Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

'Groot aantal WordPress-, Joomla- en Drupal-sites lek'

maandag 31 maart 2014, 09:16 door Redactie, 23 reacties

Een groot deel van de websites die op populaire contentmanagementsystemen (CMS) zoals WordPress, Joomla en Drupal draaien is lek. Dat claimt het Amerikaanse beveiligingsbedrijf WhiteFir Design. Het bedrijf onderzocht een groot aantal websites en ontdekt dat webmasters hun CMS vaak niet updaten.

In het geval van Joomla versie 2.5 bleek dat 54% een versie lager dan 2.5.15 draaide. Deze versie verhelpt echter verschillende beveiligingslekken. Gebruikers van Joomla 3.x presteerden iets beter, hier draaide 41% een versie met bekende kwetsbaarheden waarvoor updates beschikbaar zijn. Ook WordPress-gebruikers hebben hun zaakjes niet op orden, aangezien 60% van de WordPress-sites niet de meest recente versie gebruikt.

Bij Drupal-websites blijkt het patchmanagement ook ernstig te kort te schieten. Van Drupal versie 6.x had slechts 19% van de onderzochte websites de meest recente versie geïnstalleerd, waarbij 20% van deze websites al 2 jaar niet meer was geüpdatet. Gebruikers van Drupal 7 presteerden nauwelijks beter, aangezien van deze versie slechts 33% up-to-date was. Kwetsbare CMS'en zijn een geliefd doelwit voor cybercriminelen, die websites via de niet gepatcht lekken kunnen overnemen.

TNO publiceert handvat IPV6 penetratietesting
China ziet afname van buitenlandse cyberaanvallen
Reacties (23)
31-03-2014, 09:41 door Anoniem
> Een groot deel van de websites die op populaire contentmanagementsystemen (CMS) zoals WordPress, Joomla en Drupal draaien is lek. Dat claimt het Amerikaanse beveiligingsbedrijf WhiteFir Design

Whitefir Design claimt dat helemaal niet en gebruikt terecht het woord "potentially". Voor de meerderheid van sites is Drupal update 7.26 volstrekt irrelevant.
31-03-2014, 10:00 door Anoniem
Als je naar de onderliggende code van de genoemde CMS-en gaat kijken, dan zal het je niet verbazen dat deze steeds lek zijn. Met name Wordpress is regelrechte spaghetti-code. Maar ja, iedereen wil graag een mooie gelikte click-interface om z'n website zelf in elkaar te kunnen prakken. Enige kijk op veiligheid is daar natuurlijk niet bij.
31-03-2014, 10:46 door [Account Verwijderd] - Bijgewerkt: 31-03-2014, 10:46
[Verwijderd]
31-03-2014, 10:47 door meinonA
Door Krakatau: Drupal zit juist heel goed en robuust in elkaar! Dat kan echter nooit de zwakheden van het onderliggende PHP wegnemen. Vandaar dat voor meer serieus werk toch Java EE of ASP .NET wordt gebruikt...

"Serieus werk" zoals whitehouse.gov, of een miljoen andere sites?
31-03-2014, 10:53 door WouterV
[Verwijderd door moderator]
31-03-2014, 11:48 door Anoniem
Door Krakatau:
Maat Drupal zit juist heel goed en robuust in elkaar! Dat kan echter nooit de zwakheden van het onderliggende PHP wegnemen. Vandaar dat voor meer serieus werk toch Java EE of ASP .NET wordt gebruikt...
Met dit soort uitspraken laat je alleen maar zien dat je niet echt weet waar je over praat. De zwakheden in Drupal zitten toch echt in Drupal zelf en liggen niet aan het onderliggende PHP. En met PHP zijn prima goede en veilige websites te maken. Al mijn websites zijn met PHP gemaakt en absoluut veilig. De security.nl website en Facebook tonen ook aan dat met PHP prima serieuze websites te maken zijn.

P.S.
Ja, ik weet het. Facebook gebruikt momenteel een zelf-aangepaste variant van PHP. Maar ze zijn wel groot geworden met PHP.
31-03-2014, 11:49 door Anoniem
Vandaar dat voor meer serieus werk toch Java EE of ASP .NET wordt gebruikt...

hahahah dus php is amateuristisch, en commercieel-gesloten systeem wordt serieuzer gezien

dude get a life!!
31-03-2014, 12:33 door [Account Verwijderd] - Bijgewerkt: 31-03-2014, 12:35
[Verwijderd]
31-03-2014, 13:15 door Anoniem
Door Krakatau:
Een paar grote zwaktes van PHP achtige scripting oplossingen waardoor ze voor de professional eigenlijk meteen al afvallen.

...

