'Groot aantal WordPress-, Joomla- en Drupal-sites lek'
Een groot deel van de websites die op populaire contentmanagementsystemen (CMS) zoals WordPress, Joomla en Drupal draaien is lek. Dat claimt het Amerikaanse beveiligingsbedrijf WhiteFir Design. Het bedrijf onderzocht een groot aantal websites en ontdekt dat webmasters hun CMS vaak niet updaten.
In het geval van Joomla versie 2.5 bleek dat 54% een versie lager dan 2.5.15 draaide. Deze versie verhelpt echter verschillende beveiligingslekken. Gebruikers van Joomla 3.x presteerden iets beter, hier draaide 41% een versie met bekende kwetsbaarheden waarvoor updates beschikbaar zijn. Ook WordPress-gebruikers hebben hun zaakjes niet op orden, aangezien 60% van de WordPress-sites niet de meest recente versie gebruikt.
Bij Drupal-websites blijkt het patchmanagement ook ernstig te kort te schieten. Van Drupal versie 6.x had slechts 19% van de onderzochte websites de meest recente versie geïnstalleerd, waarbij 20% van deze websites al 2 jaar niet meer was geüpdatet. Gebruikers van Drupal 7 presteerden nauwelijks beter, aangezien van deze versie slechts 33% up-to-date was. Kwetsbare CMS'en zijn een geliefd doelwit voor cybercriminelen, die websites via de niet gepatcht lekken kunnen overnemen.
Whitefir Design claimt dat helemaal niet en gebruikt terecht het woord "potentially". Voor de meerderheid van sites is Drupal update 7.26 volstrekt irrelevant.
"Serieus werk" zoals whitehouse.gov, of een miljoen andere sites?
Maat Drupal zit juist heel goed en robuust in elkaar! Dat kan echter nooit de zwakheden van het onderliggende PHP wegnemen. Vandaar dat voor meer serieus werk toch Java EE of ASP .NET wordt gebruikt...
P.S.
Ja, ik weet het. Facebook gebruikt momenteel een zelf-aangepaste variant van PHP. Maar ze zijn wel groot geworden met PHP.
hahahah dus php is amateuristisch, en commercieel-gesloten systeem wordt serieuzer gezien
dude get a life!!
Een paar grote zwaktes van PHP achtige scripting oplossingen waardoor ze voor de professional eigenlijk meteen al afvallen.
...
Het is de fotograaf die de foto maakt, niet de camera. Het is de banketbakker die de taart bakt, niet de oven. Het is de houtbewerker die de tafel maakt, niet de zaag. Het is de ontwikkelaar die de applicatie bouwt, niet de ontwikkelomgeving.
Een paar grote zwaktes van PHP achtige scripting oplossingen waardoor ze voor de professional eigenlijk meteen al afvallen.
...
Het is de fotograaf die de foto maakt, niet de camera. Het is de banketbakker die de taart bakt, niet de oven. Het is de houtbewerker die de tafel maakt, niet de zaag. Het is de ontwikkelaar die de applicatie bouwt, niet de ontwikkelomgeving.
Kom nou toch! Een goede ontwikkelaar kan een beetje goedmaken maar er zijn wel degelijk (grote) kwalitatieve verschillen tussen ontwikkelomgevingen.
Jouw redenatie gaat op voor de verschillen tussen ASP.NET en Java EE. Maar zeker niet als het over de verschillen tussen PHP en de bovenstaande gaat. Een professionele klusser kan je de verschillen tussen goedekope gereedschappen en gereedschappen voor de vakman haarfijn uitleggen. Dat goedkope boortje van de Gamma is na een paar keer boren al verrot, als je er überhaupt mee door het metaal komt.
PHP is leuk voor Personal Home Pages maar zeker niet geschikt voor bedrijfskritische sites, waar betrouwbaarheid en veiligheid belangrijk zijn. Daarom zie je banken (http://vanlanschot.nl), overheid (http://werk.nl), belastingdienst (http://belastingdienst.nl), kranten (http://volkskrant.nl), sites voor relatiebemiddeling (http://parship.nl), etc. ook kiezen voor Java EE of ASP .NET en niet voor PHP. En als er al voor PHP wordt gekozen, gebruik dan in ieder geval Drupal! (Dat abstraheert PHP op een goede en robuuste manier.)
