image

Bijna 6.000 WordPress-sites gehackt in derde kwartaal

donderdag 5 januari 2017, 09:59 door Redactie, 12 reacties

In het derde kwartaal van vorig jaar werden bijna 6.000 WordPress-sites gehackt, voornamelijk omdat beheerders beschikbare updates niet hadden geïnstalleerd. Dat stelt beveiligingsbedrijf Sucuri aan de hand van onderzoek onder meer dan 8.000 gehackte websites. 74 procent van de onderzochte gehackte websites draaide op WordPress, gevolgd door Joomla (17 procent) en Magento (6 procent).

In de meeste gevallen blijkt de software op het moment van de hack niet up-to-date te zijn. In het geval van de gehackte WordPress-websites draaide 61 procent een verouderde versie. Een stijging van 6 procent ten opzichte van het tweede kwartaal van 2016. Bij andere contentmanagementsystemen ligt dit veel hoger. In het geval van gehackte Magento-webwinkels is 94 procent niet up-to-date. Bij Drupal is dit 86 procent en bij Joomla 84 procent.

Het draaien van verouderde plug-ins is een voorname reden waardoor WordPress-sites worden gehackt. Oude kwetsbaarheden in drie populaire plug-ins zijn bij elkaar verantwoordelijk voor ruim 18 procent van de gehackte WordPress-sites. Het gaat om de RevSlider- en GravityForms-plug-ins, gevolgd door het TimThumb-script. Voor alle drie de plug-ins is een update al meer dan een jaar beschikbaar. De patch voor TimThumb is al sinds 2011 verkrijgbaar, terwijl RevSlider sinds 2014 is gepatcht.

Volgens Sucuri hebben de hacks niets te maken met de veiligheid van WordPress of andere contentmanagementsystemen, maar zijn vooral slecht beheer van webmasters en verkeerde installaties en configuraties de boosdoener. "De enige constante in dit rapport zijn de problemen die worden veroorzaakt door slecht getrainde beheerders en webmasters en hun impact op websites", aldus de onderzoekers.

Image

Reacties (12)
05-01-2017, 10:35 door [Account Verwijderd] - Bijgewerkt: 05-01-2017, 10:36
[Verwijderd]
05-01-2017, 10:40 door Anoniem
Nee, Wordpress is geen gare shit, maar sommige plug-in ontwikkelaars lappen veiligheid aan hun laars.
05-01-2017, 10:43 door ezeyme
Door OpenXOR: Hoe lang moet het nog duren voordat mensen doorhebben dat je website in Wordpress bouwen vragen is om problemen. Ja, Wordpress-fanboys, kom er maar in. Jullie websites draaien zonder problemen door het netjes bijhouden van de updates. Maar dat is de zaken omdraaien. Continue updates installeren zou niet nodig moeten zijn. Je wilt nadat je je website online hebt gebracht, je bezig kunnen houden met andere zaken. Wordpress is gewoon gare shit!

Dat gaat dan zeker ook op voor die gare shit die je als OS gebruikt op je telefoon of computer?
05-01-2017, 10:53 door Anoniem
Door OpenXOR: Hoe lang moet het nog duren voordat mensen doorhebben dat je website in Wordpress bouwen vragen is om problemen. Ja, Wordpress-fanboys, kom er maar in. Jullie websites draaien zonder problemen door het netjes bijhouden van de updates. Maar dat is de zaken omdraaien. Continue updates installeren zou niet nodig moeten zijn. Je wilt nadat je je website online hebt gebracht, je bezig kunnen houden met andere zaken. Wordpress is gewoon gare shit!

Ik zou het niet zo willen verwoorden, maar ik ben het wel met je eens.
In de WordPress core mist bijvoorbeeld e-mail timeout.
Een geïnfecteerde site kan WordPress misbruiken om e-mails te spammen, hiervoor is geen config mogelijk.

De plugin structuur is helemaal een ergernis.
Waarom moeten die plugins in een public folder staan?
Antwoord: Niet, maar nu zijn er zo veel plugins die deze 'feature' vereisen dat men te bang is dit te veranderen.

Waarom zijn WordPress hardening technieken niet onderdeel van de core?
Ik bedoel, uitvoeren van PHP in de uploads directory is nooit nodig en wordt alleen door hackers gebruikt.
Kan die htaccess niet gewoon automatisch worden opgezet?

Het is een systeem dat niet volwassen is en de makers van vele thema's en plugins introduceren beveiligingslekken.