En als je echt eerlijk bent, dan plaats je ook een lijstje met de minpunten / zwakheden van .NET en Java. Je zal dan tot de conclusie komen dat elk ontwikkelplatform sterke en zwakke punten kent. Of het eindproduct goed of slecht is hangt dus puur af van de kwaliteit van de ontwikkelaar.

Het is de fotograaf die de foto maakt, niet de camera. Het is de banketbakker die de taart bakt, niet de oven. Het is de houtbewerker die de tafel maakt, niet de zaag. Het is de ontwikkelaar die de applicatie bouwt, niet de ontwikkelomgeving.
31-03-2014, 13:57 door [Account Verwijderd] - Bijgewerkt: 31-03-2014, 14:01
[Verwijderd]
31-03-2014, 14:55 door linuxpro
Heren, vergeten we niet dat een amerikaans beveiligingsbedrijf roept dat een groot aantal sites mo-ge-lijk lek zijn omdat ze een verouderde versie van het cms draaien. Dat heet marketing en wij techneuten hebben niets met marketing. Voor dit soort verhalen gelden de normale beheersregels als regelmatig patchen en updaten en oh ja, gezond verstand wil ook nog wel eens helpen.
31-03-2014, 15:02 door Anoniem
Door Krakatau:
Door Anoniem:
Door Krakatau:
Een paar grote zwaktes van PHP achtige scripting oplossingen waardoor ze voor de professional eigenlijk meteen al afvallen.

...

En als je echt eerlijk bent, dan plaats je ook een lijstje met de minpunten / zwakheden van .NET en Java. Je zal dan tot de conclusie komen dat elk ontwikkelplatform sterke en zwakke punten kent. Of het eindproduct goed of slecht is hangt dus puur af van de kwaliteit van de ontwikkelaar.

Het is de fotograaf die de foto maakt, niet de camera. Het is de banketbakker die de taart bakt, niet de oven. Het is de houtbewerker die de tafel maakt, niet de zaag. Het is de ontwikkelaar die de applicatie bouwt, niet de ontwikkelomgeving.

Kom nou toch! Een goede ontwikkelaar kan een beetje goedmaken maar er zijn wel degelijk (grote) kwalitatieve verschillen tussen ontwikkelomgevingen.

Jouw redenatie gaat op voor de verschillen tussen ASP.NET en Java EE. Maar zeker niet als het over de verschillen tussen PHP en de bovenstaande gaat. Een professionele klusser kan je de verschillen tussen goedekope gereedschappen en gereedschappen voor de vakman haarfijn uitleggen. Dat goedkope boortje van de Gamma is na een paar keer boren al verrot, als je er überhaupt mee door het metaal komt.

PHP is leuk voor Personal Home Pages maar zeker niet geschikt voor bedrijfskritische sites, waar betrouwbaarheid en veiligheid belangrijk zijn. Daarom zie je banken (http://vanlanschot.nl), overheid (http://werk.nl), belastingdienst (http://belastingdienst.nl), kranten (http://volkskrant.nl), sites voor relatiebemiddeling (http://parship.nl), etc. ook kiezen voor Java EE of ASP .NET en niet voor PHP. En als er al voor PHP wordt gekozen, gebruik dan in ieder geval Drupal! (Dat abstraheert PHP op een goede en robuuste manier.)

Facebook..? Zijn wel meer grote websites die haar basis in PHP hebben..

Leuk dat je werk.nl als voorbeeld neemt van een goede .NET website.. http://www.nu.nl/economie/3556785/tot-in-2015-problemen-werknl.html

Oftewel, het ligt nog steeds aan de programmeur.. En PHP is niet stateless: HTTP is stateless. Leuk dat het voor je wordt weggeabstraheerd, maar dat is geen voor- nadeel. Met PHP weet je wat er onder de motorkap gebeurd :)
31-03-2014, 15:28 door Anoniem
PHP is leuk voor Personal Home Pages maar zeker niet geschikt voor bedrijfskritische sites, waar betrouwbaarheid en veiligheid belangrijk zijn.
Kan je dit ook onderbouwen / bewijzen? Grote websites als wikipedia, flickr, wordpress.com, sourceforge en facebook draaien met PHP. En met succes.
31-03-2014, 16:44 door [Account Verwijderd]
[Verwijderd]
31-03-2014, 16:46 door [Account Verwijderd] - Bijgewerkt: 31-03-2014, 16:46
[Verwijderd]
31-03-2014, 17:03 door [Account Verwijderd] - Bijgewerkt: 31-03-2014, 17:05
[Verwijderd]
31-03-2014, 17:22 door Anoniem
Voor kleine websites ga je geen java cms met dito specs opzetten...de slager op de hoek die een website wilt hebben die zelf zijn acties er in kan zetten.
Ga je dan een java cms opzetten wat met 128 MB kan draaien? (als dat uberhaupt bestaat) of een simpele LAMP omgeving met auto updates van het OS en WP zelf (niet te veel plugins, lekker updaten, auto backup voor restore).
De JAVA cms-en die ik heb meegemaakt zijn soms echt om te huilen (GX - Magnolia zag er wel goed uit).
Of Roxen of .Net Tridion..voor grote bedrijven met dito geld heel interessant en lekker complex maar voor de simpele boer veels te full blown.
01-04-2014, 12:41 door [Account Verwijderd]
[Verwijderd]
01-04-2014, 14:03 door Anoniem
http://www.it-newyork.com
If I had to point in any direction regarding what CMS program to use, I’d say to go for Centralpoint. I have used countless of CMS programs in my time. Perhaps there’s no such thing as the ‘best’ program, because every person has different needs.
01-04-2014, 21:26 door [Account Verwijderd] - Bijgewerkt: 01-04-2014, 21:33
[Verwijderd]
02-04-2014, 11:59 door Anoniem
Door Hyper: Het wordt tijd dat kwetsbare webplatformen als deze een automatische updatefunctie krijgen die standaard aan staat.

