Wawancara dengan Ryan Dewhurst, pendiri WPScan
Diterbitkan: 2021-01-05Ryan Dewhurst adalah peretas etis dan penguji penetrasi yang telah mendedikasikan bertahun-tahun dalam membantu orang-orang di komunitas WordPress meningkatkan postur keamanan situs web mereka dan melindungi mereka dari penyerang jahat.
Ryan adalah pendiri WPScan, pemindai keamanan WordPress kotak hitam gratis yang ditulis untuk profesional keamanan dan pengelola blog untuk menguji keamanan situs mereka. Alat CLI WPScan saat ini menggunakan database 21.875 kerentanan WordPress.
1. Bagi mereka yang tidak mengenal Anda, beri tahu kami apa yang Anda lakukan dan sedikit tentang masa lalu dan kredensial Anda.
Saya sudah tertarik pada komputer dan Internet selama yang saya ingat. Saya biasa pergi ke rumah tetangga, satu-satunya orang yang saya kenal yang memiliki komputer pada saat itu, untuk bermain solitaire di mesin Windows 95-nya. Dia bahkan tidak memiliki akses ke Internet, tetapi saya senang hanya berinteraksi dengan komputer.
Kemudian, di masa remaja saya, saya membujuk ibu saya untuk membelikan saya komputer saya sendiri, dan kali ini, dengan akses Internet! Kemampuan untuk berinteraksi dengan orang-orang dari seluruh dunia mengejutkan saya. Yahoo saat itu besar, dan mereka memiliki layanan yang disebut Yahoo! Chatting, dan dalam layanan itu mereka memiliki ruang obrolan yang disebut "Hacker's Lounge". Saya menghabiskan malam demi malam di ruang obrolan itu mencoba mempelajari apa yang dibicarakan semua orang, trojan, RAT, DoS, pemrograman umum, dan sebagainya.
Kemudian dalam hidup saya melihat bahwa universitas lokal akan mulai mengajar gelar sarjana dalam Peretasan Etis untuk Keamanan Komputer. Saya telah meninggalkan sekolah ketika saya berusia 15 tahun untuk mulai bekerja, jadi tidak memiliki kualifikasi apa pun. Persyaratan untuk kursus itu setidaknya tiga kualifikasi, termasuk Matematika dan Bahasa Inggris tingkat GCSE, yang tidak saya miliki. Jadi saya segera berhenti dari pekerjaan saya yang bergaji rendah dan memasukkan diri saya melalui kursus perguruan tinggi jalur cepat, yang gratis karena saya tidak menghasilkan banyak uang, untuk mendapatkan kualifikasi yang dibutuhkan. Bahkan dengan kualifikasinya, saya awalnya ditolak untuk mengikuti kursus, tetapi saya berhasil menemukan alamat email guru dan menulis cerita panjang kepadanya tentang bagaimana saya merasa kursus ini adalah satu-satunya hal yang ingin saya lakukan dalam hidup. Dan akhirnya, saya diterima di kursus! Setelah empat tahun saya menyelesaikan kursus dengan penghargaan kelas satu.
Setelah itu, saya mendapat pekerjaan di perusahaan pengujian penetrasi sebagai insinyur keamanan aplikasi web, tempat saya bekerja menguji banyak bisnis top Inggris untuk masalah keamanan. Saya meninggalkan pekerjaan ini untuk memulai perusahaan pengujian penetrasi saya sendiri, dan akhirnya WPScan, di mana saya sekarang.
2. Anda telah aktif di industri keamanan aplikasi web selama bertahun-tahun. Apa yang membuat Anda tertarik secara khusus pada WordPress?
Saya mulai blogging tentang pengalaman saya dan hal-hal yang saya pelajari tentang keamanan dan kebetulan menggunakan WordPress sebagai platform blogging pilihan saya. Suatu hari saya menemukan kerentanan keamanan yang diposting orang lain yang memengaruhi WordPress. Saat saya bekerja di bidang keamanan dan menggunakan WordPress sendiri, saya menulis eksploitasi kerentanan untuk diuji di situs web saya sendiri. Saya kemudian memulai lubang kelinci kelemahan keamanan lain yang mempengaruhi WordPress dan akhirnya memasukkan semua pengetahuan ini ke dalam alat yang saya sebut WPScan.
