Flikker dat WordPress nou eens in de vuilnisbak, het blijkt keer op keer dat de meeste ellende veroorzaakt wordt door die CRM systemen. Lekker ff snel een website in elkaar flansen zonder kennis van zaken is wel lekker handig maar o zo dom.

"de meeste ellende veroorzaakt wordt door die CRM systemen"

Nee, de meeste ellende wordt veroorzaakt door de zogenaamde hackers.

CRM systeem nog wel volgens mij is het altijd nog een CMS systeem waar je updates voor dient te draaien :-)

Het is meestal de plugins welke zijn geschreven door anderen dan WP die dit mogenlijk maken. Een security module voor Apache, Nginx, etc beschermt meestal ook goed tegen aanvallen maar deze moet door hoster wel geinstalleerd zijn meeste hosters doen dit niet of je moet een dedi server hebben dan kan je het zelf doen. Om nu gelijk WP de schuld te geven is kort door de bocht en ja mensen willen een blog, forum, etc maar hebben geen kaas gegeten van html/php... maakt ze niet gelijk dom.

Meer dan driekwart van de op PHP gebaseerde installaties zijn onveilig. Dat is een feit dat al een tijdje bekend moet worden verondersteld: https://developers.slashdot.org/story/14/12/31/002253/over-78-of-all-php-installs-are-insecure.

Wat te denken van een PHP gebaseerd CMS als WordPress in de handen van amateurs, die een beetje zitten te "knoeien" met PHP? Diegenen, die user enumeration op enabled hebben laten staan en ook directory listing op aan laten staan. Ze draaien niet de laatste versie voor de core software en de plug-ins. Ze draaien kwetsbare af te voeren jQuery bibliotheken vol errors en kwetsbaarheden *.

Word Press CMS is ook een content management software zonder toepassing van interne encryptie: https://paragonie.com/blog/2016/08/on-insecurity-popular-open-source-php-cms-platforms

Een http WordPress site "vliegt"meestal open via een Intellitamper scan en zit vol sources en sinks wanneer getest op DOM-XSS kwetsbaarheden en via een SQL scanner. Lees ook https://paragonie.com/blog/2017/12/2018-guide-building-secure-php-software Eigenlijk een contradictio in terminis - PHP en veiligheid per se, een eeuwigdurende tegenspraak in zichzelf.

Ik check al jaren websites via https://hackertarget.com/wordpress-security-scan/ en dat is niet om vrolijk van te worden. Linten met de scanner hier levert ook heel wat security issues op: https://webhint.io/ *

PHP gebruiken met diverse cheat sheets ernaast? Zelfde verhaal geldt in zekere mate ook voor Drupal en Joomla.

Als de meeste ellende veroorzaakt wordt door hackers (opm. anoniem van 13:28) en cybercriminelen ligt dat ook aan het gemak waarmee zo'n WordPress website via outdated plug-in code vaak kan worden gecompromitteerd.

Het is "en" "en". Het is de proliferatie van het Word Press CMS, het vaak brakke security niveau van de beveiliging bij web-developer, website admin en hosting party en de vaardigheid van hackers, die vaak volledig geautomatiseerd via een shodannetje etc. in kunnen breken voor hun injectie "pareltjes". Voor Magento gelt dit verhaal overigens ook. Ga maar naar magereport en de recente Willem de G. verhalen/rapporten hieromtrent.

Het verschil wordt vandaag alleen gemaakt door o.a. https en de betere cloudbeveiliging, dus nog meer security through obscurity. Een grote echte beveiligingsslag, die echt zoden aan de dijk zet, die zie ik nog vooralsnog niet gemaakt worden. "Helaas pindakaas"..

luntrus

Richten deze frauduleuze helpdesken zich op Nederlandse nummers? Die heb ik ook al enkele keren gezien.
Zelfs met 0800-nummer. Vaak kom je via de OPTA/ACM snel te weet wie de eigenaar is van een telefoonnummer, waarna een abuse-mailtje snel werkt.

Bij op php-gebaseerde Content Management Software, zoals Word Press, Magenta1 & 2 en Drupal zien we nogal eens wat developer files, die nog aanwezig zijn gebleven en die daarmee een gevaar opleveren, wanneer een hacker ze kan benaderen en compromitteren (Magento). Brute force aanvallen zijn ook niet ondenkbaar, ook met behulp van Jack the Ripper en shell code aanvallen (Drupal).

De meeste developers zijn zich niet bewust van welk aanvalsoppervlak ze nog hebben "open staan". Websites ontwikkelen met "security in mind" wordt nog te weinig gedaan en er wordt ook in opleidingen nog te weinig aandacht aan besteed. Met gebruik maken van andermans code neem je ook andermans zwakheden en fouten over.

luntrus