erfordert jedoch, dass Benutzer mit der Verwendung einer Befehlszeile vertraut sind, und kann je nach technischem Niveau des Benutzers manchmal nicht einfach zu installieren sein. Dieses Tool ist wirklich für Penetrationstester und Entwickler konzipiert.

Unser neuestes Mitglied unserer Produktfamilie ist unser WordPress-Sicherheits-Plugin WPScan, das eher für Ihre täglichen WordPress-Benutzer entwickelt wurde. Sie installieren einfach das Plugin aus dem offiziellen WordPress-Repository, konfigurieren Ihr API-Token, starten Scans und erhalten Sicherheitsbenachrichtigungen. Die Idee des Plugins ist es, Sie auf Sicherheitsprobleme aufmerksam zu machen, bevor die Hacker die Chance haben, sie auszunutzen.

5. Was braucht es, um eine Datenbank mit WordPress-Plugins, Themes und zentralen Schwachstellen zu pflegen? Wie erfährt man von Neuerscheinungen, wie wird sie gepflegt?

Es braucht viel Arbeit. Jede Schwachstelle, die wir in unsere Datenbank eingeben, wird von einem unserer erfahrenen WordPress-Sicherheitsingenieure durchgeführt, sodass Sie ein hohes Maß an Vertrauen haben können, dass es sich tatsächlich um eine echte Schwachstelle und nicht um ein falsches Positiv handelt.

Wir finden Schwachstellen aus einer Vielzahl von Quellen. Wir haben eine Gruppe unabhängiger hartgesottener Sicherheitsforscher, die Schwachstellen in WordPress, Plugins oder Themes finden und diese direkt an uns senden. Wir überwachen auch ständig soziale Medien, Foren, Blogs, Websites und Suchmaschinen auf bestimmte Schlüsselwörter, mit denen jemand über eine Sicherheitslücke in WordPress sprechen könnte.

Manchmal führen wir auch selbst unabhängige Sicherheitsforschung durch. Beispielsweise hat ein Mitglied unseres Teams kürzlich eine Cross-Site Request Forgery (CSRF)-Schwachstelle im WordPress-Kern entdeckt, die inzwischen gepatcht wurde. Wir haben auch eine Reihe von Honeypots im Web, die Angriffe überwachen, was dazu geführt hat, dass wir 0-Day-Schwachstellen entdeckt haben.

6. Können Sie unseren Lesern erklären, wie eine Schwachstelle verifiziert wird, bevor Sie sie veröffentlichen? Oder gibt es einen Prozess, den Sie befolgen, um sicherzustellen, dass die gemeldeten Daten gültig und korrekt sind?

Meistens ist es offensichtlich, ob ein Schwachstellenbericht falsch ist oder nicht. Unser Expertenteam kann in der Regel schon durch das Lesen des Advisories feststellen, ob es technisch korrekt ist oder nicht. In anderen Fällen ist es nicht so einfach, und wir müssen die Schwachstelle selbst manuell überprüfen, indem wir die anfällige Version installieren und versuchen, sie auszunutzen.

Was uns am meisten Zeit kostet, ist die Sichtung von Schwachstellen. Wir möchten keine Informationen über Sicherheitslücken veröffentlichen, wenn dies nur Angreifern helfen soll. Wir möchten sicherstellen, dass der Plugin-Anbieter sich der Schwachstelle bewusst ist und einen Patch veröffentlicht hat, bevor wir die Details zu unserer Datenbank hinzufügen. Dies ist jedoch nicht immer der Fall, da einige Anbieter entweder nicht erreichbar sind oder sich nicht darum kümmern. In diesem Fall arbeiten wir eng mit dem Team des WordPress-Plugins zusammen, um es auf die Schwachstelle aufmerksam zu machen, damit es Maßnahmen zum Schutz der WordPress-Benutzer ergreifen kann.

Um sicherzustellen, dass dieser Prozess transparent ist, haben wir auch eine Offenlegungsrichtlinie, die umreißt, wie wir die erhaltenen Schwachstellendaten verarbeiten.

7. Basierend auf dem, was Sie bisher in der WP-Schwachstellendatenbank und dem WPScan-Projekt gesehen haben, was denken Sie über die Zukunft von WordPress-Sicherheit und sicherer Codierung (in Plugins, Themes) usw.?

Ich bin Optimist und denke, dass die Dinge besser werden. Heutzutage liegt der Fokus viel mehr auf der WordPress-Sicherheit und es sind viel mehr Lösungen verfügbar. Ich glaube nicht, dass wir jemals an einen Punkt kommen werden, an dem der WordPress-Kern, alle Plugins und alle Themes zu 100 % sicher sind, aber ich denke, wir können an einen Punkt kommen, an dem die meisten Plugins mit einer großen Installationsbasis sicher genug sind . Wir müssen nur weiter daran arbeiten.

8. Sie haben auch einen Hintergrund in der Entwicklung. Was sind deine drei wichtigsten Tipps für Entwickler von WordPress-Plugins und Themes?

1. Benutzereingaben validieren und Benutzerausgaben codieren. Verwenden Sie zum Beispiel die Funktionen esc_html(), esc_attr(), esc_url() von WordPress gründlich und an den richtigen Stellen.
2. Verwenden Sie beim Erstellen von SQL-Abfragen immer die Prepare()-Funktion.
3. Überprüfen Sie immer die Fähigkeiten eines Benutzers, bevor Sie gefährliche Funktionen ausführen.

