WordPress och säkerhet inom tillägg från tredje parter
Skydda mot SQL-injection och Cross Site Scripting. Fallstudie av tre tillägg.
WordPress är ett av världens mest populära Content Management System. Eftersom det har en hög popularitet drar det till sig uppmärksamhet från personer och grupper som av olika anledningar vill utnyttja säkerhetsbrister på webbsidor. Syftet med denna uppsats är att testa säkerheten i olika tillägg till WordPress som externa utvecklare skapat eftersom dessa inte genomgår någon obligatorisk säkerhetskontroll. Insamlingen av data skedde via ett utförande av statiska tester på några utvalda tillägg. Denna teknik grundar sig i en granskning och analys av dokument i form av text, modeller eller kod. Genom en granskning av olika tillägg undersöktes hur utvecklarna sköter säkerhet, validering och sanitering av data som skickas med kontaktformulär. Data samlades också genom att genomföra dynamiska tester som utförde attacker med SQLl injection och XSS (cross-site scripting) med hjälp av två penetrationstestningsverktyg. WordPress och PHP, det språk som WordPress till stor del är byggt i, tillhandahåller en mängd funktioner och metoder för att säkra data som skickas med formulär. Utvecklarna av tilläggen använder dessa väl och testerna på både de statiska och dynamiska testerna visade inte några säkerhetsbrister i något av tilläggen.