3. Banyak profesional keamanan aplikasi web memandang rendah WordPress. Saya telah berbicara dengan banyak orang yang mengatakan bahwa mereka tidak akan pernah menggunakan WordPress, atau bahwa cara kerjanya cacat (misalnya sebuah plugin memiliki akses penuh ke semua kait, dll.). Apa pendapat Anda tentang itu?
Karena WordPress sangat banyak digunakan di web, itu adalah target yang menarik bagi penyerang. Hal ini menyebabkan banyak peneliti keamanan dan peretas topi hitam mencari WordPress ketika masih dalam masa pertumbuhan. Karena WordPress belum matang seperti sekarang ini, banyak ditemukan masalah keamanan. Tapi hari ini, secara relatif, inti WordPress adalah Sistem Manajemen Konten (CMS) yang sangat aman. Masalahnya saat ini ada di dalam plugin pihak ketiganya. Ada begitu banyak dari mereka, yang menarik pengguna di tempat pertama, tetapi setiap plugin yang Anda instal juga menimbulkan risiko ekstra ke situs web Anda.
Tapi ini juga menjadi lebih baik, dengan perusahaan inovatif yang diciptakan untuk mengatasi masalah ini, dari pengalaman saya, seiring waktu, kami melihat plugin WordPress menjadi lebih aman. Hanya karena tingkat penelitian dan perusahaan yang didedikasikan untuk bidang ini sekarang.
4. Berkenaan dengan WPScan, ada pemindai sumber terbuka, plugin, basis data kerentanan, dll. Bisakah Anda menjelaskan bagaimana proyek-proyek ini terhubung bersama, yang mana yang harus digunakan pengguna dan mengapa?
Basis data kerentanan WPScan WordPress adalah yang menyatukan semua layanan kami. Semua produk dan layanan kami yang lain bergantung pada database, mereka adalah klien yang menggunakan data dan menyajikannya dengan cara yang berguna bagi pengguna kami.
Alat CLI WPScan adalah produk pertama kami, gratis digunakan untuk pengguna non-komersial, alat ini memindai situs web WordPress dari perspektif luar untuk memberikan pandangan peretas tentang situs web WordPress Anda. Tetapi alat ini mengharuskan pengguna untuk terbiasa menggunakan baris perintah dan terkadang tidak dapat langsung diinstal, tergantung pada tingkat teknis pengguna. Alat ini benar-benar dirancang untuk penguji dan pengembang penetrasi.
Tambahan terbaru kami untuk keluarga produk kami adalah plugin keamanan WPScan WordPress kami, ini dirancang lebih untuk pengguna WordPress Anda sehari-hari. Anda cukup menginstal plugin dari repositori resmi WordPress, mengonfigurasi token API Anda, mulai menjalankan pemindaian, dan mulai menerima pemberitahuan keamanan. Ide dari plugin ini adalah untuk membuat Anda mengetahui masalah keamanan sebelum peretas memiliki kesempatan untuk mengeksploitasinya.
5. Apa yang diperlukan untuk memelihara database plugin WordPress, tema, dan kerentanan inti? Bagaimana Anda mengetahui tentang isu-isu baru, bagaimana cara mempertahankannya?
Dibutuhkan banyak pekerjaan. Setiap kerentanan yang kami masukkan ke dalam basis data kami dilakukan oleh salah satu insinyur keamanan WordPress ahli kami, sehingga Anda dapat memiliki tingkat kepercayaan yang tinggi bahwa itu sebenarnya adalah kerentanan nyata, dan bukan kesalahan positif.
Kami menemukan kerentanan dari berbagai sumber. Kami memiliki sekelompok peneliti keamanan inti keras independen yang menemukan kerentanan di WordPress, plugin, atau tema, dan mengirimkannya kepada kami secara langsung. Kami juga terus memantau media sosial, forum, blog, situs web, dan mesin pencari untuk kata kunci tertentu yang dapat menjadi pembicaraan seseorang tentang kerentanan keamanan di WordPress.