9. Was sind Ihrer Meinung nach die drei wichtigsten Dinge oder Best Practices für die Sicherheit, die ein WordPress-Site-Administrator tun sollte, um die Site zu sichern und sicher zu halten?

1. Halten Sie Ihre WordPress-Version, Plugins und Themes auf dem neuesten Stand.
2. Installieren Sie ein Sicherheits-Plugin. Es gibt eine Menge guter da draußen, wählen Sie eine aus und verwenden Sie sie.
3. Verwenden Sie sichere Passwörter. Stellen Sie sicher, dass Ihr Passwort einzigartig und komplex ist. Dies kann zum Beispiel mit einem Passwort-Manager erreicht werden.

10. Sie haben eine lange Geschichte in der Sicherheitsbranche für Webanwendungen. Ich habe Sie vor ein paar Jahren durch DVWA kennengelernt. Können Sie unseren Lesern erklären, was DVWA ist und warum Sie es entwickelt haben?

Damn Vulnerable Web App (DVWA) war ein Open-Source-Projekt, das ich während meines Studiums erstellt habe, um mir selbst etwas über die Sicherheit von Webanwendungen beizubringen. Ich dachte, dass der beste Weg zum Lernen darin besteht, echte verwertbare Beispiele zu haben, die man verwenden kann. Später veröffentlichte ich es nach viel Hilfe von anderen online und es wurde sehr beliebt. Heute wird es von einem alten Freund von mir, Robin Wood ( @digininja ), geführt. Wenn Sie also Probleme bei der Installation haben, bin ich sicher, dass er Ihnen gerne weiterhilft.

11. Irgendwelche Tipps und / oder Ressourcen, die Sie an diejenigen weitergeben können, die Sie mögen und mehr über WordPress und Anwendungssicherheit erfahren möchten?

Twitter ist meiner Meinung nach eine der besten Ressourcen. Folgen Sie einigen Menschen, die diese Themen leben und atmen, und lernen Sie von ihnen. Einige Leute, denen ich empfehlen kann, sind @tnash , @Random_Robbie , @Viss , und es gibt noch so viele andere zu erwähnen. Es gibt auch eine großartige Facebook-WordPress-Sicherheitsgruppe, die sehr aktiv ist. Wenn Sie sich intensiv mit der Sicherheit von Webanwendungen befassen möchten, empfehle ich das Buch Web Application Hacker's Handbook.

12. Wie sieht die Zukunft des WPScan-Projekts aus? Was sind die Pläne?

Wir haben kürzlich die gesamte Schwachstellendatenbank-Website neu gestaltet und viel Mühe in das Backend dieser Schwachstellen-Verwaltung gesteckt. Unser WPScan-CLI-Tool ist sehr stabil, es gibt es seit 2011, daher muss es heutzutage kaum noch verbessert werden. Es ist geplant, weiterhin Zeit in die Erforschung von Sicherheitsproblemen in WordPress, seinen Plugins und Themes zu investieren, um sicherzustellen, dass unsere Schwachstellendatenbank immer auf dem neuesten Stand und genau ist. Wir wollen auch in Zukunft viel Mühe in unser WordPress-Sicherheits-Plugin stecken, wir glauben, dass uns dies helfen wird, im WordPress-Ökosystem bekannter zu werden.

13. Um andere zu inspirieren, können Sie uns bitte ein bisschen mehr über Ihre Reise und die Fallstricke erzählen, denen Sie in Ihrer Karriere begegnet sind, und was Ihnen geholfen hat, durchzukommen und den aktuellen Erfolg zu erzielen?

Ich habe in meiner Einführung ein wenig darüber gesprochen, aber hier werde ich über meine Fallstricke sprechen, wenn ich versuche, für einige der großen Technologieunternehmen zu arbeiten. Nach der Universität wollte ich für ein großes Technologieunternehmen arbeiten, weil ich dachte, das würde mir Glaubwürdigkeit gegenüber meinen Kollegen und meiner Familie verleihen. Ich habe bei Mozilla, Facebook, Google und sogar Automattic (den Machern von WordPress) sowie anderen interviewt. Und obwohl ich es geschafft habe, das Vorstellungsgespräch zu bekommen, bin ich immer durchgefallen und habe nie einen Job angeboten bekommen. Es ist schwer, über seine Fehler zu sprechen, aber ich glaube, dass es anderen helfen kann, zu erkennen, dass es Licht am Ende des Tunnels gibt, wenn man an seinen Träumen festhält.

Heute bin ich Miteigentümer meines eigenen profitablen und erfolgreichen Unternehmens, WPScan. Viele der Unternehmen, für die ich Interviews geführt habe und die gescheitert sind, sind jetzt unsere Kunden und im Fall von Automattic unsere Sponsoren, wofür wir sehr dankbar sind.

Manchmal im Leben gehst du vielleicht nicht genau den Weg, von dem du denkst, dass er dich zu deinen Träumen führt. Manchmal muss man seinen eigenen Lebensweg finden und den Grundstein legen, damit andere dem eigenen folgen können.

14. Vielen Dank für dieses Gespräch. Können Sie unseren Lesern bitte sagen, wo sie Sie online finden können?

Sicher! Ich twittere viel von @ethicalhack3r, Sie können auch dem offiziellen Twitter-Account von WPScan folgen.