Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

WordPress overweegt om onveilige sites automatisch te updaten

maandag 12 augustus 2019, 08:05 door Redactie, 16 reacties

WordPress overweegt om onveilige websites die van het contentplatform gebruikmaken automatisch naar een veilige versie te updaten, zo heeft het via de eigen website bekendgemaakt. WordPress is het meestgebruikte contentplatform op internet. Volgens W3Techs draait 34,4 procent van de websites op WordPress. Hoewel het platform over een automatische updatefunctie beschikt, zijn er nog veel onveilige versies in gebruik.

WordPress overweegt dan ook om deze websites automatisch naar een veilige versie te updaten. Beheerders van deze websites worden van tevoren gewaarschuwd en krijgen de gelegenheid om de automatische update naar een veilige versie te voorkomen. Daarnaast wordt de automatische update op kleine schaal uitgerold, zodat WordPress kan controleren of websites blijven werken. Tevens is het plan om onveilige websites naar de oudste veilige versie te updaten, wat de kans dat er dingen misgaan moet verkleinen.

Volgens Ian Dunn van WordPress is het updaten van grote WordPress-versies al een relatief veilig proces. Toch wil het contentplatform niet dat websites door een automatische update stoppen met werken. Het plan is dan ook om eerst met een klein aantal websites te testen en eventuele problemen te verhelpen. Websites zullen ook één versie per keer worden geüpdatet, om de kans op problemen te verkleinen.

Het voornemen heeft voor zeer veel reacties van WordPress-gebruikers gezorgd. Veel gebruikers maken zich zorgen over problemen die zich bij het updaten kunnen voordoen, maar volgens Dunn is het risico van een automatische update voor deze onveilige sites veel kleiner dan via een beveiligingslek te worden aangevallen en overgenomen.

Vijf personen doelwit van aanval met Firefox-zerodays
Cryptobeurs Binance afgeperst met 10.000 gestolen foto's
Reacties (16)
12-08-2019, 08:22 door Krakatau - Bijgewerkt: 12-08-2019, 08:29
Dat gaat gedonder geven natuurlijk. Wordpress kan wel updates kleinschalig uitrollen en concluderen dat het goed is, echter er zullen altijd sites zijn die bepaalde plug-ins gebruiken, in een bepaalde configuratie, die problemen geven met een geüpdatete Wordpress versie. Dan gaat zo'n site onderuit, met mogelijke reputatieschade en inkomstenderving tot gevolg. Nu kan je je afvragen wat je reputatie je waard is als je met PHP-stacks werkt, maar dat terzijde. Wie gaat er opdraaien voor zoiets? Kan Wordpress dit afdekken in hun gebruiksvoorwaarden?
12-08-2019, 08:37 door Anoniem
Door Krakatau: Nu kan je je afvragen wat je reputatie je waard is als je met PHP-stacks werkt, maar dat terzijde.
Kan dat ongefundeerde geneuzel niet eens afgelopen zijn? Geef dan óf goede argumenten (hint: 'het is PHP' is een drogreden ;) ) of houd gewoon je klep. Iedere taal staat het toe om misbaksels te bouwen, of vergeten dat een fors aantal van de beveiligingsproblemen de laatste tijd veroorzaakt zijn door buffer overflows? Zijn de C talen dan ook onprofessioneel?
12-08-2019, 09:18 door Anoniem
Tegen domheid van de onderhouders van websites valt niet op te boksen,
ook niet met automatische updates.

Verlaten code, dingen als plug-ins enz. draaien, die niet of nooit meer veilig worden.
Verkeerde basis instellingen.

Je zult het onbenul online moeten bestrijden, maar hoe doe je dat?
Ik ben al 14 jaar bezig en er is domweg te veel laag IQ aanwezig, dat constant in de weg zit.

Er gingen er uit mijn klas maar twee naar het lyceum.
Van diegenen, die toch verder moesten bleven de schriftjes op een ouderavond buiten beeld.

