image

'Groot aantal WordPress-, Joomla- en Drupal-sites lek'

maandag 31 maart 2014, 09:16 door Redactie, 23 reacties

Een groot deel van de websites die op populaire contentmanagementsystemen (CMS) zoals WordPress, Joomla en Drupal draaien is lek. Dat claimt het Amerikaanse beveiligingsbedrijf WhiteFir Design. Het bedrijf onderzocht een groot aantal websites en ontdekt dat webmasters hun CMS vaak niet updaten.

In het geval van Joomla versie 2.5 bleek dat 54% een versie lager dan 2.5.15 draaide. Deze versie verhelpt echter verschillende beveiligingslekken. Gebruikers van Joomla 3.x presteerden iets beter, hier draaide 41% een versie met bekende kwetsbaarheden waarvoor updates beschikbaar zijn. Ook WordPress-gebruikers hebben hun zaakjes niet op orden, aangezien 60% van de WordPress-sites niet de meest recente versie gebruikt.

Bij Drupal-websites blijkt het patchmanagement ook ernstig te kort te schieten. Van Drupal versie 6.x had slechts 19% van de onderzochte websites de meest recente versie geïnstalleerd, waarbij 20% van deze websites al 2 jaar niet meer was geüpdatet. Gebruikers van Drupal 7 presteerden nauwelijks beter, aangezien van deze versie slechts 33% up-to-date was. Kwetsbare CMS'en zijn een geliefd doelwit voor cybercriminelen, die websites via de niet gepatcht lekken kunnen overnemen.

Reacties (23)
31-03-2014, 09:41 door Anoniem
> Een groot deel van de websites die op populaire contentmanagementsystemen (CMS) zoals WordPress, Joomla en Drupal draaien is lek. Dat claimt het Amerikaanse beveiligingsbedrijf WhiteFir Design

Whitefir Design claimt dat helemaal niet en gebruikt terecht het woord "potentially". Voor de meerderheid van sites is Drupal update 7.26 volstrekt irrelevant.
31-03-2014, 10:00 door Anoniem
Als je naar de onderliggende code van de genoemde CMS-en gaat kijken, dan zal het je niet verbazen dat deze steeds lek zijn. Met name Wordpress is regelrechte spaghetti-code. Maar ja, iedereen wil graag een mooie gelikte click-interface om z'n website zelf in elkaar te kunnen prakken. Enige kijk op veiligheid is daar natuurlijk niet bij.
31-03-2014, 10:46 door [Account Verwijderd] - Bijgewerkt: 31-03-2014, 10:46
[Verwijderd]
31-03-2014, 10:47 door meinonA
Door Krakatau: Drupal zit juist heel goed en robuust in elkaar! Dat kan echter nooit de zwakheden van het onderliggende PHP wegnemen. Vandaar dat voor meer serieus werk toch Java EE of ASP .NET wordt gebruikt...

"Serieus werk" zoals whitehouse.gov, of een miljoen andere sites?
31-03-2014, 10:53 door WouterV
[Verwijderd door moderator]
31-03-2014, 11:48 door Anoniem
Door Krakatau:
Maat Drupal zit juist heel goed en robuust in elkaar! Dat kan echter nooit de zwakheden van het onderliggende PHP wegnemen. Vandaar dat voor meer serieus werk toch Java EE of ASP .NET wordt gebruikt...
Met dit soort uitspraken laat je alleen maar zien dat je niet echt weet waar je over praat. De zwakheden in Drupal zitten toch echt in Drupal zelf en liggen niet aan het onderliggende PHP. En met PHP zijn prima goede en veilige websites te maken. Al mijn websites zijn met PHP gemaakt en absoluut veilig. De security.nl website en Facebook tonen ook aan dat met PHP prima serieuze websites te maken zijn.

