Entrevista con Ryan Dewhurst, fundador de WPScan

Ryan Dewhurst es un hacker ético y probador de penetración que ha dedicado muchos años a ayudar a las personas de la comunidad de WordPress a mejorar la postura de seguridad de sus sitios web y protegerlos de atacantes maliciosos.

Ryan es el fundador de WPScan, un escáner de seguridad de WordPress de caja negra gratuito escrito para profesionales de seguridad y mantenedores de blogs para probar la seguridad de sus sitios. La herramienta WPScan CLI utiliza actualmente una base de datos de 21 875 vulnerabilidades de WordPress.

1. Para los que no te conocen, cuéntanos a qué te dedicas y un poco de tu pasado y credenciales.

He estado interesado en las computadoras e Internet desde que tengo memoria. Solía ​​ir a la casa de un vecino, la única persona que conocía que tenía una computadora en ese momento, para jugar al solitario en su máquina con Windows 95. Ni siquiera tenía acceso a Internet, pero yo estaba feliz simplemente interactuando con la computadora.

Más tarde, en mi adolescencia, persuadí a mi madre para que me comprara mi propia computadora, y esta vez, ¡con acceso a Internet! La capacidad de interactuar con personas de todo el mundo me dejó alucinado. Yahoo era grande en ese entonces y tenían un servicio llamado Yahoo! Chat, y en ese servicio tenían una sala de chat llamada “Hacker's Lounge”. Pasé noches y noches en esa sala de chat tratando de aprender sobre lo que todos estaban hablando, troyanos, RAT, DoS, programación general, etc.

Más adelante vi que la universidad local iba a comenzar a impartir una licenciatura en Ethical Hacking for Computer Security. Dejé la escuela cuando tenía 15 años para empezar a trabajar, así que no tenía ningún título. Los requisitos para el curso eran al menos tres calificaciones, incluido el nivel GCSE de Matemáticas e Inglés, que no tenía. Así que de inmediato renuncié a mi trabajo mal remunerado y me inscribí en un curso universitario acelerado, que era gratuito porque no ganaba mucho dinero, para obtener las calificaciones requeridas. Incluso con las calificaciones, inicialmente me rechazaron para unirme al curso, pero logré encontrar la dirección de correo electrónico del maestro y le escribí una larga historia sobre cómo sentí que este curso era lo único que quería hacer en la vida. Y finalmente, ¡me aceptaron en el curso! Después de cuatro años terminé el curso con una calificación de primera clase.

Después de eso, conseguí un trabajo para una empresa de pruebas penetrantes como ingeniero de seguridad de aplicaciones web, donde trabajé probando muchas de las principales empresas del Reino Unido en busca de problemas de seguridad. Dejé este trabajo para comenzar mi propia empresa de pruebas de penetración y, finalmente, WPScan, donde estoy ahora.

2. Ha estado activo en la industria de seguridad de aplicaciones web durante años. ¿Qué te interesó específicamente en WordPress?

Empecé a escribir blogs sobre mis experiencias y las cosas que había aprendido sobre seguridad y resultó que usé WordPress como mi plataforma de blogs preferida. Un día me encontré con una vulnerabilidad de seguridad que alguien más había publicado y que afectaba a WordPress. Como trabajaba en seguridad y usaba WordPress yo mismo, escribí un exploit para probar la vulnerabilidad en mi propio sitio web. Luego comencé a investigar otras debilidades de seguridad que afectaban a WordPress y eventualmente puse todo este conocimiento en una herramienta que llamé WPScan.

3. Muchos profesionales de seguridad de aplicaciones web menosprecian WordPress. He hablado con muchos que dicen que nunca usarían WordPress, o que la forma en que funciona es defectuosa (por ejemplo, un complemento tiene acceso completo a todos los ganchos, etc.). ¿Cuáles son tus pensamientos sobre eso?

Como WordPress se usa tanto en la web, es un objetivo jugoso para los atacantes. Esto llevó a muchos investigadores de seguridad y piratas informáticos de sombrero negro a investigar WordPress cuando aún estaba en su infancia. Como WordPress no era tan maduro como lo es hoy, se encontraron muchos problemas de seguridad. Pero hoy, en términos relativos, el núcleo de WordPress es un sistema de gestión de contenido (CMS) muy seguro. El problema hoy en día está dentro de sus complementos de terceros. Hay tantos de ellos, que es lo que atrae a los usuarios en primer lugar, pero todos y cada uno de los complementos que instala también presentan un riesgo adicional para su sitio web.

Pero esto también está mejorando, con la creación de empresas innovadoras para abordar este problema, según mi experiencia, con el tiempo, estamos viendo que los complementos de WordPress se vuelven más seguros. Simplemente por el nivel de investigación y empresas que se dedican a esta área ahora.