Trouwens als men eerder gaat voor geliktheid dan voor veilig, hoe wil je dan een veiliger infrastructuur
op PHP-gerelateerd CMS? Die beslissen, hebben er vaak geen verstand van. Hun taak is "geld maken
voor de aandeelhouders". Te veel "slimmeriken" zitten daarbij in de weg, dus dom en arm houden liefst.

#sockpuppet
12-08-2019, 10:33 door Anoniem
Door Anoniem: Je zult het onbenul online moeten bestrijden, maar hoe doe je dat?
Ik ben al 14 jaar bezig en er is domweg te veel laag IQ aanwezig, dat constant in de weg zit.

Er gingen er uit mijn klas maar twee naar het lyceum.
Van diegenen, die toch verder moesten bleven de schriftjes op een ouderavond buiten beeld.

#sockpuppet

Dit zijn heel fijne argumenten.
12-08-2019, 13:27 door Anoniem
Door Krakatau: Dat gaat gedonder geven natuurlijk. Wordpress kan wel updates kleinschalig uitrollen en concluderen dat het goed is, echter er zullen altijd sites zijn die bepaalde plug-ins gebruiken, in een bepaalde configuratie, die problemen geven met een geüpdatete Wordpress versie. Dan gaat zo'n site onderuit, met mogelijke reputatieschade en inkomstenderving tot gevolg. Nu kan je je afvragen wat je reputatie je waard is als je met PHP-stacks werkt, maar dat terzijde. Wie gaat er opdraaien voor zoiets? Kan Wordpress dit afdekken in hun gebruiksvoorwaarden?
Ik denk dat het net de bedoeling is van wordpress dat webmasters nu ook worden gedwongen hun website up-to-date te houden. Tevens moet elke website up-to-date blijven naar mijn mening...
12-08-2019, 15:10 door Anoniem
Door Anoniem:
Door Anoniem: Je zult het onbenul online moeten bestrijden, maar hoe doe je dat?
Ik ben al 14 jaar bezig en er is domweg te veel laag IQ aanwezig, dat constant in de weg zit.

Er gingen er uit mijn klas maar twee naar het lyceum.
Van diegenen, die toch verder moesten bleven de schriftjes op een ouderavond buiten beeld.

#sockpuppet

Dit zijn heel fijne argumenten.

Ik denk niet eens dat IQ het probleem is, het heeft eerder met tijd/geld/interresse (geen zin), etc. te maken.

Het is trouwens ook een hele arrogante houding.
12-08-2019, 16:18 door Power2All
Ik snap het haat naar PHP echt niet.
Sinds PHP 7.3 is het bijna even krachtig en kwa performance als JAVA.
Sowieso, de veiligheid is geen PHP probleem, maar een developers probleem.
Symfony/Laravel is nu heel gewillig, omdat het een succesvolle modulatie framework is, en zeer optimaal is.
Elke software pakket heeft wel eens te maken met fouten en/of gaten, alleen is Wordpress het meest onveilige van alle PHP pakketten die er zijn, en dat kan ik zeggen uit ervaring.
Sinds het moment dat ik met OctoberCMS of puur Laravel bezig ben, wil ik niet anders.
Wordpress is leuk en handig voor hobbyisten, maar voor bedrijfsmatig gebruik, is het een no no.
12-08-2019, 16:57 door Anoniem
Software dient up-to-date worden gehouden, jouw os, een website, zoniet, begin er dan niet aan en gebruik je software offline, want je maakt andere mensen ermee kapot.
12-08-2019, 20:04 door Krakatau
Door Anoniem:
Door Krakatau: Nu kan je je afvragen wat je reputatie je waard is als je met PHP-stacks werkt, maar dat terzijde.
Kan dat ongefundeerde geneuzel niet eens afgelopen zijn? Geef dan óf goede argumenten (hint: 'het is PHP' is een drogreden ;) ) of houd gewoon je klep. Iedere taal staat het toe om misbaksels te bouwen, of vergeten dat een fors aantal van de beveiligingsproblemen de laatste tijd veroorzaakt zijn door buffer overflows? Zijn de C talen dan ook onprofessioneel?