Facebook..? Zijn wel meer grote websites die haar basis in PHP hebben..
Leuk dat je werk.nl als voorbeeld neemt van een goede .NET website.. http://www.nu.nl/economie/3556785/tot-in-2015-problemen-werknl.html
Oftewel, het ligt nog steeds aan de programmeur.. En PHP is niet stateless: HTTP is stateless. Leuk dat het voor je wordt weggeabstraheerd, maar dat is geen voor- nadeel. Met PHP weet je wat er onder de motorkap gebeurd :)
Ga je dan een java cms opzetten wat met 128 MB kan draaien? (als dat uberhaupt bestaat) of een simpele LAMP omgeving met auto updates van het OS en WP zelf (niet te veel plugins, lekker updaten, auto backup voor restore).
De JAVA cms-en die ik heb meegemaakt zijn soms echt om te huilen (GX - Magnolia zag er wel goed uit).
Of Roxen of .Net Tridion..voor grote bedrijven met dito geld heel interessant en lekker complex maar voor de simpele boer veels te full blown.
If I had to point in any direction regarding what CMS program to use, I’d say to go for Centralpoint. I have used countless of CMS programs in my time. Perhaps there’s no such thing as the ‘best’ program, because every person has different needs.
WP heeft dat sinds 3.8 (nu 3.8.1) dus dat is al geborgen (met alle risico's vandien maar hou je het simpel dan moet het volgens mij wel kunnen).
het zijn voornamelijk de tech-bedrijfjes die de website van de bakker om de hoek in elkaar steekt die zo'n wordpress/drupal/joomla gebruikt maar vervolgens vergeet te updaten. een beetje zelfrespecterend bedrijf maakt juist geen gebruik van wordpress, drupal of joomla maar ontwikkeld een inhouse applicatie die door externe bedrijven en hackers zijn getest. niet dat de meerderheid dat doet vanwege de kosten die dat met zich meebrengt, maar dat zou wel moeten.
drupal, wordpress en joomla zijn leuk, maar het word gevaarlijk met de plugins en voornamelijk de ongecontroleerde. bouw je daarentegen vanaf het begin een applicatie met een schild, heb je daar minder last van. een WAF kennen de meeste bouwers niet.
het is dus niet het probleem van PHP, maar de ontwikkelaars zoals " 31-03-2014, 13:15 door Anoniem " al zei. enne, niet om het een of ander hoor, maar genoeg 'professionele websites' ontwikkeld in asp/.net/java met lekken. dat het niet naar buiten komt is een ander verhaal. afgelopen 3 jaar meerdere gemeentes, banken en andere instanties benaderd met grove lekken, allemaal van dat high-end spul waar je het over hebt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity trainen op een Cyber Range: zo doet KPN dat
Een Cyber Range is een gecontroleerde omgeving waar gebruikers cyberaanvallen leren detecteren en afzwakken. Zo vergroten bedrijven technische kennis rondom cyber-response. KPN helpt organisaties hierbij met een keur aan specialisten. Met uiteenlopende projecten als pentesten van drones die Epi-Pennen en pizza’s bezorgen tot het inbreken bij zwaarbeveiligde gebouwen, is geen dag hetzelfde.
Senior Adviseur
Economische Veiligheid
Nationaal Cyber Security Centrum
Door het snelgroeiende en veranderende cybersecuritydomein groeit ook de dreiging op onze economische veiligheid. Het is mede aan jou om ervoor te zorgen dat op tactisch en strategisch niveau de juiste kennis en samenwerkingsverbanden aanwezig zijn, zodat we gezamenlijk juist en tijdig op deze dreigingen kunnen anticiperen.
Tactisch specialist informatieveiligheid
Wist jij dat het één van onze ambities is om datagedreven werken in al onze processen de standaard te maken? Om onze ambities kracht bij te zetten zijn wij op zoek naar een verbindende tactisch specialist informatie-veiligheid die ons helpt met de bruikbaarheid en veiligheid van onze informatiesystemen. Klinkt dat als iets voor jou?
Security Trainer
Heb jij net als de rest van ons een passie voor cybersecurity en wil je in een team werken met mensen die minstens zo enthousiast en gedreven zijn als jij? Lijkt het je tof om wereldwijd security trainingen te geven en je security kennis over te dragen? Dan zijn wij op zoek naar jou!
Are you ready for a challenge?