image

Duizenden WordPress-sites gehackt via recent gepatcht lek

dinsdag 7 februari 2017, 11:27 door Redactie, 17 reacties

Een ernstig beveiligingslek in WordPress waarvoor onlangs een update verscheen wordt nu gebruikt om websites te hacken. Dat laat beveiligingsbedrijf Sucuri weten dat de kwetsbaarheid ontdekte en aan WordPress rapporteerde. De ontwikkelaar besloot het lek een week lang opzettelijk te verzwijgen totdat voldoende websites de update hadden geïnstalleerd.

Toch zijn er nog altijd websites die op een kwetsbare WordPress-versie draaien. Via het beveiligingslek kunnen aanvallers op afstand en zonder inloggegevens de inhoud van WordPress-sites wijzigen. Binnen 48 uur nadat de kwetsbaarheid openbaar was gemaakt werden de eerste aanvallen waargenomen die misbruik van het beveiligingslek maakten. Inmiddels zijn volgens Sucuri meer dan 66.000 WordPress-pagina's door de aanvallers aangepast.

"WordPress heeft een automatische updatefunctie die standaard staat ingeschakeld, naast een handmatig updateproces dat via één muisklik is uit te voeren. Toch weet niet iedereen van dit beveiligingslek of kan zijn of haar site updaten. Dit zorgt ervoor dat een groot aantal websites wordt gehackt en gedefacet", aldus Daniel Sid van Sucuri. Ongeveer een kwart van alle websites op internet draait op WordPress.

Reacties (17)
07-02-2017, 14:31 door Anoniem
Nou moet ik zeggen dat ik al een tijdje met de gedachten speel om een site te beginnen met WordPress, maar als je dit soort berichten leest, dan vergaat toch gauw je enthousiasme. Wie kan mij info geven hoe je dan moet updaten? Ik zie via de link (https://nl.wordpress.com/) hoe je zelf een site met domeinnaam kan opzetten, maar kan je dit dan ook updaten (d.w.z. de gratis versie) of gaat dat op een andere manier? Info is dus welkom.
07-02-2017, 14:43 door Anoniem
@anon 14:31 je kan gewoon op automatisch updaten zetten, zo snel er een update is wordt deze geinstaleerd.
07-02-2017, 15:11 door Anoniem
let me google that for you. nee wacht.
een kwart van alle websites draait wordpress. dat google je zelf maar.

OMDAT een kwart Wordpress draait, zit ook een kwart van alle hackers dat te hacken. (ongeveer een kwart)
draai je een kleiner CMS... minder hackers, maar ook weer minder ontwikkelaars.

dus maak gewoon backups van je site, en check 'm af en toe, of abonneer je op een site-checker.
07-02-2017, 15:23 door Anoniem
Door Anoniem: Nou moet ik zeggen dat ik al een tijdje met de gedachten speel om een site te beginnen met WordPress, maar als je dit soort berichten leest, dan vergaat toch gauw je enthousiasme. Wie kan mij info geven hoe je dan moet updaten? Ik zie via de link (https://nl.wordpress.com/) hoe je zelf een site met domeinnaam kan opzetten, maar kan je dit dan ook updaten (d.w.z. de gratis versie) of gaat dat op een andere manier? Info is dus welkom.
De term 'Wordpress' is enigszins verwarrend. Jij hebt het over Wordpress, de hosting/blogging dienst. Het artikel gaat over Wordpress, het content management systeem. Ze zijn aan elkaar gerelateerd, maar niet hetzelfde. Verder hier het antwoord op je vraag:
http://lmgtfy.com/?q=update+wordpress+automatically
07-02-2017, 16:01 door Anoniem
Ik heb juist automatische updates uitgezet. Want stel dat een update fout gaat. En je zet een backup terug. Dan zal die teruggezette website direct weer updaten. En dan breekt de website weer. Dan zit je in een loop waarbij de website constant breekt (tenzij je in de backup de wp-config kan aanpassen).

