Systemy CMS (Content Management Systems)
Systemy CMS to oprogramowanie umożliwiające tworzenie i zarządzanie stronami internetowymi bez potrzeby programowania. Dzięki nim można dodawać treści, edytować wygląd i zarządzać użytkownikami poprzez prosty panel administracyjny.
Powierzchnia ataku systemów CMS
Systemy zarządzania treścią (CMS), takie jak WordPress, Joomla, Statamic, Drupal, Magento czy Shopify, udostępniają zewnętrzne ścieżki i pliki, które stanowią punkty wejścia do aplikacji. Dla administratorów są one niezbędne do logowania, zarządzania czy integracji, ale dla atakujących stają się cennym źródłem informacji. Znajomość typowych endpointów pozwala na enumerację użytkowników, testowanie mechanizmów logowania, a w przypadku błędnej konfiguracji – nawet uzyskanie nieautoryzowanego dostępu. W tej części przedstawiono najbardziej charakterystyczne ścieżki CMS-ów wraz z ich znaczeniem i potencjalnymi zagrożeniami.
📂 Główne ścieżki administracyjne
- /wp-admin/ → panel administracyjny
- /wp-login.php → strona logowania
- /wp-signup.php → rejestracja użytkowników (jeśli włączona)
- /wp-activate.php → aktywacja kont (multisite)
- /wp-cron.php → mechanizm zadań CRON
📂 API i integracje
- /wp-json/ → początek WordPress REST API
- /wp-json/wp/v2/users → lista użytkowników
- /wp-json/wp/v2/posts → wpisy
- /wp-json/wp/v2/comments → komentarze
- /xmlrpc.php → interfejs XML-RPC
📂 Pliki konfiguracyjne i instalacyjne
- /wp-config.php → konfiguracja bazy danych
- /readme.html → wersja WordPressa (fingerprinting)
- /license.txt → licencja i wersja
- /wp-includes/ → pliki źródłowe WP
- /wp-content/ → treści użytkownika
📂 Wtyczki i motywy
- /wp-content/plugins/ → katalog wtyczek
- /wp-content/themes/ → katalog motywów
- /wp-content/uploads/ → przesłane pliki
📂 Inne
- /wp-trackback.php → pingback/trackback
- /wp-links-opml.php → eksport linków
- /wp-comments-post.php → dodawanie komentarzy