image

WordPress waarschuwt voor servers met oude PHP-versies

woensdag 16 januari 2019, 11:10 door Redactie, 9 reacties

WordPress zal de komende tijd waarschuwingen laten zien aan beheerders van wie de website op een verouderde versie van PHP draait. Dat heeft WordPress-ontwikkelaar Felix Arntz via een blogposting bekendgemaakt. Vanaf april zal WordPress alleen nog PHP versie 5.6 of nieuwer ondersteunen.

WordPress 5.1 zal daarom aan webmasters en beheerders een waarschuwing laten zien en helpen met het upgraden van de gebruikte PHP-versie wanneer nodig. De waarschuwing is onderdeel van Site Health Check, een project waarmee WordPress de stabiliteit en prestaties van het gehele WordPress-ecosysteem wil verbeteren.

De PHP-waarschuwing zal verschijnen bij alle PHP-versies lager dan 5.6. Volgens Gary Pendergast van WordPress draait 85 procent van de websites met WordPress 5.0 op PHP-versie 5.6 of nieuwer. De laagste PHP-versie die nog steeds beveiligingsupdates ontvangt is op dit moment versie 7.1. WordPress gaat nu de minimale vereiste naar PHP versie 5.6 verhogen.

Het is uiteindelijk de bedoeling dat door WordPress ondersteunde PHP-versies ook nog steeds beveiligingsupdates ontvangen. De waarschuwing die WordPress zal laten zien wijst naar deze pagina met informatie over het updaten van PHP. Naast het updaten van PHP heeft Pendergast voorgesteld om de minimaal vereiste MySQL-versie aan te passen naar versie 5.5. Van alle websites die op WordPress 5.0 draaien maakt 98,5 procent gebruik van MySQL 5.5 of nieuwer.

WordPress is het populairste contentmanagementsysteem (cms) op internet. Het wordt volgens cijfers van W3Techs door zo'n 33 procent van alle websites op internet gebruikt en heeft onder cms-platformen een marktaandeel van 60 procent.

Image

Reacties (9)
16-01-2019, 11:36 door Anoniem
Ik hoop wel dat die !#@$!#@$ rekening houden met distro's die back patchen anders kan ik weer gaan uitleggen aan klanten, dat de knurften bij wordpress beter hun mond kunnen houden.
16-01-2019, 12:18 door Briolet
Vanaf april zal WordPress alleen nog PHP versie 5.6 of nieuwer ondersteunen.
Wel een slap beleid, gezien dat 5.6 inmiddels end-of-live is en geen updates meer krijgt. Gezien het aantal security updates van vorig jaar, zal versie 5.6 binnen een paar maand ook onveilig zijn.
16-01-2019, 13:27 door Anoniem
Precies dezelfde reactie als bij de bootstrap.js versie 3 ellende. Het ontwikkel-team is druk bezig met versie 4.
"Move on, nothing to be seen here".

Hoe vaak hebben we hier de narigheid rond op PHP-gebaseerde content management software niet aangekaart.
Word Press maakt toch wel de minste indruk qua PHP-security vergeleken bij Joomla en Magenta 1 en 2. (magereport)

Werken aan een website met PHP met een cheat-sheet ernaast.
Je hebt dan wel mensen nodig die weten wat er gebeurt en eventueel kan gebeuren.
Wanneer waar je ~ verwacht en - aantreft.

Het eindeloze bibliotheken niet controleren op retirables met de online scanner van Erlend Oftedal bijvoorbeeld
of een webhint scannetje vol recommendaties.

Hoe vaak treffen we directory listing op enabled aan of hetzelfde voor user enumeration.
Nog hele volksstammen die niet van deze settings weten.
Dan heel wat sites met https, die toch nog over http te benaderen zijn.
Dit met alle XSS-DOM sinks en sources narigheid van dien.

Hoe vaak vallen Word Press websites niet ten prooi aan grote malware campagnes, bijvoorbeeld deze:
https://blog.sucuri.net/2018/10/saskmade-net-redirects.html.

Scan tenminste eens even hier: https://hackertarget.com/wordpress-security-scan/

Maar ja het is voor ondergetekende wederom roepen in de woestijn, paarlen voor de zwijnen werpen
en hier op security dot nl preaching to the choir.
Hoe velen blijven er nog slapen bij security instructie en zijn weer juist voor de toetst beveiliging gebakt?
https://sucuri.net/guides/how-to-clean-hacked-wordpress

#sockpuppet
16-01-2019, 14:48 door Anoniem
Door Briolet:
Vanaf april zal WordPress alleen nog PHP versie 5.6 of nieuwer ondersteunen.
Wel een slap beleid, gezien dat 5.6 inmiddels end-of-live is en geen updates meer krijgt. Gezien het aantal security updates van vorig jaar, zal versie 5.6 binnen een paar maand ook onveilig zijn.
Dat kan je op basis van versienummer niet zonder meer zeggen, aangezien diverse distro's beveiligingspatches backporten naar de versie waarmee ze geleverd zijn. Zo wordt PHP 5.3 nog onderhouden voor CentOS 6 en PHP 5.4 voor CentOS 7.

