'Groot aantal WordPress-, Joomla- en Drupal-sites lek'
Een groot deel van de websites die op populaire contentmanagementsystemen (CMS) zoals WordPress, Joomla en Drupal draaien is lek. Dat claimt het Amerikaanse beveiligingsbedrijf WhiteFir Design. Het bedrijf onderzocht een groot aantal websites en ontdekt dat webmasters hun CMS vaak niet updaten.
In het geval van Joomla versie 2.5 bleek dat 54% een versie lager dan 2.5.15 draaide. Deze versie verhelpt echter verschillende beveiligingslekken. Gebruikers van Joomla 3.x presteerden iets beter, hier draaide 41% een versie met bekende kwetsbaarheden waarvoor updates beschikbaar zijn. Ook WordPress-gebruikers hebben hun zaakjes niet op orden, aangezien 60% van de WordPress-sites niet de meest recente versie gebruikt.
Bij Drupal-websites blijkt het patchmanagement ook ernstig te kort te schieten. Van Drupal versie 6.x had slechts 19% van de onderzochte websites de meest recente versie geïnstalleerd, waarbij 20% van deze websites al 2 jaar niet meer was geüpdatet. Gebruikers van Drupal 7 presteerden nauwelijks beter, aangezien van deze versie slechts 33% up-to-date was. Kwetsbare CMS'en zijn een geliefd doelwit voor cybercriminelen, die websites via de niet gepatcht lekken kunnen overnemen.
Whitefir Design claimt dat helemaal niet en gebruikt terecht het woord "potentially". Voor de meerderheid van sites is Drupal update 7.26 volstrekt irrelevant.
"Serieus werk" zoals whitehouse.gov, of een miljoen andere sites?
Maat Drupal zit juist heel goed en robuust in elkaar! Dat kan echter nooit de zwakheden van het onderliggende PHP wegnemen. Vandaar dat voor meer serieus werk toch Java EE of ASP .NET wordt gebruikt...
P.S.
Ja, ik weet het. Facebook gebruikt momenteel een zelf-aangepaste variant van PHP. Maar ze zijn wel groot geworden met PHP.
hahahah dus php is amateuristisch, en commercieel-gesloten systeem wordt serieuzer gezien
dude get a life!!
Een paar grote zwaktes van PHP achtige scripting oplossingen waardoor ze voor de professional eigenlijk meteen al afvallen.
...
Het is de fotograaf die de foto maakt, niet de camera. Het is de banketbakker die de taart bakt, niet de oven. Het is de houtbewerker die de tafel maakt, niet de zaag. Het is de ontwikkelaar die de applicatie bouwt, niet de ontwikkelomgeving.
Een paar grote zwaktes van PHP achtige scripting oplossingen waardoor ze voor de professional eigenlijk meteen al afvallen.
...
Het is de fotograaf die de foto maakt, niet de camera. Het is de banketbakker die de taart bakt, niet de oven. Het is de houtbewerker die de tafel maakt, niet de zaag. Het is de ontwikkelaar die de applicatie bouwt, niet de ontwikkelomgeving.
Kom nou toch! Een goede ontwikkelaar kan een beetje goedmaken maar er zijn wel degelijk (grote) kwalitatieve verschillen tussen ontwikkelomgevingen.
Jouw redenatie gaat op voor de verschillen tussen ASP.NET en Java EE. Maar zeker niet als het over de verschillen tussen PHP en de bovenstaande gaat. Een professionele klusser kan je de verschillen tussen goedekope gereedschappen en gereedschappen voor de vakman haarfijn uitleggen. Dat goedkope boortje van de Gamma is na een paar keer boren al verrot, als je er überhaupt mee door het metaal komt.
PHP is leuk voor Personal Home Pages maar zeker niet geschikt voor bedrijfskritische sites, waar betrouwbaarheid en veiligheid belangrijk zijn. Daarom zie je banken (http://vanlanschot.nl), overheid (http://werk.nl), belastingdienst (http://belastingdienst.nl), kranten (http://volkskrant.nl), sites voor relatiebemiddeling (http://parship.nl), etc. ook kiezen voor Java EE of ASP .NET en niet voor PHP. En als er al voor PHP wordt gekozen, gebruik dan in ieder geval Drupal! (Dat abstraheert PHP op een goede en robuuste manier.)
