Onderzoek: Meeste WordPress-sites draaien onveilig versie
De meeste WordPress-sites zijn onveilig omdat ze verouderde versies van het contentplatform draaien waarin beveiligingslekken aanwezig zijn. Dat laat IBM op basis van eigen onderzoek weten. Hoewel WordPress sinds oktober 2013 met de lancering van WordPress 3.7 over een automatische updatefunctie beschikt die kleine core-updates installeert, blijkt dat veel websites achterlopen.
Van de WordPress-sites die IBM onderzocht had minder dan 4 procent de meest recente versie geïnstalleerd. Daardoor lopen websites het risico om te worden gehackt en bijvoorbeeld voor phishing, spam, malware of het doorsturen van gebruikers naar andere websites te worden gebruikt. Verdere analyse van de gehackte WordPress-sites laat zien dat zelfs relatief "up-to-date" websites worden gecompromitteerd.
Bijna 68 procent van de gehackte hosts draait op een WordPress-versie van minder dan zes maanden (ongeveer drie versies) oud. Meer dan 40 procent draait een versie die minder dan 30 dagen (maximaal één versie) oud is. "Het feit dat een groot percentage van WordPress-installaties up-to-date is en nog steeds door spammers wordt gecompromitteerd, kan erop wijzen dat spammers misbruik van een WordPress-lek maken snel nadat het bekend wordt, wat de tijd verkort waarin een systeembeheerder de laatste WordPress-patches kan installeren", aldus de onderzoekers.
Ze stellen dat het gebruik van 'custom' plug-ins en themes ervoor kan zorgen dat beheerders automatische updates uitschakelen. "Updates kunnen de custom code resetten en daardoor de vormgeving en het uiterlijk van de websites beïnvloeden. In dit geval plaatsen de meeste beheerders klantervaring voor automatische veiligheid", merken de onderzoekers op. Ze stellen dat WordPress-beheerders naast het snel installeren van patches ook actief WordPress-sites op ongewenste content moeten scannen.
Verder veel af te serveren JQuery bibliotheken te zien. Vaak geen sri-hashes gegenereerd vooral voor externe links, dus vergrijpen tegen de "same origin" policy. Vaak staat user enumeratien nog aan, alsmede directory listing. En let ook even op de mogelijk kwetsbare iFrames of Cloaking (Google en Googlebot laten allebei wat anders zien).
De kern software is nog redelijk veilig, maar bij het gebruik van oude(re) en soms verlaten thema code en plug-ins begint de ellende pas goed, want er kunnen bugs in zitten met als gevolg dat er exploits te draaien zijn tegen zo'n site.
CMS moet goed geupdate, gepatcht en beveiligd worden. Neen, het zijn niet alleen maar amateurs, die steken laten vallen. Hoeveel plempen niet een website zo op het Internet en kijken er later niet meer of nauwelijks naar om.
En bij vele hosters is security ook niet prioriteit nummer een.
En er verandert echt niet veel. Zo'n 60 % van de WordPress sites zijn daarom onveilig. Het blijft huilen met de pet op en dweilen met de kraan open. Helaas pindakaas.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.