Baza wiedzy: Politechnika Warszawska

Ustawienia i Twoje konto

Powrót

Analiza bezpieczeństwa platformy WordPress

Grzegorz Marczak

Abstract

This engineering thesis aims to present changes to the standard version of Wordpress in order to increase its security level. Its implementation consists in proposing administra- tive solutions and implementing changes that will make this CMS additionally protected. The effectiveness of the proposed changes was also assessed on the basis of vulnerability tests. The theoretical part introduces the basic concepts of website security and provides in- formation about Wordpress itself and about its threats. The OWASP Foundation's "Top 10 Web Application Security Risks" classification is described here, which provides infor- mation on the Top 10 types of website threats. Wordpress was presented as the most popu- lar CMS system in the world, its advantages and threats, as well as a description of an ex- emplary hacking attack. The practical part describes a number of steps that should be taken to properly secure a website based on Wordpress. The scope of activities, which is presented, concerns such basic things as choosing the right hosting, installing an SSL certificate, updates, backups or proper file protection. Additionally, as part of the hardening of this system, a number of modifications have been described in Wordpress itself, as well as on the server and data- base, which are to additionally secure it. So that its protection is not only based on standard settings and to prevent a potential attacker from identifying which systems he uses and to prevent attacks on the most sensitive parts of this system. In the next part of the thesis, the vulnerability tests were carried out using the WPScan program. Three versions of Wordpress were analyzed: 4.9 - as an outdated version, 5.8 - current and version 5.8 after modifications. The results of these tests were presented and described together with an evaluation of the changes made.
Rodzaj dyplomu
Praca inżynierska / licencjacka
Typ dyplomu
Praca inżynierska
Autor
Grzegorz Marczak (WE) Grzegorz Marczak Wydział Elektryczny (WE)
Tytuł w języku polskim
Analiza bezpieczeństwa platformy WordPress
Promotor
Bartosz Sawicki (WE/IETSIP) Bartosz Sawicki Instytut Elektrotechniki Teoretycznej i Systemów Informacyjno-Pomiarowych (WE/IETSIP)Wydział Elektryczny (WE)
Jednostka dyplomująca
Wydział Elektryczny (WE)
Jednostka prowadząca
Instytut Elektrotechniki Teoretycznej i Systemów Informacyjno-Pomiarowych (WE/IETSIP)
Kierunek / specjalność studiów
Informatyka Stosowana
Język
pol (pl) polski
Status pracy
Obroniona
Data obrony
19-01-2022
Data (rok) wydania
2022
Recenzenci
Bartosz Sawicki (WE/IETSIP) Bartosz Sawicki Instytut Elektrotechniki Teoretycznej i Systemów Informacyjno-Pomiarowych (WE/IETSIP)Wydział Elektryczny (WE) Marek Wdowiak (WE/IETSIP) Marek Wdowiak Instytut Elektrotechniki Teoretycznej i Systemów Informacyjno-Pomiarowych (WE/IETSIP)Wydział Elektryczny (WE)
Słowa kluczowe w języku polskim
Wordpress, CMS, OWASP, cyberbezpieczeństwo, OWASP, WPScan, Hardening
Słowa kluczowe w języku angielskim
Wordpress, CMS, OWASP, cybersecurity, OWASP, WPScan, Hardening
Streszczenie w języku polskim
elem pracy inżynierskiej jest przedstawienie zmian w standardowej wersji Wordpress-a w celu zwiększenie jego poziomu bezpieczeństwa. Jego realizacja polega na zaproponowaniu rozwiązań administracyjnych oraz wdrożenie zmian, które spowoduję, że ten CMS będzie dodatkowo chroniony. Przeprowadzono również ocenę skuteczności za- proponowanych zmian na podstawie testów podatności. Część teoretyczna przybliża podstawowe pojęcia z bezpieczeństwem stron inter- netowych oraz dostarcza informacji o samym Wordpress-ie jak i o jego zagrożeniach. Zo- stała tutaj opisana klasyfikacja fundacji OWASP: „Top 10 Web Application Security Risks”, która zawiera informacje o 10 najczęstszych rodzajach zagrożeń dla stron interne- towych. Przedstawiono także Wordpress jak najpopularniejszy na świecie system CMS, jego zalety a także zagrożenia jakim podlega oraz opis przykładowego ataku. W części praktycznej opisany jest szereg czynności jaki należy wykonać aby od- powiednio zabezpieczyć stronę internetową działająca w oparciu o Wordpress-a. Zakres działań, który przedstawiono dotyczy tak podstawowych rzeczy jak wybór odpowiedniego hostingu, instalacja certyfikatu SSL, aktualizacje, kopie zapasowe czy odpowiednie zabez- pieczenie plików. Dodatkowo w ramach hardeningu tego systemu opisano szereg modyfi- kacji w samym Wordpress-ie jak i na serwerze i bazie danych, które mają go dodatkowo zabezpieczyć. Aby jego ochrona nie opierała się tylko na standardowych ustawieniach oraz żeby uniemożliwić potencjalnemu atakującemu identyfikację z jakich systemów korzysta oraz uniemożliwić atak na najbardziej newralgiczne części tego systemu. W kolejnej części pracy przeprowadzono testy podatności za pomocą programu WPScan. Analizie poddano 3 wersje Wordpressa: 4.9 – jako wersja nieaktualna, 5.8- aktu- alna oraz wersja 5.8 po przeprowadzonych modyfikacjach. Przedstawiono i opisano wyniki tych testów wraz z oceną przeprowadzonych zmian.
Plik pracy
  • Plik: 1
    PD_214_264813_-_Grzegorz_Marczak.pdf
Poproś o plik WCAG
Pola lokalne
Identyfikator pracy APD: 51046

Jednolity identyfikator zasobu
https://repo.pw.edu.pl/info/bachelor/WUT6b457b501ed04a008e96f59a6147662d/
URN
urn:pw-repo:WUT6b457b501ed04a008e96f59a6147662d

Potwierdzenie
Czy jesteś pewien?
Zgłoszenie uwag dotyczących tej strony
Schowek