image

WordPress-lekken laten aanvaller website overnemen

woensdag 16 september 2015, 09:58 door Redactie, 10 reacties

De beheerders van WordPress hebben een beveiligingsupdate voor het contentmanagementsysteem uitgebracht die drie kwetsbaarheden verhelpt. Via de beveiligingslekken kon een aanvaller de website overnemen, zo meldt het Computer Emergency Readiness Team van de Amerikaanse overheid.

Het gaat om twee cross-site scripting-kwetsbaarheden en een lek waardoor gebruikers zonder voldoende rechten privépostings konden publiceren en sticky konden maken. Verder zijn er 26 niet-security gerelateerde bugs verholpen. Gebruikers krijgen het advies om naar WordPress 4.3.1 te upgraden. Volgens cijfers van W3Techs wordt WordPress door 24,4% van alle websites op internet gebruikt. Onlangs werd bekend dat miljoenen websites die op WordPress draaien een kwetsbare versie gebruiken. Daardoor kunnen ze worden gehackt en gebruikt voor het verspreiden van malware.

Reacties (10)
16-09-2015, 10:33 door Anoniem
Wordpress laat goed zien wat er mis is met de IT-wereld. We zijn niet geintereseerd in kwaliteit, laat staat in veiligheid. We willen enkel en alleen gemak. En we zijn bereid de prijs voor de gevolgen daarvan te betalen. Voor veel mensen is het namelijk zo nu en dan gehackt worden van een website of systeem een vanzelfsprekendheid. Het hoort er gewoon bij. En dat terwijl we met een klein beetje moeite iets goeds neer kunnen zetten. De IT-wereld is lui.
16-09-2015, 11:49 door Anoniem
WordPress is gewoon ook crap. Standaard staan allerlei api's en shit aan. Wat een groot risico als gevolg heeft van misbruik....
16-09-2015, 12:43 door wizzkizz
Door Anoniem: Wordpress laat goed zien wat er mis is met de IT-wereld. We zijn niet geintereseerd in kwaliteit, laat staat in veiligheid. We willen enkel en alleen gemak. En we zijn bereid de prijs voor de gevolgen daarvan te betalen. Voor veel mensen is het namelijk zo nu en dan gehackt worden van een website of systeem een vanzelfsprekendheid. Het hoort er gewoon bij. En dat terwijl we met een klein beetje moeite iets goeds neer kunnen zetten. De IT-wereld is lui.
Veel developers hebben weinig kaas gegeten van beveiliging denk ik. Daarnaast is het altijd een afweging die wordt gemaakt: investeren we tijd in nieuwe features of beveiliging/testen. Helaas valt die afweging vaak uit in het voordeel van nieuwe features, want daar kunnen ze mee pronken.
16-09-2015, 12:53 door Zeurkool
Door Anoniem: WordPress is gewoon ook crap. Standaard staan allerlei api's en shit aan. Wat een groot risico als gevolg heeft van misbruik....

Dit is echt stierenpoep wat je hier zegt. Het grote risico is het niet up to date houden van Wordpress installaties. Ik heb al ruim 11 jaar een wp site draaien zonder ook maar een keer een probleem te hebben gehad. Je moet gewoon wel af en toe wat onderhoud plegen en updaten - wat tegenwoordig met security releases vanzelf kan- en niet te veel gekke plug-ins draaien.

Met je opmerking schuif je de eindverantwoordelijkheid gewoon terug naar de ontwikkelaars, maar zo werkt het niet mijnheer anoniem.
16-09-2015, 14:02 door Anoniem
Door Zeurkool:
Met je opmerking schuif je de eindverantwoordelijkheid gewoon terug naar de ontwikkelaars, maar zo werkt het niet mijnheer anoniem.
Het zijn de ontwikkelaars die de beveiligingsfouten in eerste instantie gemaakt hebben. Zij zijn dus zeker wel verantwoordelijk voor de ellende. Het zou wel erg laf zijn als de Wordpress ontwikkelaars vervolgens stellen dat het je eigen verantwoordelijkheid is om Wordpress te hosten. Eigenlijk zeggen ze daarmee: ons product is risicovol, doe maar niet.
16-09-2015, 14:35 door Anoniem
Door Anoniem:
Door Zeurkool:
Met je opmerking schuif je de eindverantwoordelijkheid gewoon terug naar de ontwikkelaars, maar zo werkt het niet mijnheer anoniem.
Het zijn de ontwikkelaars die de beveiligingsfouten in eerste instantie gemaakt hebben. Zij zijn dus zeker wel verantwoordelijk voor de ellende. Het zou wel erg laf zijn als de Wordpress ontwikkelaars vervolgens stellen dat het je eigen verantwoordelijkheid is om Wordpress te hosten. Eigenlijk zeggen ze daarmee: ons product is risicovol, doe maar niet.


toch zeggen ze dat ook :