Even iets gechargeerd: je zou qua veiligheid dus zelfs beter af kunnen zijn met een oude PHP versie, aangezien die nog wel voorzien wordt van beveiligingspatches en PHP 5.6 niet.
16-01-2019, 21:50 door WPbeveiligen
Ik vertel vaak dat upgraden naar php 7+ belangrijk is.
Het is niet alleen veiliger maar ook sneller, tot wel 2.5x sneller!
Reden genoeg, maar binnenkort is het dus echt verplicht.

Nu https nog even verplichten, dat zie ik ook nog te vaak voorbij komen :)
16-01-2019, 23:22 door Anoniem
Als je thema's en plug-ins maar goed gehooked zijn in WP is terugwaartse compatibiliteit meestal geen issue,
een paar uitzonderingen daargelaten. Maar dat is te checken, zoals bij de MU-pug-in (werkt alleen onder php-5).

Zie https://wpengine.com/blog/php-7-compatibility-checker-plugin/

Ik zie nog de meeste problemen met oudated code en jQuery retirement issues.
Dit overkomt nog 33% van de top WP-websites.

Soms moet de cache in chrome worden verwijderd met een geforveerde Ctr + F5 omdat ie nog steeds ouwe stijl CSS laadt.

Jammer dat deze online check site niet meer aanwezig is, mogelijk vanwege een eerdere malware infectie.
Maar je kunt het nog draaien onder Tamper Monkey: https://www.aldeid.com/wiki/Jsunpackn

Jammer dat zoveel nuttige resources soms niet meer onderhouden worden - Internet rot van allerlei nuttigheid,
of tools worden door de grote jongens overgenomen, vervolgens verlaten en zo als innovatie de grond in geboord.
De monopolist ((h)er)kent alleen zichzelf. Wanneer gaan we dat algemeen nu een inzien en eisen we wat terug voor onze
data-bijdragen, in welke vorm ook.

luntrus
17-01-2019, 10:46 door Anoniem

Nu https nog even verplichten, dat zie ik ook nog te vaak voorbij komen :)

Nu nog even verplichten dat iedereen in de it een unversitaire opleiding heeft afgerond, en zicht alleen maar bezighoud met zijn specialisatie en niet bij hobbied in andere it deelgebieden.
17-01-2019, 12:28 door Anoniem
@ anoniem van 10:46

Als je bij voorbeeld bij een Word Press website 340 aanbevelingen kan geven met 120 daarvan, die security gerelateerd zijn, komt dat heus niet alleen, omdat voor het goed inrichten van een website door developers een universitaire opleiding vereist is of een specialisatie. Je kunt ook als 80-jarige zonder rijbewijs 60 jaar wegervaring hebben, zoals laatst die mevrouw in Grunne. Je wordt dan toch door een ambtenaar van 's Lands Wapen wel van de weg gehaald bij een controle.

We hebben bij websites gewoon te weinig oog voor de belangrijkheid van veiligheid. Het is sluitstuk in het geheel. Een gelikte Magento 1 of 2 webshop site gemaakt door "specialisten" van eigen bodem en toch wemelt het van de onveiligheid, zodat een beetje hacker er bijvoorbeeld creditcards op kan skimmen om maar eens een zijstraat te noemen.

Dat geldt niet alleen in het geval van website security. Ook op website servers, naamservers, DNS servers en dergelijke idem dito. Zit je met je sub-domein op een gratis afraid dot org account, is ineens dat sub-domein niet meer het jouwe. Wenselijke situatie? (not). Phishing, scam, crap, bloatware, adware, PUPs, wenselijke situatie? (not), maar we komen er zowat in om.

Dan is er toch iets ergens fundamenteel mis. Dat moet je willen benoemen. Waarom gaat iemand met een opleiding aan een hoger instituut een website bouwen met meer jQuery bibliotheek versies als Engelse drop en laat af te voeren kwetsbare bibliotheken gewoon staan? Waarom is security in het onderwijs vaak het ondergeschoven kindje.

Natuurlijk moet niet alleen Technische IT weten over aanvalsverzoeken als "<?" bij PHP voor het uitvoeren van locale commando's op een remote host als PHP slecht geschreven is en daarvoor reguliere expressies te ontwikkelen. Aanval vectoren als "%", "%00", "|" (pipe), "!" voor http://host1/something.php=<!%20--#include%20virtual="http://host2/fake-article.html"--> een file vanaf B invoegen, alsof die van A schijnt te komen. Ik bedoel maar. Maar ja, als de waarheid je stoort, krijg je dat soort reactie's. Net als die parlementsvoorzitter in Engeland: "I rest my case, Order, order ;)"

#sockpuppet
20-01-2019, 19:29 door Anoniem
Door Anoniem: Ik hoop wel dat die !#@$!#@$ rekening houden met distro's die back patchen anders kan ik weer gaan uitleggen aan klanten, dat de knurften bij wordpress beter hun mond kunnen houden.

Waarom waarschuwen ze ook....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.