Maar als je het uitzet is het wel noodzakelijk dat je bijvoorbeeld instelt dat je een mailtje krijgt als een update beschikbaar is. Zodat je geen ongepatchte website draait.
07-02-2017, 16:23 door [Account Verwijderd]
[Verwijderd]
07-02-2017, 16:28 door Anoniem
Door Rinjani:
Door Anoniem: Ik heb juist automatische updates uitgezet. Want stel dat een update fout gaat. En je zet een backup terug. Dan zal die teruggezette website direct weer updaten. En dan breekt de website weer. Dan zit je in een loop waarbij de website constant breekt (tenzij je in de backup de wp-config kan aanpassen).

Goh, daar hebben ze bij Wordpress vast niet aan gedacht...

https://digwp.com/2011/04/wordpress-auto-updates/
Het grootste probleem is natuurlijk wanneer een update wel correct wordt geïnstalleerd. Waarna je website niet meer werkt omdat bepaalde elementen niet meer ondersteunt worden.
07-02-2017, 16:37 door [Account Verwijderd]
[Verwijderd]
07-02-2017, 16:53 door Anoniem
Straks moeten webmasters aan elke hacker geld betalen om lekken te melden zoals wat google en facebook doen en straks wordt hacker zijn een goed betalend beroep via thuis uit en iedereen kan dit doen! Dan is er altijd werk, alleen kun je dan wel erg arm worden als je geen lek kunt vinden.
07-02-2017, 18:40 door Anoniem
Check de versies vanen de kernel software van je plug-in software via https://hackertarget.com/wordpress-security-scan/

Check je site hier: https://aw-snap.info/file-viewer/ (Redleg is je vriend).

Zet user enumeration op disabled en directory listing ook. Veel gebruikers van WordPress CMS weten dit niet.

Check via http://retire.insecurity.today/ of er oude bibliotheken gebruikt worden, die moeten worden afgeserveerd.

Check hier: http://www.domxssscanner.com/ voor sources and sinks en kwetsbaarheden.

Kijk naar iFrame kwetsbaarheden, spammy links en cloaking hier: http://isithacked.com/

Kijk ook naar andere aspecten van je website beveiliging: https://sritest.io/

Scan hier eens voor een status: https://observatory.mozilla.org/

En kijk hoe de configuratie van de naamservers is (silent liefst): http://www.dnsinspect.com/

Ga je het een beetje begrijpen nu? Maak die WordPress CMS aangestuurde sites wat veiliger, a.u.b.!

Besef dat de code op het redelijk onveilige PHP is gebaseerd, vandaar voortdurend falen....

luntrus
07-02-2017, 20:19 door Ron625
Door Anoniem: 18:40Maak die WordPress CMS aangestuurde sites wat veiliger, a.u.b.!
Besef dat de code op het redelijk onveilige PHP is gebaseerd, vandaar voortdurend falen....
luntrus
Of leer HTML, dan heb je dat niet nodig ..........
07-02-2017, 20:28 door Anoniem
Door Anoniem: Check de versies vanen de kernel software van je plug-in software via https://hackertarget.com/wordpress-security-scan/

Check je site hier: https://aw-snap.info/file-viewer/ (Redleg is je vriend).

Zet user enumeration op disabled en directory listing ook. Veel gebruikers van WordPress CMS weten dit niet.

Check via http://retire.insecurity.today/ of er oude bibliotheken gebruikt worden, die moeten worden afgeserveerd.

Check hier: http://www.domxssscanner.com/ voor sources and sinks en kwetsbaarheden.

Kijk naar iFrame kwetsbaarheden, spammy links en cloaking hier: http://isithacked.com/

Kijk ook naar andere aspecten van je website beveiliging: https://sritest.io/

Scan hier eens voor een status: https://observatory.mozilla.org/

En kijk hoe de configuratie van de naamservers is (silent liefst): http://www.dnsinspect.com/

Ga je het een beetje begrijpen nu? Maak die WordPress CMS aangestuurde sites wat veiliger, a.u.b.!