Don't get me wrong, een redelijk aantal plugins schrijvers doet het goed, maar het is te makkelijk om het fout te doen.
05-01-2017, 11:36 door [Account Verwijderd] - Bijgewerkt: 05-01-2017, 11:37
[Verwijderd]
05-01-2017, 20:44 door Anoniem
Door OpenXOR:
Door Anoniem:
Nee, Wordpress is geen gare shit, maar sommige plug-in ontwikkelaars lappen veiligheid aan hun laars.
Een veilig framework / CMS houdt daar rekening mee.


Nu ben ik niet bepaald een WordPress fan, maar hier sla je de plank mis.
Geen enkel CMS kan tegen de stommiteiten van slechte plug-in ontwikkelaars. Ik heb echt veel CMS code gezien en in alles zit altijd wel een fout ergens (kwestie van zoeken).
Het is vaak echt een kwestie van weinig in gebruik / weinig interesse vanuit aanvallers daardoor.
05-01-2017, 21:15 door Anoniem
Ja, Wordpress-fanboys, kom er maar in ...
Wordpress is gewoon gare shit!

WordPress is inderdaad verre van perfect. Maar tsja perfecte software bestaat niet. Net zoals 100% security niet bestaat ...

Anyway WordPress core is behoorlijk safe hoorrr ... zie https://wordpress.org/about/security/
Het heeft desondanks wel wat extra hardening nodig ... per slot van rekening is de menselijke factor vaak de zwakste schakel ...

Maar "gare shit", nee dat niet ... er zijn gewoon heel veel gebruikers/ontwikkelaars/beheerders met te weinig kennis mbt website security ... En het is ook best wel een lastig onderwerp ...

Oh overigens zijn 27% van alle CMS websites op het internet WordPress sites ...
Kortom dat maakt WordPress een populair target voor de bad guys ...
Beetje nuancering kan geen kwaad OpenXOR ;-)
05-01-2017, 21:27 door Anoniem
Vertel me wat nieuws, zeg....
Doe eens een scannetje voor een willekeurige WordPress website hier:
https://hackertarget.com/wordpress-security-scan/

De kern code levert niet het meeste gevaar op.
Vele WP sites met niet geupdate WP versies wel - outdated software - dus kwetsbaar.
Vele WP websites met plug-in problemen - soms zelfs verlaten code, die nooit zal worden gepatched.
Vele WP sites met verkeerde configuraties - gebruikers enumeratie staat aan, gevaar van brute force aanvallen.
Directory listing enabled, iFrame kwetsbaarheden, mogelijk CloudFlare misbruik en zo voort en zo verder.

WP is niet slecht op zich als CMS, WP is wel een gevaar in handen van n00bs,
die niet weten hoe ermee om te gaan, maar dat is elk stuk techniek in de handen van mensen,
die er geen draad verstand van hebben.

En dat is nog tot daar aan toe, maar het gevaar dat ze ermee voor willekeurige site bezoekers veroorzaken is erger.
Het is net als met die bepaalde drop, het zou eigenlijk verboden moeten worden....

Trouwens de zogeheten Willem de Groot lijst laat zien dat Magento mage op webshops ook de nodige ellende kent....
en via een asafaweb scan zie je dat asp sites ook veel fouten en kwetsbaarheden hebben.

We zijn er dus nog lang niet.....
06-01-2017, 08:49 door Anoniem
Door Anoniem: Nee, Wordpress is geen gare shit, maar sommige plug-in ontwikkelaars lappen veiligheid aan hun laars.

WordPress is niet voldoende veilig en sommige plugins zijn nog veel onveiliger. Ook het onderliggende PHP is niet erg veilig.

@Gisteren, 21:15 door Anoniem
WordPress heeft teveel lekken gehad om voor de dooddoener "100% [veilig] bestaat niet".

https://www.cvedetails.com/vulnerability-list/vendor_id-2337/product_id-4096/

Dit gezegd hebbende, veel sites worden overgenomen met gestolen wachtwoorden, executerechten waar ze niet horen te zijn (upload directory), en nog meer van dergelijke beheerfouten.
06-01-2017, 13:47 door Anoniem
Aan de reacties te lezen willen de mensen dus liever dat elke website volledig van de grond wordt gemaakt, met alle gevolgen van dien. Elke site afzonderlijk testen op security en bugs.
Dat is nou eenmaal waarom er platformen als Wordpress bestaan, je bouwt 1 core en die wordt bijgehouden door meerdere mensen. En je zorgt dat die zo veilig mogelijk is.
Plugins zouden door een goedkeuringsproces moeten gaan om te zorgen dat er in ieder geval een beetje is nagedacht over security.
Ik denk dat van alle CMS'en die er zijn Wordpress toch echt wel 1 van de veiligste is.
06-01-2017, 21:57 door [Account Verwijderd]
[Verwijderd]
06-01-2017, 22:01 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.