Facebook..? Zijn wel meer grote websites die haar basis in PHP hebben..
Leuk dat je werk.nl als voorbeeld neemt van een goede .NET website.. http://www.nu.nl/economie/3556785/tot-in-2015-problemen-werknl.html
Oftewel, het ligt nog steeds aan de programmeur.. En PHP is niet stateless: HTTP is stateless. Leuk dat het voor je wordt weggeabstraheerd, maar dat is geen voor- nadeel. Met PHP weet je wat er onder de motorkap gebeurd :)
Ga je dan een java cms opzetten wat met 128 MB kan draaien? (als dat uberhaupt bestaat) of een simpele LAMP omgeving met auto updates van het OS en WP zelf (niet te veel plugins, lekker updaten, auto backup voor restore).
De JAVA cms-en die ik heb meegemaakt zijn soms echt om te huilen (GX - Magnolia zag er wel goed uit).
Of Roxen of .Net Tridion..voor grote bedrijven met dito geld heel interessant en lekker complex maar voor de simpele boer veels te full blown.
If I had to point in any direction regarding what CMS program to use, I’d say to go for Centralpoint. I have used countless of CMS programs in my time. Perhaps there’s no such thing as the ‘best’ program, because every person has different needs.
WP heeft dat sinds 3.8 (nu 3.8.1) dus dat is al geborgen (met alle risico's vandien maar hou je het simpel dan moet het volgens mij wel kunnen).
het zijn voornamelijk de tech-bedrijfjes die de website van de bakker om de hoek in elkaar steekt die zo'n wordpress/drupal/joomla gebruikt maar vervolgens vergeet te updaten. een beetje zelfrespecterend bedrijf maakt juist geen gebruik van wordpress, drupal of joomla maar ontwikkeld een inhouse applicatie die door externe bedrijven en hackers zijn getest. niet dat de meerderheid dat doet vanwege de kosten die dat met zich meebrengt, maar dat zou wel moeten.
drupal, wordpress en joomla zijn leuk, maar het word gevaarlijk met de plugins en voornamelijk de ongecontroleerde. bouw je daarentegen vanaf het begin een applicatie met een schild, heb je daar minder last van. een WAF kennen de meeste bouwers niet.
het is dus niet het probleem van PHP, maar de ontwikkelaars zoals " 31-03-2014, 13:15 door Anoniem " al zei. enne, niet om het een of ander hoor, maar genoeg 'professionele websites' ontwikkeld in asp/.net/java met lekken. dat het niet naar buiten komt is een ander verhaal. afgelopen 3 jaar meerdere gemeentes, banken en andere instanties benaderd met grove lekken, allemaal van dat high-end spul waar je het over hebt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security consultant
Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!
Digital Forensic Researcher Mobile Device Hacking
Netherlands Forensic Institute (NFI)
As a digital expert in the field of mobile device hacking, you will strengthen the Digital Technology team. Your challenge? Reverse engineer the workings and security of mobile consumer devices.
Privacy Officer / CISO
Denk jij bij het lezen van artikelen in de media die het belang rondom privacy en informatiebeveiliging duiden, het hoeft toch helemaal niet zover te komen als je als organisatie je zaken op orde hebt? Dan zoeken wij jou!
IT Security Officer
Wil jij werken bij een organisatie die het belang van informatiebeveiliging en privacy inziet en zich realiseert dat dit continue aandacht vergt? Als IT Security Officer bij Zaanstad heb je een coördinerende, ondersteunende en adviserende rol op het gebied van informatiebeveiliging. Een veelzijdige en uitdagende functie!
Digital Forensic Researcher
Netherlands Forensic Institute (NFI)
Immerse yourself in research projects covering the analysis, reparation, and accessing of modern integrated circuits at various levels, from packages to components. In addition, contribute to law enforcement in the Netherlands. You will only find that unique combination at the NFI, where you get to work as a digital forensic researcher and examiner.
Functionaris Gegevensbescherming (FG)
Als FG ben je de onafhankelijke toezicht-houder op naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen de gehele TU/e. Je houdt toezicht op de toepassing en naleving van de AVG door de universiteit op diverse domeinen: onderwijs, onderzoek, valorisatie en bedrijfsvoering.