Kami juga terkadang melakukan penelitian keamanan independen sendiri. Misalnya, anggota tim kami baru-baru ini menemukan kerentanan Pemalsuan Permintaan Lintas Situs (CSRF) di inti WordPress, yang sejak itu telah ditambal. Kami juga memiliki sejumlah honeypots pada serangan pemantauan web, yang menyebabkan kami menemukan kerentanan 0-hari.
6. Bisakah Anda menjelaskan kepada pembaca kami bagaimana proses verifikasi kerentanan sebelum Anda mempublikasikannya? Atau adakah proses yang Anda ikuti untuk memastikan data yang dilaporkan valid dan benar?
Sebagian besar waktu jelas apakah laporan kerentanan salah atau tidak. Tim ahli kami biasanya dapat mengetahui hanya dengan membaca nasihat, apakah itu benar secara teknis, atau tidak. Di lain waktu, ini tidak mudah, dan kami harus memverifikasi sendiri kerentanan secara manual dengan menginstal versi yang rentan dan mencoba mengeksploitasinya.
Hal yang paling memakan waktu bagi kami adalah triase kerentanan. Kami tidak ingin merilis informasi tentang kerentanan jika itu hanya akan membantu penyerang. Kami ingin memastikan bahwa vendor plugin mengetahui kerentanan dan mendorong tambalan sebelum kami menambahkan detail ke database kami. Namun, hal ini tidak selalu terjadi, karena beberapa vendor tidak dapat dihubungi, atau tidak peduli. Dalam hal ini, kami bekerja sama dengan tim plugin WordPress untuk membuat mereka menyadari kerentanan sehingga mereka dapat mengambil tindakan untuk melindungi pengguna WordPress.
Untuk memastikan proses ini transparan, kami juga memiliki kebijakan pengungkapan publik yang menguraikan cara kami memproses data kerentanan yang kami terima.
7. Berdasarkan apa yang telah Anda lihat sejauh ini di database kerentanan WP dan proyek WPScan, apa pendapat Anda tentang masa depan keamanan WordPress dan pengkodean aman (dalam plugin, tema), dll.?
Saya seorang optimis dan saya pikir segalanya menjadi lebih baik. Ada lebih banyak fokus pada keamanan WordPress saat ini, dan lebih banyak solusi yang tersedia. Saya tidak berpikir kita akan pernah sampai ke titik di mana inti WordPress, semua plugin dan semua tema 100% aman, tapi saya pikir kita bisa sampai ke titik di mana sebagian besar plugin dengan basis instalasi besar cukup aman. . Kita hanya harus terus memotongnya.
8. Anda juga memiliki latar belakang pengembangan. Apa tiga tip teratas Anda untuk plugin WordPress dan pengembang tema?
- Memvalidasi input pengguna dan mengkodekan output pengguna. Misalnya, gunakan esc_html() WordPress, esc_attr(), esc_url(), berfungsi secara menyeluruh dan di tempat yang benar.
- Selalu gunakan fungsi prepare() saat membuat kueri SQL.
- Selalu periksa kemampuan pengguna sebelum menjalankan fungsi berbahaya.
9. Menurut Anda, apa tiga hal terpenting, atau praktik terbaik keamanan yang harus dilakukan oleh admin situs WordPress untuk mengamankan situs dan menjaganya tetap aman?
- Perbarui versi, plugin, dan tema WordPress Anda.
- Instal plugin keamanan. Ada banyak sekali yang bagus di luar sana, pilih satu dan gunakan.
- Gunakan kata sandi yang aman. Pastikan kata sandi Anda unik dan kompleks. Ini dapat dicapai dengan pengelola kata sandi misalnya.
10. Anda memiliki sejarah panjang dalam industri keamanan aplikasi web. Saya mengenal Anda beberapa tahun yang lalu melalui DVWA. Bisakah Anda menjelaskan kepada pembaca kami apa itu DVWA, dan mengapa Anda mengembangkannya?