P.S.
Ja, ik weet het. Facebook gebruikt momenteel een zelf-aangepaste variant van PHP. Maar ze zijn wel groot geworden met PHP.
31-03-2014, 11:49 door Anoniem
Vandaar dat voor meer serieus werk toch Java EE of ASP .NET wordt gebruikt...

hahahah dus php is amateuristisch, en commercieel-gesloten systeem wordt serieuzer gezien

dude get a life!!
31-03-2014, 12:33 door [Account Verwijderd] - Bijgewerkt: 31-03-2014, 12:35
[Verwijderd]
31-03-2014, 13:15 door Anoniem
Door Krakatau:
Een paar grote zwaktes van PHP achtige scripting oplossingen waardoor ze voor de professional eigenlijk meteen al afvallen.

...

En als je echt eerlijk bent, dan plaats je ook een lijstje met de minpunten / zwakheden van .NET en Java. Je zal dan tot de conclusie komen dat elk ontwikkelplatform sterke en zwakke punten kent. Of het eindproduct goed of slecht is hangt dus puur af van de kwaliteit van de ontwikkelaar.

Het is de fotograaf die de foto maakt, niet de camera. Het is de banketbakker die de taart bakt, niet de oven. Het is de houtbewerker die de tafel maakt, niet de zaag. Het is de ontwikkelaar die de applicatie bouwt, niet de ontwikkelomgeving.
31-03-2014, 13:57 door [Account Verwijderd] - Bijgewerkt: 31-03-2014, 14:01
[Verwijderd]
31-03-2014, 14:55 door linuxpro
Heren, vergeten we niet dat een amerikaans beveiligingsbedrijf roept dat een groot aantal sites mo-ge-lijk lek zijn omdat ze een verouderde versie van het cms draaien. Dat heet marketing en wij techneuten hebben niets met marketing. Voor dit soort verhalen gelden de normale beheersregels als regelmatig patchen en updaten en oh ja, gezond verstand wil ook nog wel eens helpen.
31-03-2014, 15:02 door Anoniem
Door Krakatau:
Door Anoniem:
Door Krakatau:
Een paar grote zwaktes van PHP achtige scripting oplossingen waardoor ze voor de professional eigenlijk meteen al afvallen.

...

En als je echt eerlijk bent, dan plaats je ook een lijstje met de minpunten / zwakheden van .NET en Java. Je zal dan tot de conclusie komen dat elk ontwikkelplatform sterke en zwakke punten kent. Of het eindproduct goed of slecht is hangt dus puur af van de kwaliteit van de ontwikkelaar.

Het is de fotograaf die de foto maakt, niet de camera. Het is de banketbakker die de taart bakt, niet de oven. Het is de houtbewerker die de tafel maakt, niet de zaag. Het is de ontwikkelaar die de applicatie bouwt, niet de ontwikkelomgeving.

Kom nou toch! Een goede ontwikkelaar kan een beetje goedmaken maar er zijn wel degelijk (grote) kwalitatieve verschillen tussen ontwikkelomgevingen.

Jouw redenatie gaat op voor de verschillen tussen ASP.NET en Java EE. Maar zeker niet als het over de verschillen tussen PHP en de bovenstaande gaat. Een professionele klusser kan je de verschillen tussen goedekope gereedschappen en gereedschappen voor de vakman haarfijn uitleggen. Dat goedkope boortje van de Gamma is na een paar keer boren al verrot, als je er überhaupt mee door het metaal komt.

PHP is leuk voor Personal Home Pages maar zeker niet geschikt voor bedrijfskritische sites, waar betrouwbaarheid en veiligheid belangrijk zijn. Daarom zie je banken (http://vanlanschot.nl), overheid (http://werk.nl), belastingdienst (http://belastingdienst.nl), kranten (http://volkskrant.nl), sites voor relatiebemiddeling (http://parship.nl), etc. ook kiezen voor Java EE of ASP .NET en niet voor PHP. En als er al voor PHP wordt gekozen, gebruik dan in ieder geval Drupal! (Dat abstraheert PHP op een goede en robuuste manier.)

Facebook..? Zijn wel meer grote websites die haar basis in PHP hebben..