"Your WordPress.com Account and Site. If you create a blog on the Website, you are responsible for maintaining the security of your account and blog, and you are fully responsible for all activities that occur under the account and any other actions taken in connection with the blog. You must not describe or assign keywords to your blog in a misleading or unlawful manner, including in a manner intended to trade on the name or reputation of others, and Automattic may change or remove any description or keyword that it considers inappropriate or unlawful, or otherwise likely to cause Automattic liability. You must immediately notify Automattic of any unauthorized uses of your blog, your account or any other breaches of security. Automattic will not be liable for any acts or omissions by You, including any damages of any kind incurred as a result of such acts or omissions."
16-09-2015, 14:46 door Zeurkool
Door Anoniem:
Door Zeurkool:
Met je opmerking schuif je de eindverantwoordelijkheid gewoon terug naar de ontwikkelaars, maar zo werkt het niet mijnheer anoniem.
Het zijn de ontwikkelaars die de beveiligingsfouten in eerste instantie gemaakt hebben. Zij zijn dus zeker wel verantwoordelijk voor de ellende. Het zou wel erg laf zijn als de Wordpress ontwikkelaars vervolgens stellen dat het je eigen verantwoordelijkheid is om Wordpress te hosten. Eigenlijk zeggen ze daarmee: ons product is risicovol, doe maar niet.

Je hebt blijkbaar verstand van zaken. Je weet dus hoe complex een CMS zoals Wordpress is. De ontwikkelaars zitten er altijd gelijk bovenop. Wordpress is voor de release van updates ook afhankelijk van testers. Het is een behoorlijke community die echt zijn best doet. Soms komen fouten pas later aan het licht zoals met zoveel software.

Wie een site host is verantwoordelijk voor de veiligheid van de site. Je kunt niet zeggen dat de ontwikkelaars per definitie verantwoordelijk zijn. Weet je wel hoeveel WP installaties op een oude versie draaien bijvoorbeeld alleen al omdat ze daarmee een oude plug-in kunnen blijven draaien? Het zijn er echt veel.
16-09-2015, 15:30 door B3am - Bijgewerkt: 16-09-2015, 15:32
Bij ieder WordPress artikel komt hier de discussie op gang. Het ene kamp zegt een CMS en met name WordPress is rotzooi en de andere kant geeft aan dat alle eigenaren die niet updaten de hoofdoorzaak zijn.

Microsoft zat lang geleden in het zelfde schuitje. Tot en met Windows 2000 stonden alle features aan en open en moest je het zelf maar dicht zetten als je het nodig vond. Volgens mij kreeg je met W2K standaard een onder IIS draaiende webserver mee, want internet was hot en Microsoft dreigde de boot te missen.

Eenvoud is de kracht, maar tevens de zwakte van Windows. Voor je het wist had je een handvol verschillende domeinen en puilden de servers de kast uit.

Nu moet je roles en features apart installeren en staan automatic updates aan en Active Directory voorkomt de wildgroei aan domeinen.

WordPress zit nog in die fase, er staat te veel open en automatic updates staan alleen voor minor core releases aan. Ook voor WordPress is de kracht gelijk de zwakte. Iedereen die met MS Word overweg kan, kan ook WordPress installeren er wat content in gooien om er vervolgens nooit meer naar om te kijken. Om over al die 'goed bedoelde' webbouwers die de klant een WordPress site over de schutting gooien nog maar te zwijgen.

WordPress moet op de schop: standaard dichtgetimmerd met automatic updates voor core, thema en plugins. Wil je dat niet dan moet je je er in verdiepen en weten wat je doet. Valt het met een automatic update om? Geen backup? Prima toch, weer een verouderde website minder.

Het hebben van een website is een verantwoordelijkheid en (soms) dagelijks onderhoud.
16-09-2015, 17:32 door Anoniem
Door B3am: Bij ieder WordPress artikel komt hier de discussie op gang. Het ene kamp zegt een CMS en met name WordPress is rotzooi en de andere kant geeft aan dat alle eigenaren die niet updaten de hoofdoorzaak zijn.
Mijn gedachte.
En ze hebben allebei nog gelijk ook, behalve wat dat er meer dan één schuldige is.

+1 voor de rest van je reactie.
16-09-2015, 21:42 door Anoniem
Door Zeurkool:
Je hebt blijkbaar verstand van zaken. Je weet dus hoe complex een CMS zoals Wordpress is. De ontwikkelaars zitten er altijd gelijk bovenop. Wordpress is voor de release van updates ook afhankelijk van testers. Het is een behoorlijke community die echt zijn best doet. Soms komen fouten pas later aan het licht zoals met zoveel software.
Dat heb ik inderdaad. En wel dusdanig dat ik in staat ben om websites eenmalig te maken zodat ze jarenlang zonder security patches kunnen draaien. Ja, het kan echt. Maar dan moet je een klein beetje moeite steken in veiligheid. Iets wat ze bij Wordpress blijkbaar niet willen of kunnen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.