Linux Mint gestopt met WordPress voor website
De populaire Linuxdistributie Linux Mint is gestopt met het gebruik van WordPress voor de officiële website. De software, waar een kwart van alle websites op internet op draait, zal alleen nog voor het blog worden gebruikt. Dat heeft projectleider Clement Lefebvre via het Linux Mint-blog laten weten.
Onlangs wist een aanvaller de WordPress-site van Linux Mint te hacken en verving daar de links naar verschillende iso-bestanden door links die naar een versie met een backdoor wezen. Via de backdoor had de aanvaller toegang tot de systemen van gebruikers die deze iso-bestanden hadden gedownload en geïnstalleerd. "Het is onze verantwoordelijkheid om op deze aanval te reageren en te beseffen dat onze security onvoldoende was. Sinds de aanval zijn we non-stop bezig geweest", aldus Lefebvre.
Naast de website werden ook het forum en de Cinnamon-website gecompromitteerd. De aanvaller wist zo van alle forumgebruikers de e-mailadressen, gebruikersnaam, versleutelde wachtwoorden en privéberichten die via het forum zijn verstuurd in handen te krijgen. Na de aanval is de beveiliging aangescherpt. Zo is er een globale firewall neergezet alsmede nieuwe servers en wordt er nu voor de community, website en fora https gebruikt. Hoe de aanvaller via WordPress toegang wist te krijgen is niet bekendgemaakt, maar er is wel besloten om de software alleen nog voor het blog te gebruiken.
Daarnaast is er een ssl-certificaat aangeschaft om de verbindingen met bezoekers te versleutelen. Lefebvre merkt op dat dit weinig had uitgemaakt in het geval van de hack, aangezien de malafide links dan via https zouden zijn aangeboden. Het gebruik van https is dan ook vooral bedoeld om gebruikers tegen man-in-the-middle-aanvallen te beschermen, zo merkt hij op. Gebruikers krijgen echter het advies om altijd de sha256-hash van een gedownload iso-bestand te controleren tegen de hashwaarde die op de officiële website wordt vermeld.
1. Alleen bepaalde ip adressen toestaan voor /wp-admin/
2. Eerst inloggen met apache met een unieke gebruiekrsnaam en wachtwoord.
3. Als tweede inloggen op wordperss zelf met een unieke gebruikersnaam en wachtwoord.
1. Alleen bepaalde ip adressen toestaan voor /wp-admin/
2. Eerst inloggen met apache met een unieke gebruiekrsnaam en wachtwoord.
3. Als tweede inloggen op wordperss zelf met een unieke gebruikersnaam en wachtwoord.
Ook met dit soort maatregelen kan je een zwak fundament (PHP) niet compenseren.
Dus verstandige van Linux Mint dat ze Wordpress alleen voor hun blog blijven gebruiken.
1. Alleen bepaalde ip adressen toestaan voor /wp-admin/
2. Eerst inloggen met apache met een unieke gebruiekrsnaam en wachtwoord.
3. Als tweede inloggen op wordperss zelf met een unieke gebruikersnaam en wachtwoord.
Wie zegt dat de hack via het admin kant gegaan is ???
Stel dat je een CMS zo maakt of inricht dat alle HTML die het uitspuugt naar elkaar linkt via de traditionele middelen van het web: hyperlinks, img-tags en dergelijke, alle componenten zijn bereikbaar zonder JavaScript (wat niet uitsluit dat JavaScript vervolgens de afhandeling van hyperlinks overneemt, dat kan nog steeds). Dan kan je je CMS in een goed van het grote boze internet afgeschermde omgeving hebben draaien (toegankelijk via een VPN of SSH als dat nodig is om het bereikbaar te maken voor alle medewerkers), en met bijvoorbeeld wget een statische mirror ervan maken, en die zet je in produktie.
Dan heb je een live CMS aan het internet alleen nog nodig voor de zaken die door niet-medewerkers gewijzigd kunnen worden, zoals commentaren bij blogs (niet eens de blog-posts zelf). Dat kan op een aparte server worden ondergebracht zodat de statische inhoud niet met eventuele kwetsbaarheden van het CMS wordt belast.
Maar goed, dan gebruik je een CMS grotendeels als generator voor statische sites, en dat soort hulpmiddelen bestond al voor CMS'en in opkomst kwamen. Kennelijk vindt de grote massa het lekkerder om webpagina's direct te kunnen bewerken en zijn omwegen lastig, ongeacht eventuele voordelen die ze bieden. En vervolgens gaan partijen die wel baat zouden hebben bij de voordelen van die omwegen mee in oplossingen die op het grootste gemak zijn gericht. Dat is jammer.
Er bestaan geen SSL certificaten. Er bestaan wel X.509 certificaten die onder meer kunnen worden gebruikt om HTTPS verbindingen te kunnen opzetten. SSL is tevens de oude benaming voor de (nu verouderde een zwakke) protocollen, die al geruime tijd zijn vervangen door TLS. De IETF heeft vorig jaar juni middels RFC 7568 aangeven dat zij het gebruik van de meest recente SSL versie 3.0 afraden en een beroep doet op partijen om over te stappen naar TLS (het liefest de meest recente versie 1.2). TLS 1.3 is sinds Januari een IETF draft.