4. Con respecto a WPScan, hay un escáner de código abierto, el complemento, la base de datos de vulnerabilidades, etc. ¿Puede explicar cómo se conectan estos proyectos, cuál deberían usar los usuarios y por qué?

La base de datos de vulnerabilidades de WPScan WordPress es lo que une todos nuestros servicios. Todos nuestros otros productos y servicios se basan en la base de datos, son clientes que consumen los datos y los presentan de una manera útil para nuestros usuarios.

La herramienta WPScan CLI fue nuestro primer producto, de uso gratuito para usuarios no comerciales, escanea un sitio web de WordPress desde una perspectiva externa para brindar una vista de hacker de su sitio web de WordPress. Pero esta herramienta requiere que los usuarios estén familiarizados con el uso de una línea de comandos y, a veces, puede no ser fácil de instalar, según el nivel técnico del usuario. Esta herramienta está realmente diseñada para probadores de penetración y desarrolladores.

Nuestra última incorporación a nuestra familia de productos es nuestro complemento de seguridad WPScan WordPress, que está diseñado más para su usuario diario de WordPress. Simplemente instale el complemento desde el repositorio oficial de WordPress, configure su token API, comience a ejecutar escaneos y comience a recibir notificaciones de seguridad. La idea del complemento es informarle sobre los problemas de seguridad antes de que los piratas informáticos tengan la oportunidad de explotarlos.

5. ¿Qué se necesita para mantener una base de datos de complementos, temas y vulnerabilidades principales de WordPress? ¿Cómo se entera de nuevos temas, cómo se mantiene?

Se necesita mucho trabajo. Cada vulnerabilidad que ingresamos en nuestra base de datos la realiza uno de nuestros ingenieros expertos en seguridad de WordPress, por lo que puede tener un alto grado de confianza de que, de hecho, es una vulnerabilidad real y no un falso positivo.

Encontramos vulnerabilidades de una amplia gama de fuentes. Tenemos un grupo de investigadores independientes de seguridad que encuentran vulnerabilidades en WordPress, complementos o temas, y nos los envían directamente. También monitoreamos constantemente las redes sociales, foros, blogs, sitios web y motores de búsqueda en busca de ciertas palabras clave que podrían ser alguien que habla de una vulnerabilidad de seguridad en WordPress.

A veces también llevamos a cabo investigaciones de seguridad independientes nosotros mismos. Por ejemplo, un miembro de nuestro equipo descubrió recientemente una vulnerabilidad de falsificación de solicitud entre sitios (CSRF) en el núcleo de WordPress, que desde entonces se ha parcheado. También tenemos una serie de trampas en la web que monitorean los ataques, lo que nos ha llevado a descubrir vulnerabilidades de día cero.

6. ¿Puede explicar a nuestros lectores cuál es el proceso de verificación de una vulnerabilidad antes de publicarla? ¿O hay algún proceso que siga para garantizar que los datos informados sean válidos y correctos?

La mayoría de las veces es obvio si un informe de vulnerabilidad es falso o no. Nuestro equipo de expertos generalmente puede saber con solo leer el aviso, si es técnicamente correcto o no. Otras veces, no es tan fácil y tenemos que verificar manualmente la vulnerabilidad nosotros mismos instalando la versión vulnerable e intentando explotarla.

Lo que más tiempo nos lleva es el triaje de vulnerabilidades. No queremos divulgar información sobre vulnerabilidades si solo es para ayudar a los atacantes. Queremos asegurarnos de que el proveedor del complemento esté al tanto de la vulnerabilidad y haya lanzado un parche antes de agregar los detalles a nuestra base de datos. Pero este no es siempre el caso, ya que algunos proveedores no son localizables o no les importa. En ese caso, trabajamos en estrecha colaboración con el equipo del complemento de WordPress para informarles sobre la vulnerabilidad para que puedan tomar medidas para proteger a los usuarios de WordPress.

Para asegurarnos de que este proceso sea transparente, también tenemos una política de divulgación pública que describe cómo procesamos los datos de vulnerabilidad que recibimos.

7. Según lo que ha visto hasta ahora en la base de datos de vulnerabilidades de WP y el proyecto WPScan, ¿qué piensa sobre el futuro de la seguridad de WordPress y la codificación segura (en complementos, temas), etc.?

Soy optimista y creo que las cosas están mejorando. Hay mucho más enfoque en la seguridad de WordPress hoy en día, y muchas más soluciones disponibles. No creo que alguna vez lleguemos a un punto en el que el núcleo de WordPress, todos los complementos y todos los temas sean 100% seguros, pero sí creo que podemos llegar a un punto en el que la mayoría de los complementos con una gran base de instalación sean lo suficientemente seguros. . Solo tenemos que seguir desmenuzándolo.

