Knowledge base: Warsaw University of Technology

Settings and your account

Back

Security analysis of WordPress platform

Grzegorz Marczak

Abstract

This engineering thesis aims to present changes to the standard version of Wordpress in order to increase its security level. Its implementation consists in proposing administra- tive solutions and implementing changes that will make this CMS additionally protected. The effectiveness of the proposed changes was also assessed on the basis of vulnerability tests. The theoretical part introduces the basic concepts of website security and provides in- formation about Wordpress itself and about its threats. The OWASP Foundation's "Top 10 Web Application Security Risks" classification is described here, which provides infor- mation on the Top 10 types of website threats. Wordpress was presented as the most popu- lar CMS system in the world, its advantages and threats, as well as a description of an ex- emplary hacking attack. The practical part describes a number of steps that should be taken to properly secure a website based on Wordpress. The scope of activities, which is presented, concerns such basic things as choosing the right hosting, installing an SSL certificate, updates, backups or proper file protection. Additionally, as part of the hardening of this system, a number of modifications have been described in Wordpress itself, as well as on the server and data- base, which are to additionally secure it. So that its protection is not only based on standard settings and to prevent a potential attacker from identifying which systems he uses and to prevent attacks on the most sensitive parts of this system. In the next part of the thesis, the vulnerability tests were carried out using the WPScan program. Three versions of Wordpress were analyzed: 4.9 - as an outdated version, 5.8 - current and version 5.8 after modifications. The results of these tests were presented and described together with an evaluation of the changes made.
Diploma type
Engineer's / Bachelor of Science
Diploma type
Engineer's thesis
Author
Grzegorz Marczak (FoEE) Grzegorz Marczak,, Faculty of Electrical Engineering (FoEE)
Title in Polish
Analiza bezpieczeństwa platformy WordPress
Supervisor
Bartosz Sawicki (FoEE/ITEEMIS) Bartosz Sawicki,, The Institute of the Theory of Electrical Engineering, Measurement and Information Systems (FoEE/ITEEMIS)Faculty of Electrical Engineering (FoEE)
Certifying unit
Faculty of Electrical Engineering (FoEE)
Affiliation unit
The Institute of the Theory of Electrical Engineering, Measurement and Information Systems (FoEE/ITEEMIS)
Study subject / specialization
Informatyka Stosowana
Language
pol (pl) Polish
Status
Finished
Defense Date
19-01-2022
Issue date (year)
2022
Reviewers
Bartosz Sawicki (FoEE/ITEEMIS) Bartosz Sawicki,, The Institute of the Theory of Electrical Engineering, Measurement and Information Systems (FoEE/ITEEMIS)Faculty of Electrical Engineering (FoEE) Marek Wdowiak (FoEE/ITEEMIS) Marek Wdowiak,, The Institute of the Theory of Electrical Engineering, Measurement and Information Systems (FoEE/ITEEMIS)Faculty of Electrical Engineering (FoEE)
Keywords in Polish
Wordpress, CMS, OWASP, cyberbezpieczeństwo, OWASP, WPScan, Hardening
Keywords in English
Wordpress, CMS, OWASP, cybersecurity, OWASP, WPScan, Hardening
Abstract in Polish
elem pracy inżynierskiej jest przedstawienie zmian w standardowej wersji Wordpress-a w celu zwiększenie jego poziomu bezpieczeństwa. Jego realizacja polega na zaproponowaniu rozwiązań administracyjnych oraz wdrożenie zmian, które spowoduję, że ten CMS będzie dodatkowo chroniony. Przeprowadzono również ocenę skuteczności za- proponowanych zmian na podstawie testów podatności. Część teoretyczna przybliża podstawowe pojęcia z bezpieczeństwem stron inter- netowych oraz dostarcza informacji o samym Wordpress-ie jak i o jego zagrożeniach. Zo- stała tutaj opisana klasyfikacja fundacji OWASP: „Top 10 Web Application Security Risks”, która zawiera informacje o 10 najczęstszych rodzajach zagrożeń dla stron interne- towych. Przedstawiono także Wordpress jak najpopularniejszy na świecie system CMS, jego zalety a także zagrożenia jakim podlega oraz opis przykładowego ataku. W części praktycznej opisany jest szereg czynności jaki należy wykonać aby od- powiednio zabezpieczyć stronę internetową działająca w oparciu o Wordpress-a. Zakres działań, który przedstawiono dotyczy tak podstawowych rzeczy jak wybór odpowiedniego hostingu, instalacja certyfikatu SSL, aktualizacje, kopie zapasowe czy odpowiednie zabez- pieczenie plików. Dodatkowo w ramach hardeningu tego systemu opisano szereg modyfi- kacji w samym Wordpress-ie jak i na serwerze i bazie danych, które mają go dodatkowo zabezpieczyć. Aby jego ochrona nie opierała się tylko na standardowych ustawieniach oraz żeby uniemożliwić potencjalnemu atakującemu identyfikację z jakich systemów korzysta oraz uniemożliwić atak na najbardziej newralgiczne części tego systemu. W kolejnej części pracy przeprowadzono testy podatności za pomocą programu WPScan. Analizie poddano 3 wersje Wordpressa: 4.9 – jako wersja nieaktualna, 5.8- aktu- alna oraz wersja 5.8 po przeprowadzonych modyfikacjach. Przedstawiono i opisano wyniki tych testów wraz z oceną przeprowadzonych zmian.
File
  • File: 1
    PD_214_264813_-_Grzegorz_Marczak.pdf
Request a WCAG compliant version
Local fields
Identyfikator pracy APD: 51046

Uniform Resource Identifier
https://repo.pw.edu.pl/info/bachelor/WUT6b457b501ed04a008e96f59a6147662d/
URN
urn:pw-repo:WUT6b457b501ed04a008e96f59a6147662d

Confirmation
Are you sure?
Report incorrect data on this page
clipboard