Mint is/was de ideale distributie voor overstappers vanaf windhoos. Nu blijkt dat het team achter Mint een clubje roze-wolk-denkers is. Is dat niet in het voordeel van Microsoft?
Verder zullen ongetwijfeld de plugins en de website naar goed voorbeeld dichtgetimmerd zijn, anders was LInux Mint website al jaren geleden gepakt.
Wordpress is gewoon een bagger product en nooit bedoeld voor security-by-design. het is bedoeld voor 'hoe meer zinloze toeters en bellen en plugins hoe beter'... en dat werkte in 2003 al niet meer op internet (toen WP uitgebracht werd).
Dat is dan onkunde bij het citeren door deze website, want de verantwoordelijke in het Linux-Mint blog schrijft alleen (Post nr 750):
Ook met dit soort maatregelen kan je een zwak fundament (PHP) niet compenseren.
Dus verstandige van Linux Mint dat ze Wordpress alleen voor hun blog blijven gebruiken.
PHP heeft niet direct wat met security te maken. Je kunt veilige applicaties maken als je maar veilig ontwikkelt en nadenkt waar je mee bezig bent. Bij complexiteit komt het gevaar om de hoek zetten.
Ook met dit soort maatregelen kan je een zwak fundament (PHP) niet compenseren.
Dus verstandige van Linux Mint dat ze Wordpress alleen voor hun blog blijven gebruiken.
PHP heeft niet direct wat met security te maken. Je kunt veilige applicaties maken als je maar veilig ontwikkelt en nadenkt waar je mee bezig bent. Bij complexiteit komt het gevaar om de hoek zetten.
Naïeve overwegingen van de amateur: bij grote bedrijven wordt je uitgelachen wanneer je PHP zou voorstellen.
Mint is/was de ideale distributie voor overstappers vanaf windhoos. Nu blijkt dat het team achter Mint een clubje roze-wolk-denkers is. Is dat niet in het voordeel van Microsoft?
Nee, het eerstvolgende stapje wordt dan een andere Linux distributie, die zijn er genoeg.
En als je dat te complex vindt worden lijkt het een logische mooie eenvoudige en dus niet on-slimme stap naar Apple's Mac OS X dat ook weer meer familie is van.
Echt gemotiveerde overstappers zijn besluitvast genoeg om niet weer (geheel) terug over te stappen.
Dat is geen kwestie van voor of tegen maar van een mindset kwestie, durven knopen door te hakken.
Alles moet je even leren, daarna wordt je ruim beloond want het scheelt een hoop tijd aan security troubles, iets dat in deze tijden zeker mooi meegenomen is.
Het lijkt me vooral belangrijk dat die hashwaarde op allerlei andere plaatsen geplaatst wordt zodat als je een download binnen hebt je deze met hashwaarden niet van dezelfde website maar van een paar andere websites kan vergelijken.
Om de boel dan voor de gek te houden zullen immers dan ook die andere plekken moeten worden gehackt en aangepast.
De hashwaarde op hetzelfde domein aanbieden als waar je de download aanbiedt is m.i. dus niet veilig genoeg omdat een slimme aanvaller de hashwaarden zal aanpassen aan de aangepaste software.
Simpel op te lossen dus door die hashwaarden ook op andere ('officiële) plaatsen (naar keuze) te laten vermelden.
PHP heeft niet direct wat met security te maken. Je kunt veilige applicaties maken als je maar veilig ontwikkelt en nadenkt waar je mee bezig bent. Bij complexiteit komt het gevaar om de hoek zetten.
Die complexiteit kan je met een echte programmeertaal veel beter het hoofd bieden dan met PHP. (Dat weet toch een kind.)
Er zullen heel wat meer websites met een of enkele redacteuren zijn dan websites met meer dan honderd. Mint zal geen honderd redacteuren hebben die de hele dag door artikelen toevoegen.
Met statische inhoud bedoelde ik, zoals ik aangaf, inhoud die niet door de bezoekers wordt gewijzigd. Ook bij grote websites die veel veranderen denk ik dat een exportmechanisme, maar dan selectiever dan een wget-mirror van het geheel, helemaal geen slecht idee hoeft te zijn. Er is geen enkele principiële reden waarom dat niet snel en efficiënt zou kunnen werken, en het vermijden van een shitload aan extra software die op je webserver draait, inclusief een dbms, heeft wel degelijk voordelen.
Geen paniek mensen dit is gewoon een amateuristisch geval.
Daar ben ik nu dus mee gestopt, aangezien zelfs XP per definitie veiliger is, dan een OS-leverancier die van WordPress gebruik maakt (e voor distributie van het OS). Had ik dat maar eerder geweten...
De ondernomen actie na deze onvergeeflijke fail, te weten "we gebruiken voortaan alleen nog WP voor het blog," onderschrijft mijn visie. En daar baal ik als een stekker van!
Ik kan mijn oma, die net Skype zelfstandig aan de praat krijgt, toch niet adviseren om eens naar Ubuntu te gaan kijken? WTF?
die security scan is volgens mij niet zo goed. Hij geeft aan dat de laatste versie niet is geïnstalleerd, hij meldt zelfs het versie nummer, terwijl dat wel de laatste versie is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.