C is een low-level taal. Kan je niet met PHP (interpreted language) vergelijken. Ik ga mijzelf niet herhalen om de ongeschiktheid van PHP t.o.v. bv. Java EE aan te tonen. De script kiddie die niet beter weet overtuig je toch niet.
12-08-2019, 21:26 door Anoniem
Men moet Krakatau in feite toch bijvallen, als je alleen maar kijkt naar de geschiedenis van PHP
en waarvoor het oorspronkelijk ontworpen werd.
Re: https://github.com/Sucuri/sucuri-wordpress-plugin/blob/master/sucuri.php

Net als veel andere zaken destijds qua grond-ontwerp niet klaar waren voor gebruik op Internet,
zoals JavaScript niet klaar was voor gebruik met html. Kijk zelf maar hier:
https://www.webtoolhub.com/tn561389-web-page-analyzer.aspx
MS-Dos niet voor Internet en zo verder en zo voort. De ervaring leerde Krakatau dit, denk ik,
zoals ik het ontdekte na veertien jaar 3rd party cold recon scannen.

Die woorden over JavaScript zijn niet van mij maar "from the horse's mouth", de oorspronkelijke ontwerper.

Iedereen die werkt met Retire.JS in de browser, Javasript Errors Notifier of Web Developer extensie
moet dit weten. Je zit met die erfenis, babel of geen babel, aanpassingen of niet.
Foutenjagers, fuzzers, linters weten dit. Alles kan niet op de schop, maar (onder)ken dan ook de/je beperkingen.

luntrus
13-08-2019, 09:08 door Whacko
Door Krakatau:
Door Anoniem:
Door Krakatau: Nu kan je je afvragen wat je reputatie je waard is als je met PHP-stacks werkt, maar dat terzijde.
Kan dat ongefundeerde geneuzel niet eens afgelopen zijn? Geef dan óf goede argumenten (hint: 'het is PHP' is een drogreden ;) ) of houd gewoon je klep. Iedere taal staat het toe om misbaksels te bouwen, of vergeten dat een fors aantal van de beveiligingsproblemen de laatste tijd veroorzaakt zijn door buffer overflows? Zijn de C talen dan ook onprofessioneel?

C is een low-level taal. Kan je niet met PHP (interpreted language) vergelijken. Ik ga mijzelf niet herhalen om de ongeschiktheid van PHP t.o.v. bv. Java EE aan te tonen. De script kiddie die niet beter weet overtuig je toch niet.
Blijkbaar is een "ervaren" vastgeroeste babyboomer ook niet meer te overtuigen van zijn ongelijk.

het feit blijft gewoon dat als je een ervaren programmeur hebt, dat de taal niet uitmaakt. dan is PHP net zo veilig als iedere andere taal.
Het probleem is dat de drempel voor mensen om PHP te leren blijkbaar erg laag is, WAARDOOR je dus scriptkiddies krijgt die denken even snel een website te maken. Die dus geen idee hebben van op z'n minst de OWASP top 10. Waardoor PHP een slechte naam krijgt. Maar dat heeft dus niks met de taal te maken.
13-08-2019, 09:51 door Anoniem
@Krakatau & Whacko,

Waarom heeft dan meer dan 60% van met op PHP gebaseerde WordPress CMS websites
een of ander beveiligingsprobleem? Alle PHP input dient gefilterd en alle output ge-escaped,
want anders is PHP per default insecure! Zeker weer een security docent met het verkeerde txt-boek.