8. También tienes experiencia en desarrollo. ¿Cuáles son sus tres mejores consejos para los desarrolladores de plugins y temas de WordPress?

1. Valide la entrada del usuario y codifique la salida del usuario. Por ejemplo, use las funciones esc_html(), esc_attr(), esc_url() de WordPress a fondo y en los lugares correctos.
2. Utilice siempre la función prepare() al crear consultas SQL.
3. Siempre verifique las capacidades de un usuario antes de ejecutar funciones peligrosas.

9. En su opinión, ¿cuáles son las tres cosas más importantes o las mejores prácticas de seguridad que un administrador del sitio de WordPress debe hacer para proteger el sitio y mantenerlo seguro?

1. Mantén tu versión, plugins y temas de WordPress actualizados.
2. Instale un complemento de seguridad. Hay un montón de buenos por ahí, elige uno y úsalo.
3. Utilice contraseñas seguras. Asegúrese de que su contraseña sea única y compleja. Esto se puede lograr con un administrador de contraseñas, por ejemplo.

10. Tiene una larga trayectoria en la industria de la seguridad de aplicaciones web. Te conocí hace unos años a través de DVWA. ¿Puede explicar a nuestros lectores qué es DVWA y por qué lo desarrolló?

Damn Vulnerable Web App (DVWA) fue un proyecto de código abierto que creé mientras estaba en la universidad para ayudarme a aprender sobre la seguridad de las aplicaciones web. Pensé que la mejor manera de aprender sería tener ejemplos explotables reales para usar. Más tarde lo lancé en línea después de mucha ayuda de otros y se hizo muy popular. Hoy lo administra un viejo amigo mío, Robin Wood ( @digininja ). Entonces, si tiene algún problema para instalarlo, estoy seguro de que estará encantado de ayudarlo.

11. ¿Algún consejo y/o recurso que pueda compartir con quienes, como usted, quisieran obtener más información sobre WordPress y la seguridad de las aplicaciones?

Twitter es uno de los mejores recursos en mi opinión. Sigue a algunas personas que viven y respiran esos temas y aprende de ellos. Algunas personas a las que recomiendo seguir son @tnash , @Random_Robbie , @Viss , y hay muchas otras para mencionar. También hay un gran grupo de seguridad de Facebook WordPress que es muy activo. Si desea profundizar en la seguridad de las aplicaciones web, le recomendaría el Manual del hacker de aplicaciones web.

12. ¿Cómo es el futuro del proyecto WPScan? ¿Cuáles son los planes?

Recientemente rediseñamos todo el sitio web de la base de datos de vulnerabilidades y pusimos mucho esfuerzo en el backend de eso, para administrar las vulnerabilidades. Nuestra herramienta WPScan CLI es muy estable, existe desde 2011, por lo que necesita pocas mejoras en la actualidad. El plan es continuar invirtiendo tiempo en la investigación de problemas de seguridad en WordPress, sus complementos y temas, para poder garantizar que nuestra base de datos de vulnerabilidades se mantenga siempre actualizada y precisa. También queremos esforzarnos mucho en nuestro complemento de seguridad de WordPress en el futuro, creemos que esto nos ayudará a ser más conocidos en el ecosistema de WordPress.

13. Para ayudar a inspirar a otros, ¿puede contarnos un poco más sobre su viaje y un poco más sobre las trampas que encontró a lo largo de su carrera y qué lo ayudó a salir adelante y lograr el éxito actual?

Hablé un poco sobre esto en mi introducción, pero aquí hablaré sobre mis dificultades al tratar de trabajar para algunas de las grandes empresas de tecnología. Después de la universidad, quería trabajar para una gran empresa de tecnología, pensé que esto me daría credibilidad ante mis compañeros y mi familia. Acudí a una entrevista en Mozilla, Facebook, Google e incluso Automattic (los creadores de WordPress), entre otros. Y aunque logré conseguir la entrevista, siempre les fallaba y nunca me ofrecieron un trabajo. Es difícil hablar de tus fracasos, pero creo que puede ayudar a otros a ver que hay luz al final del túnel si persistes en tus sueños.

Hoy, soy copropietario de mi propio negocio rentable y exitoso, WPScan. Muchas de las empresas para las que entrevisté y fracasé ahora son nuestros clientes y, en el caso de Automattic, nuestros patrocinadores, por lo que estamos muy agradecidos.

A veces en la vida es posible que no sigas el camino exacto que crees que te llevará a tus sueños. A veces tienes que crear tu propio camino en la vida y sentar las bases para que otros sigan el tuyo.

14. Muchas gracias por esta entrevista. ¿Puede decir a nuestros lectores dónde pueden encontrarlo en línea?

¡Seguro! Tuiteo mucho desde @ethicalhack3r, también puedes seguir la cuenta oficial de Twitter de WPScan.