Damn Vulnerable Web App (DVWA) adalah proyek Open Source yang saya buat saat di universitas untuk membantu mengajari diri saya sendiri tentang keamanan aplikasi web. Saya pikir cara terbaik untuk belajar adalah memiliki contoh nyata yang dapat dieksploitasi untuk digunakan. Saya kemudian merilisnya secara online setelah banyak bantuan dari orang lain dan menjadi sangat populer. Hari ini dikelola oleh teman lama saya Robin Wood ( @digininja ). Jadi jika Anda memiliki masalah saat menginstalnya, saya yakin dia akan dengan senang hati membantu.
11. Adakah tips dan/atau sumber yang dapat Anda bagikan kepada mereka yang menyukai Anda, ingin mempelajari lebih lanjut tentang WordPress dan keamanan aplikasi?
Twitter adalah salah satu sumber daya terbaik menurut saya. Ikuti beberapa orang yang hidup dan menghirup topik-topik itu dan belajar darinya. Beberapa orang yang saya rekomendasikan untuk diikuti adalah @tnash , @Random_Robbie , @Viss , dan masih banyak lagi yang lainnya. Ada juga grup keamanan WordPress Facebook yang sangat aktif. Jika Anda ingin masuk jauh ke dalam keamanan aplikasi web, saya akan merekomendasikan buku Buku Pegangan Peretas Aplikasi Web.
12. Seperti apa masa depan proyek WPScan? Apa rencananya?
Kami baru-baru ini mendesain ulang seluruh situs web basis data kerentanan dan melakukan banyak upaya di bagian belakangnya, untuk mengelola kerentanan. Alat CLI WPScan kami sangat stabil, sudah ada sejak 2011, sehingga perlu sedikit perbaikan saat ini. Rencananya adalah untuk terus menginvestasikan waktu dalam meneliti masalah keamanan di WordPress, plugin dan temanya, untuk dapat memastikan bahwa basis data kerentanan kami selalu diperbarui dan akurat. Kami juga ingin melakukan banyak upaya ke dalam plugin keamanan WordPress kami ke depan, kami percaya bahwa ini akan membantu kami menjadi lebih dikenal di ekosistem WordPress.
13. Untuk membantu menginspirasi orang lain, dapatkah Anda memberi tahu kami sedikit lebih banyak tentang perjalanan Anda, dan sedikit lebih banyak tentang perangkap yang Anda temui selama karier Anda dan apa yang membantu Anda melewati dan mencapai kesuksesan saat ini?
Saya berbicara sedikit tentang ini dalam pendahuluan saya, tetapi di sini saya akan berbicara tentang perangkap saya dalam mencoba bekerja untuk beberapa perusahaan teknologi besar. Setelah universitas, saya ingin bekerja untuk perusahaan teknologi besar, saya pikir ini akan memberi saya kredibilitas kepada rekan-rekan dan keluarga saya. Saya mewawancarai di Mozilla, Facebook, Google dan bahkan Automattic (pencipta WordPress), serta yang lainnya. Dan meskipun saya berhasil mendapatkan wawancara, saya selalu gagal dan tidak pernah ditawari pekerjaan. Sulit untuk membicarakan kegagalan Anda, tetapi saya percaya itu dapat membantu orang lain melihat bahwa ada cahaya di ujung terowongan jika Anda bertahan dalam mimpi Anda.
Hari ini, saya memiliki bisnis saya sendiri yang menguntungkan dan sukses, WPScan. Banyak perusahaan yang saya wawancarai dan gagal sekarang menjadi klien kami, dan dalam kasus Automattic, sponsor kami, yang sangat kami syukuri.
Terkadang dalam hidup Anda mungkin tidak berjalan di jalan yang Anda pikir akan membawa Anda ke impian Anda. Terkadang Anda harus membuat jalan Anda sendiri dalam hidup, dan meletakkan dasar agar orang lain mengikuti jalan Anda.
14. Terima kasih banyak atas wawancara ini. Bisakah Anda memberi tahu pembaca kami di mana mereka dapat menemukan Anda secara online?
Tentu! Saya banyak tweet dari @ethicalhack3r, Anda juga dapat mengikuti akun Twitter resmi WPScan.