WP heeft dat sinds 3.8 (nu 3.8.1) dus dat is al geborgen (met alle risico's vandien maar hou je het simpel dan moet het volgens mij wel kunnen).
02-04-2014, 13:38 door Anoniem
Krakatau: grootste onzin ooit dit: "als je al gebruik maakt van php, gebruik dan drupal". je kan beter je tijd besteden aan het terugkruipen onder de steen waar je vandaan komt dan dit soort loze opmerkingen te plaatsen.

het zijn voornamelijk de tech-bedrijfjes die de website van de bakker om de hoek in elkaar steekt die zo'n wordpress/drupal/joomla gebruikt maar vervolgens vergeet te updaten. een beetje zelfrespecterend bedrijf maakt juist geen gebruik van wordpress, drupal of joomla maar ontwikkeld een inhouse applicatie die door externe bedrijven en hackers zijn getest. niet dat de meerderheid dat doet vanwege de kosten die dat met zich meebrengt, maar dat zou wel moeten.

drupal, wordpress en joomla zijn leuk, maar het word gevaarlijk met de plugins en voornamelijk de ongecontroleerde. bouw je daarentegen vanaf het begin een applicatie met een schild, heb je daar minder last van. een WAF kennen de meeste bouwers niet.

het is dus niet het probleem van PHP, maar de ontwikkelaars zoals " 31-03-2014, 13:15 door Anoniem " al zei. enne, niet om het een of ander hoor, maar genoeg 'professionele websites' ontwikkeld in asp/.net/java met lekken. dat het niet naar buiten komt is een ander verhaal. afgelopen 3 jaar meerdere gemeentes, banken en andere instanties benaderd met grove lekken, allemaal van dat high-end spul waar je het over hebt.
02-04-2014, 19:08 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Vacature
Vacature

Security consultant

Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!

Lees meer
Vacature
Vacature

Digital Forensic Researcher Mobile Device Hacking

Netherlands Forensic Institute (NFI)

As a digital expert in the field of mobile device hacking, you will strengthen the Digital Technology team. Your challenge? Reverse engineer the workings and security of mobile consumer devices.

Lees meer
Vacature
Vacature

Privacy Officer / CISO

Denk jij bij het lezen van artikelen in de media die het belang rondom privacy en informatiebeveiliging duiden, het hoeft toch helemaal niet zover te komen als je als organisatie je zaken op orde hebt? Dan zoeken wij jou!

Lees meer
Vacature
Image

IT Security Officer

Wil jij werken bij een organisatie die het belang van informatiebeveiliging en privacy inziet en zich realiseert dat dit continue aandacht vergt? Als IT Security Officer bij Zaanstad heb je een coördinerende, ondersteunende en adviserende rol op het gebied van informatiebeveiliging. Een veelzijdige en uitdagende functie!

Lees meer
Vacature
Vacature

Digital Forensic Researcher

Netherlands Forensic Institute (NFI)

Immerse yourself in research projects covering the analysis, reparation, and accessing of modern integrated circuits at various levels, from packages to components. In addition, contribute to law enforcement in the Netherlands. You will only find that unique combination at the NFI, where you get to work as a digital forensic researcher and examiner.

Lees meer
Vacature
Vacature

Functionaris Gegevensbescherming (FG)

Als FG ben je de onafhankelijke toezicht-houder op naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen de gehele TU/e. Je houdt toezicht op de toepassing en naleving van de AVG door de universiteit op diverse domeinen: onderwijs, onderzoek, valorisatie en bedrijfsvoering.

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter