Nieuws
image

WordPress dicht lekken die aanvallers controle konden geven

dinsdag 7 maart 2017, 09:23 door Redactie, 42 reacties

WordPress heeft een beveiligingsupdate uitgebracht die meerdere lekken verhelpt waardoor aanvallers volledige controle over een WordPress-site konden krijgen, zo meldt het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT).

In totaal verhelpt WordPress 4.7.3 zes kwetsbaarheden, waarvan drie cross-site scripting-lekken. Daarnaast zijn er 39 niet-security gerelateerde fixes doorgevoerd. WordPress-gebruikers kunnen de update via het WordPress Dashboard installeren of van de automatische updatefunctie gebruikmaken. Iets meer an een kwart van alle websites op internet draait op WordPress.

Reacties (42)
07-03-2017, 09:33 door [Account Verwijderd]
[Verwijderd]
07-03-2017, 09:48 door [Account Verwijderd] - Bijgewerkt: 07-03-2017, 09:48
[Verwijderd]
07-03-2017, 10:18 door [Account Verwijderd]
[Verwijderd]
07-03-2017, 10:21 door Anoniem
Beetje onzin natuurlijk. Joomla etc. hebben ook hun problemen. Zodra een product veel gebruikt wordt is er meer aandacht voor en dus wordt er dus meer ontdekt.
07-03-2017, 10:33 door [Account Verwijderd] - Bijgewerkt: 07-03-2017, 12:09
[Verwijderd]
07-03-2017, 10:59 door Anoniem
PHP is natuurlijk wel het probleem. Natuurlijk niet het enige probleem want de Wordpress code heet niet best te zijn. Maar hoe dan ook zal bouwen op PHP altijd bouwen op drijfzand zijn.

De argumentatie is sterk in deze.
07-03-2017, 11:44 door Anoniem
"Heb je die alternatieven daadwerkelijk of lul je maar wat?"
Drupal wordt door het witte huis gebruikt en heeft een software security process
07-03-2017, 12:01 door [Account Verwijderd] - Bijgewerkt: 07-03-2017, 12:07
[Verwijderd]
07-03-2017, 12:19 door [Account Verwijderd] - Bijgewerkt: 07-03-2017, 12:20
[Verwijderd]
07-03-2017, 12:22 door [Account Verwijderd]
[Verwijderd]
07-03-2017, 12:25 door [Account Verwijderd] - Bijgewerkt: 07-03-2017, 12:29
[Verwijderd]
07-03-2017, 12:33 door [Account Verwijderd] - Bijgewerkt: 07-03-2017, 12:56
[Verwijderd]
07-03-2017, 13:00 door [Account Verwijderd] - Bijgewerkt: 07-03-2017, 13:05
[Verwijderd]
07-03-2017, 13:02 door [Account Verwijderd]
[Verwijderd]
07-03-2017, 13:04 door [Account Verwijderd] - Bijgewerkt: 07-03-2017, 13:05
[Verwijderd]
07-03-2017, 13:10 door [Account Verwijderd] - Bijgewerkt: 07-03-2017, 13:14
[Verwijderd]
07-03-2017, 13:13 door [Account Verwijderd] - Bijgewerkt: 07-03-2017, 14:13
[Verwijderd]
07-03-2017, 13:20 door [Account Verwijderd] - Bijgewerkt: 07-03-2017, 13:20
[Verwijderd]
07-03-2017, 13:34 door linuxpro
Door OpenXOR: Serieus mensen. Stop. Met. Wordpress. Er zijn genoeg alternatieven om een veilige (blog)website te maken.

Ik heb 't hele verhaal doorgelezen maar nog steeds geen Wordpress alternatieven van je gehoord... en kom niet met plone aan ofzo want dat heb ik uitgebreid getest maar is absoluut geen Wordpress vervangen dus kom maar op
07-03-2017, 13:37 door Anoniem
Door Rinjani:
Door Anoniem: "Heb je die alternatieven daadwerkelijk of lul je maar wat?"
Drupal wordt door het witte huis gebruikt en heeft een software security process

Ik heb ooit voor meerdere sites Drupal gebruikt. Toen had je Drupageddon [1] en ik haalde het i.v.m. vakantie niet om binnen een paar uur na de aankondiging de update te installeren. Einde Drupal dus. Hoewel Drupal z'n best doet om de zwaktes van PHP te ondervangen kan het daar nooit helemaal in slagen. Het onderliggende PHP fundament blijft zwak, wat je er bovenop ook doet.
Volgens mij zijn er toch echt hele grote projecten die draaien op PHP, zonder enig issue. Je kunt volgens mij een betere conclusie trekken dat het gewoon brakke code is van deze applicatie. Al is dat vreemd, omdat iedereen de code toch kan zien? Dat is juist de kracht van OpenSource?

En Drupal zou net als Wordpress allang volledig automatische updates van de core moeten hebben. Daarmee had de Drupageddon ellende misschien voorkomen kunnen worden (in de tussenliggende drie jaar hadden ze dat toch wel kunnen implementeren? Het feature request staat nog steeds op unassigned [2]. Jammer is dat, gemiste kans.
Iedereen kan de code toch inzien en aanpassen? Dat is toch de kracht van OpenSource. Ofwel wat houd je tegen, of wat houd iemand anders tegen om dit toch te doen?

Als dit met een Windows applicatie was geweest, had iedereen moord en brand geschreeuwd, en nu wordt het afgedaan als in de PHP issue. Nee. het issue is gewoon, dat beide producten gewoon grote fouten bevatten. En dat ondanks dat de code toegankelijk is voor iedereen (het grote voordeel van OpenSource toch?), nog steeds gewoon bagger is en grote fouten bevat.
Alles wat je met auto update geconfigureerd is leuk, maar het lost de werkelijke oorzaak niet op.
Voor iets wat direct aan het Internet hangt, is dit gewoon on-acceptabel.
07-03-2017, 14:52 door Anoniem
aangezien ik ook nog steeds geen alternatieven langs heb zien komen misschien een kleine tip voor de wordpress gebruikers kijk eens naar de wordfence security plugin.

(gratis versie)
07-03-2017, 15:08 door [Account Verwijderd] - Bijgewerkt: 07-03-2017, 15:58
[Verwijderd]
07-03-2017, 15:13 door [Account Verwijderd]
[Verwijderd]
07-03-2017, 17:57 door Anoniem
Ja en men doet ook nog van alles om dit CMS (WordPress) onveilig te houden.

Nog genoeg sites met oudere versies en dus met exploitabele core code/ .....
Nog genoeg sites met verouderde onveilige plug-in en nog erger 'verlaten' code ......
Nog genoeg sites met user enumeration op enabled staande en directory listing idem dito.....
Nog genoeg sites met onveilige third party links and spammy links
Nog genoeg sites met certificaat, sri hash en dns issues......
Nog genoeg sites met onveilige inline scripting.....
Nog genoeg sites met legio XSS kwestbaarheid en geen input/output validatie......cloaking gevonden....
Nog genoeg sites op onveilige hosting en CDN-s en via onveilige Clouddiensten.....cloudbleeding....
wie kan er nog meer "Nog genoeg enz" verzinnen, want zo'n lijstje is schier eindeloos.

Als website veiligheid analist wordt je er bijkans misselijk van dat het zo blijft.
Maar dit geldt niet alleen voor WordPress sites, denk aan de zogeheten "de Groot lijst"
aangaande onveilige webshop sites, die draaien op Magenta. Ook een online ramp, hoor!

En niemand die initiatieven neemt om deze brakke infrastructuur wat veiliger te maken.
Hoeveel heeft dit gepruts al aan ellende voor bezoekers van zulke brakke websites gekost.
Niet in geld uit te drukken.
De AV industrie en de hackers en crackers, cybercriminelen en data lurkers zijn u grenzeloos dankbaar
voor het laten voortduren van zo'n situatie.
07-03-2017, 21:18 door Anoniem
Door Rinjani:
Door OpenXOR:
Door Rinjani:
Eens maar zoals? (En kom dan niet aan met andere op PHP gebaseerde oplossingen.)
PHP is niet het probleem.

PHP is natuurlijk wel het probleem. Natuurlijk niet het enige probleem want de Wordpress code heet niet best te zijn. Maar hoe dan ook zal bouwen op PHP altijd bouwen op drijfzand zijn [1].

Door OpenXOR:Maar als je daar blijkbaar een mening over hebt, dan ben je ook prima in staat om een alternatief te zoeken. Succes met het intikken in een zoekmachine (ja, ook die kan je best zelf uitzoeken).

Jij komt met een stelling dat er genoeg alternatieven zouden zijn om een veilige (blog) website te maken. Heb je die alternatieven daadwerkelijk of lul je maar wat?

(Link Toegevoegd na commentaar.)
[1]
https://adambard.com/blog/you-write-php-because-you-dont-know-better/

PHP, as a programming language, is the worst language among all the languages I know how to program in. I have written and deployed code in PHP, C, Python, Java, Clojure, Coffeescript and Javascript, and dabbled in many others. PHP is, by a wide margin, the least consistent, most error-prone, worst-designed language of any I know.

PHP is designed to be an HTML templating language, and should have stayed one. It was written by an admitted amateur (at the time! I’m sure Rasmus could do better these days if he started from scratch, and I mean no, uh, specific disrespect), and it shows.

Je link komt uit een blogpost gedateerd Juni 19, 2013, dus gebasseerd op PHP 5.4 (5 zelf is released in 2004), inmiddels is, al bijna anderhalf jaar, PHP 7 uit die op meerdere manieren strikter is voor niet-ervaren developers.

Dit brengt mij direct op het volgende punt, het is heel erg afhankelijk WIE iets maakt, in welke programmeertaal dan ook. Ik werk als Software tester bij een behoorlijk groot bedrijf welke bijvoorbeeld gebruik maakt van het Symfony Framework, maar vooral belangrijker, daarnaast is afgeschermd door beveiliging geschreven door in-house developers.
De enige security issues die wij de laatste 3 jaar hebben ondervonden kwamen door slecht ontworpen/uitgedachte use-cases, en niet door PHP functies. Dit kan ik onderstrepen omdat er nog nooit ongeautoriseerde toegang is geweest en wij elk kwartaal door een Penetration test cyclus gaan van onder meer FOX IT.

Nutshell: Als ik nu naar mijn schuur loop en een auto maak zal dit ding niet eens de garage halen voor een APK. Op dezelfde manier wil je ook niet dat mensen die geen verstand hebben van een programmeertaal software schrijven (of onwetende reacties plaatsen in forum posts).
08-03-2017, 10:23 door linuxpro
Door OpenXOR: Zucht, is het nou echt zo moeilijk.

http://www.lmgtfy.com/?q=secure+wordpress+alternatives

Kennelijk zo moeilijk dat je er google voor nodig hebt
08-03-2017, 10:27 door [Account Verwijderd] - Bijgewerkt: 08-03-2017, 10:52
[Verwijderd]
08-03-2017, 13:24 door linuxpro
Door Rinjani:
Door linuxpro:
Door OpenXOR: Serieus mensen. Stop. Met. Wordpress. Er zijn genoeg alternatieven om een veilige (blog)website te maken.

Ik heb 't hele verhaal doorgelezen maar nog steeds geen Wordpress alternatieven van je gehoord... en kom niet met plone aan ofzo want dat heb ik uitgebreid getest maar is absoluut geen Wordpress vervangen dus kom maar op

Door Anoniem: aangezien ik ook nog steeds geen alternatieven langs heb zien komen ...

Oké, daarop wordt het blijkbaar lang wachten...

Dan mijn suggestie maar: Ghost [1]:


Ik heb even naar Ghost gekeken, geinstaleerd maar man man daar is nog niets voor beschikbaar... behalve wat thema's, geen formulieren mogelijk, geen foto-gallery, geen beveiligde pagina's naast publiek toegankelijke pagina's... is absoluut mbt functionaliteit geen wordpress vervanger.
08-03-2017, 13:27 door karma4
Door Rinjani: .....
Ik heb in professionele softwareontwikkelteams tienduizenden regels PHP geprogrammeerd voor vnl. complexe backend functionaliteit. Nog veel meer code in Assembly, Pascal, C en Java. Dus ik weet van de hoed en de rand......
Zeer onwaarschijnlijk aangezien je de meest elemententaire zake van hoe het er in professionele omgevingen er aan toe gast volledig mist. Dat is aan je reacties duidelijk te merken.

Wat je toont is eerder een beginnende thuishobbyist die zo nodig zijn ego ergens moet laten gelden.
Van een goede veilige data governance iso 27k etc echt technisch goed realiseren na bia cia mis je de hele context.

PHP gebruik wordpress wat is de impact als het kapot gaat en hoe ben je er op voorbereid. Dat zijn de juiste vragen.
08-03-2017, 15:52 door [Account Verwijderd] - Bijgewerkt: 08-03-2017, 15:53
[Verwijderd]
08-03-2017, 16:13 door Anoniem
Door Rinjani:
Door karma4:
Door Rinjani: .....
Ik heb in professionele softwareontwikkelteams tienduizenden regels PHP geprogrammeerd voor vnl. complexe backend functionaliteit. Nog veel meer code in Assembly, Pascal, C en Java. Dus ik weet van de hoed en de rand......
Zeer onwaarschijnlijk aangezien je de meest elemententaire zake van hoe het er in professionele omgevingen er aan toe gast volledig mist.

Ik weet exact hoe het eraan toegaat in professionele omgevingen en ik heb er als eigen baas zoveel mogelijk schijt aan! Dat werkt prima.

Door karma4: Wat je toont is eerder een beginnende thuishobbyist die zo nodig zijn ego ergens moet laten gelden.
Van een goede veilige data governance iso 27k etc echt technisch goed realiseren na bia cia mis je de hele context.

Héé Wordpress en PHP gebruikers, weten jullie waar hij het over heeft en kunnen jullie deze kennis inzetten om jullie Wordpress site veiliger te maken? ;-)

Door karma4: PHP gebruik wordpress wat is de impact als het kapot gaat en hoe ben je er op voorbereid. Dat zijn de juiste vragen.

Wees eens wat proactiever en begin met het juiste gereedschap te kiezen en de techneuten vrij baan te geven. Dan hoef je je niet meer zo druk te maken.

"Tienduizenden regels in PHP" zegt niets. Nul, komma, nul. Dat zou je zelf toch wel moeten weten als programmeur.

"regels schrijven"/"programmeren" is iets totaal anders dan software engineering. En juist software Engineering creëert kwaliteit, programmeren an sich niet.

Daarom heb ik ook echt vraagtekens over hoe jij jezelf neer zet als programmeur/eigen baas (die, ik quote "schijt heeft").

Maar goed, ik zal het hier verder bij laten. Ik zie in je reacties en eerdere reacties dat je geen software engineer bent. Dit is overigens prima, iedereen begint als programmeur (indien zij geen Master hebben in Engineering).

Fijne dag nog.
08-03-2017, 17:38 door karma4 - Bijgewerkt: 08-03-2017, 17:45
Door Rinjani:
..
Ik weet exact hoe het eraan toegaat in professionele omgevingen en ik heb er als eigen baas zoveel mogelijk schijt aan! Dat werkt prima.
.....
Dan je voor je bekentenis. Niet geschikt bij grote professionele organisaties.
Hoe duidelijker wil je het hebben.

Open-xor heeft hierboven netjes beschreven hoe bia en cia stappen werken. De iso27k uitwerken deel 2 is de technische invulling die je extern mag laten valideren.
Als je er niet in thuis bent hoor je geen zaken met overheidsinstanties te doen. Dit is namelijk allemaal terug te vinden als open standaard bij Nora. Het zelfde geldt voor de financials en de zorg.
08-03-2017, 18:30 door [Account Verwijderd]
[Verwijderd]
08-03-2017, 18:32 door [Account Verwijderd]
[Verwijderd]
08-03-2017, 18:52 door Anoniem
Door Rinjani:
Door Anoniem: Maar goed, ik zal het hier verder bij laten.

Oké (met klein stemmetje sidderend van angst).

Door Anoniem: Ik zie in je reacties en eerdere reacties dat je geen software engineer bent. Dit is overigens prima, iedereen begint als programmeur (indien zij geen Master hebben in Engineering).

Toch wel hoor. Senior zelfs.

Senior? Dan zou je ook moeten weten dat dat niets zegt Rinjani, dat is subjectief aan het bedrijf waar je werkt en de kennis van andere medewerkers.
Zucht, je bent me er eentje :]
08-03-2017, 19:29 door karma4
Door Rinjani:
Daar denken die grote organisaties toch anders over :-)
Ik zie inderdaad dat se vaak voor snel en goedkoop gaan.
Het gemis aan kwaliteit levert dan een boel schade op in het vervolgtraject na de juichende implementatie feestjes.
Dat is nu net hoe al die brakke software in huis gehaald wordt en men vervolgens geen continuïteit heeft.
08-03-2017, 20:39 door [Account Verwijderd] - Bijgewerkt: 08-03-2017, 20:40
[Verwijderd]
08-03-2017, 23:20 door [Account Verwijderd]
[Verwijderd]
09-03-2017, 07:36 door karma4
Door Rinjani:
(a) ik ben niet goedkoop, aan wat ik per maand binnenhark kan jij niet tippen;
(b) ik lever kwaliteit, waarmee continuïteit.
Ad a/ als dát werkelijk zo zijn had je geen behoefte om frustraties over tooltjes en os op forums kwijt te moeten.
Ad b/ als dat werkelijk zo zijn had je geen moeite met de zaken als iso27k met alle gevolgen. Had je ook niet gezegd scijt aan alles van de professionele grote organisatie.


Ja ik heb ook duurbetaalde externen dingen zien doen compleet nutteloos en tegen de bedrijfsdoelstellingen in.
Het lijkt soms wel corruptie.
Ik ben te betrokken om het los te laten noem me maar een idealist. Nee voor het ego of geld daar gaat het me niet om.
09-03-2017, 09:41 door [Account Verwijderd] - Bijgewerkt: 09-03-2017, 10:04
[Verwijderd]
09-03-2017, 10:04 door [Account Verwijderd]
[Verwijderd]
09-03-2017, 11:43 door karma4 - Bijgewerkt: 09-03-2017, 16:32
Door Rinjani:
Door karma4: Ik ben te betrokken om het los te laten noem me maar een idealist. Nee voor het ego of geld daar gaat het me niet om.

Aaaaha! Je bent gewoon een hedendaagse Don Quichot! Dat verklaart veel, heel veel :-)

https://nl.wikipedia.org/wiki/Don_Quichot_(boek)
Zoek jij je voorbeeldfiguur bij machiavelli of sado. .. Een klokkenluider wereldverbeteraar wordt vaak afgedaan door hem in die hoek te willen zetten.. Vooral vanuit dd niet integere hoek.

Miguel Cervantes ik ben vereerd. Wat een impact met zoiets en hoe oud is dat inmiddels wel niet. Het eind van de verheerlijking van ridder prins op het witte paard. Als ik het eind van de verheerlijking van merkslaven (inclusief oss) kan bereiken zodat we voor gedegen secùrity privacy kunnen gaan dan zou ik ook wat bereikt hebben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search