Leuk dat je werk.nl als voorbeeld neemt van een goede .NET website.. http://www.nu.nl/economie/3556785/tot-in-2015-problemen-werknl.html

Oftewel, het ligt nog steeds aan de programmeur.. En PHP is niet stateless: HTTP is stateless. Leuk dat het voor je wordt weggeabstraheerd, maar dat is geen voor- nadeel. Met PHP weet je wat er onder de motorkap gebeurd :)
31-03-2014, 15:28 door Anoniem
PHP is leuk voor Personal Home Pages maar zeker niet geschikt voor bedrijfskritische sites, waar betrouwbaarheid en veiligheid belangrijk zijn.
Kan je dit ook onderbouwen / bewijzen? Grote websites als wikipedia, flickr, wordpress.com, sourceforge en facebook draaien met PHP. En met succes.
31-03-2014, 16:44 door [Account Verwijderd]
[Verwijderd]
31-03-2014, 16:46 door [Account Verwijderd] - Bijgewerkt: 31-03-2014, 16:46
[Verwijderd]
31-03-2014, 17:03 door [Account Verwijderd] - Bijgewerkt: 31-03-2014, 17:05
[Verwijderd]
31-03-2014, 17:22 door Anoniem
Voor kleine websites ga je geen java cms met dito specs opzetten...de slager op de hoek die een website wilt hebben die zelf zijn acties er in kan zetten.
Ga je dan een java cms opzetten wat met 128 MB kan draaien? (als dat uberhaupt bestaat) of een simpele LAMP omgeving met auto updates van het OS en WP zelf (niet te veel plugins, lekker updaten, auto backup voor restore).
De JAVA cms-en die ik heb meegemaakt zijn soms echt om te huilen (GX - Magnolia zag er wel goed uit).
Of Roxen of .Net Tridion..voor grote bedrijven met dito geld heel interessant en lekker complex maar voor de simpele boer veels te full blown.
01-04-2014, 12:41 door [Account Verwijderd]
[Verwijderd]
01-04-2014, 14:03 door Anoniem
http://www.it-newyork.com
If I had to point in any direction regarding what CMS program to use, I’d say to go for Centralpoint. I have used countless of CMS programs in my time. Perhaps there’s no such thing as the ‘best’ program, because every person has different needs.
01-04-2014, 21:26 door [Account Verwijderd] - Bijgewerkt: 01-04-2014, 21:33
[Verwijderd]
02-04-2014, 11:59 door Anoniem
Door Hyper: Het wordt tijd dat kwetsbare webplatformen als deze een automatische updatefunctie krijgen die standaard aan staat.

WP heeft dat sinds 3.8 (nu 3.8.1) dus dat is al geborgen (met alle risico's vandien maar hou je het simpel dan moet het volgens mij wel kunnen).
02-04-2014, 13:38 door Anoniem
Krakatau: grootste onzin ooit dit: "als je al gebruik maakt van php, gebruik dan drupal". je kan beter je tijd besteden aan het terugkruipen onder de steen waar je vandaan komt dan dit soort loze opmerkingen te plaatsen.

het zijn voornamelijk de tech-bedrijfjes die de website van de bakker om de hoek in elkaar steekt die zo'n wordpress/drupal/joomla gebruikt maar vervolgens vergeet te updaten. een beetje zelfrespecterend bedrijf maakt juist geen gebruik van wordpress, drupal of joomla maar ontwikkeld een inhouse applicatie die door externe bedrijven en hackers zijn getest. niet dat de meerderheid dat doet vanwege de kosten die dat met zich meebrengt, maar dat zou wel moeten.

drupal, wordpress en joomla zijn leuk, maar het word gevaarlijk met de plugins en voornamelijk de ongecontroleerde. bouw je daarentegen vanaf het begin een applicatie met een schild, heb je daar minder last van. een WAF kennen de meeste bouwers niet.

het is dus niet het probleem van PHP, maar de ontwikkelaars zoals " 31-03-2014, 13:15 door Anoniem " al zei. enne, niet om het een of ander hoor, maar genoeg 'professionele websites' ontwikkeld in asp/.net/java met lekken. dat het niet naar buiten komt is een ander verhaal. afgelopen 3 jaar meerdere gemeentes, banken en andere instanties benaderd met grove lekken, allemaal van dat high-end spul waar je het over hebt.
02-04-2014, 19:08 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.