Besef dat de code op het redelijk onveilige PHP is gebaseerd, vandaar voortdurend falen....

luntrus

Je laatste zin ontkracht je betoog.
07-02-2017, 22:06 door Anoniem
@anoniem van 20:28

De kernel software van het CMS wordt duidelijk beter aan de tand gevoeld
en wordt ook regelmatig van patches voorzien en van updates.

De problemen zitten voornamelijk in de plug-in code.
Het is bijvoorbeeld duidelijk dat niet verder ontwikkelde code, ergo verlaten code, zorgt voor de risico's.

Ik had natuurlijk moeten zeggen dat Joomla en Drupal ook op PHP en MySQL zijn gebaseerd.

Kijk bijvoorbeeld wat je hiermee kan aanrichten: https://nl.wordpress.org/plugins/insert-php/ en
user input validatie kan de kwetsbaarheden in belangrijke mate mitigeren.

Met je eens dat WordPress sites eigenlijk slechts 'platte tekst" sites moeten zijn.
Dan hoeft er niet zoveel aan de hand te zijn.

luntrus
07-02-2017, 22:27 door [Account Verwijderd] - Bijgewerkt: 08-02-2017, 08:43
[Verwijderd]
07-02-2017, 23:31 door Anoniem

Ik gebruik nu nog Wordpress maar als dit soort nieuws lees dan ben ik 't wel eens meer dan zat. Daarom overweeg ik wel eens een static site generator te gebruiken (zoals Jekyll: http://jekyllrb.com). Dan kan je nog steeds blog-achtige dingen doen, met overzichtpagina laatste berichten, etc. Maar volledig gegenereerd op je eigen computer, zodat er op de server alleen statische pagina's staan, geen (PHP) code.

Met een mechanisme voor incrementele upload na wijzigingen moet dat te doen zijn? (Iemand ervaring mee?)

Heb een Drupal 6 site (niet meer ondersteund dus per definitie onveilig) verhuisd naar een subdomein en achter Apache basic authentication gezet. Een static site generator genereert na wijzigingen m.b.v. HTTtrack een platte html site op het publieke domein. Heb Httrack behoorlijk moeten tunen i.c.m. met wat postprocessing om de site qua url-structuur identiek aan het origineel te krijgen ivm ranking in google, maar het draait inmiddels wel al maanden als een zonnetje.. En veilig...
08-02-2017, 09:48 door Ron625
Gemak dient de mens, daar heeft CMS systeem zeker voordelen in.
Maar een statische website van ~50 pagina's (2MB aan tekst) te beheren met een CMS van meer dan 10MB lijkt mij onzin.

Gelukkig zijn we vrij in onze manier van werken, we publiceren alleen een eind-resultaat. :-)
08-02-2017, 11:27 door Anoniem
Zoveel websites worden er gemaakt met deze bljkbaar achterhaalde shizzle
dat ik het als gatenkaas begin te labelen. 't Zelfde als met fLash, waar
vrijwel wekelijks een nieuwe versie voor moet worden geinstalleerd.

Buiten dit feit vind ik het irritant dat deze software standaard gebruik
maakt van google api's / google fonts.
Bij sites waarbij dit niet is uitgezet, mekkert noscript over 3rd party
scripts van google. In mn hosts heb ik fonts.googleapis.com (en vele
andere)naar localhost verwezen, ik wil namelijk niet dat google een
notitie maakt dat ik weer 's (bv) de site http://thehackernews.com/
heb bezocht. Het laden werd hierdoor wel vertraagd omdat er maar geen
gewenste reactie terugkwam van fonts.googleapis.com (of ajax...)
aangezien deze nu dus wordt doorverwezen naar localhost/devnull.
Gelukkig vond ik in de instellingen van noscript terug dat je remote
fonts kan uitschakelen (kan t ff nie zosnel trug vinden) zodat het
connecten naar google geheel wordt overgeslagen.
Te paranoia/allu enzo, sla ik de plank totaal mis, of tochnie?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.