Als voor de niet-IT savvy website eigenaar geliktheid prioriteit heeft boven veiligheid, ga je de bietenbrug al op.
Cross Site Scripting, JavaScript injectie. Vooral verlaten code op plug-ins?
Hele automatische infectie campagnes door cybercriminelen om dergelijke sites te misbruiken.

"User enumeration" aan laten staan, "directory listing" aan laten staan.
Je zal zulke WordPress sites de kost moeten geven. Ik kan er elke dag duizenden de revue laten passeren,
en ook nog die kwaadaardigheid verspreiden, zie op UrlHaus maar.

Cheat sheet ernaast. Linten en fuzzen maar en zoek de "souces" en "sinks"voor DOM-XSS.
Succes gewenst met de oogst.

Het lijkt de krant van vroeger wel met "Zoek de tien verschillen", "cloaking", ïframe 0-0" etc.?

De ellende met WordPress CMS gebaseerde websites is lange van over, wat wij jullie hier brommen.
Het zijn juist de veredelde snel ingeklopte PHP-scripts, die dat in stand houden.
"Copy & paste" ook nog populair. Kosten gaan voor de baat uit, helaas pindakaas.

luntrus
13-08-2019, 14:26 door Anoniem
Krakatau heeft toch gelijk,

"If `eval()` is the answer, you're almost certainly asking the wrong question."
(en "preg_replace" op WordPress met dezelfde achtergrond)
Quote van Rasmus Lerdorf, de man aan de wieg van PHP stond.

Gebruik niet de extract functie met $_GET, $_POST:
je brengt register_globals problemen terug via de achterdeur

#sockpuppet
14-08-2019, 09:03 door Anoniem
Er is nog veel te doen bij heel veel brakke Word Press sites.

Deze bejaardenhuis-site bijvoorbeeld met een verouderde WordPress versie voldoet niet aan de EU cookie wetgeving,
zie: https://www.cookiemetrix.com/display-report/medicoversenior.pl/a466bc686d91403a0008b0ceb7094ae2

Wow, 681 linting tips ter verbetering: https://webhint.io/scanner/f99c6e20-25b0-4518-91d7-ff8d64fc107f

Als je dit allemaal eens goed overdenkt.

Hoe denken we dan de infrastructuur slechts een beetje veiliger te kunnen gaan inrichten?
Overheid, wordt eens wakker. Beste developers, ga eens wat aan veilig coderen doen.

Streeft men niet feitelijk chaos na en denkt men dat Interwebz aan zichzelf ten onder zal gaan?
Dan kunnen de reguliere media de zaak weer overnemen en alles van boven af manipuleren, verwacht ik.

Je denkt voortdurend voor grote delen (zeker het amateuristische deel van het internet),
dat het met houtjes touwtjes aan elkaar hangt en is het meer geluk als wijsheid,
dat het nog zo functioneert als het functioneert. Ik verbaas me al lang nergens meer over.

jullie aller,
luntrus
15-08-2019, 17:24 door Anoniem
Door Krakatau: Wie gaat er opdraaien voor zoiets?

If you're not paying, you're not the customer ;-)
15-08-2019, 17:47 door Anoniem
Maar er zijn er ook die zich goed voelen op WordPress voor een dedicated bulletproof server,
Ja, juist, ook bij ons in Nederland. Zet je cybercrime tracker maar aan voor adressen van Host Sailor Ltd,
Dus niet alleen in Groot-Mokum, maar ook in de 'mediene' (de provincie).

Leuke jongens (not): lees - https://krebsonsecurity.com/tag/hostsailor-com/ AS 60117

If you're not paying, you're not the customer ;-) dus zeker niet de BRICS landen in het bovenstaande geval,
eerder DuZai.

Zoek eens bij jou in de buurt via de malware map of er iemand zo'n SPI VPN-adresje bezit.

#sockpuppet
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Vacature
Vacature

Technisch Security Specialist

De IT in de zorg professionaliseert. De beweging naar de Cloud brengt nieuwe mogelijkheden met zich mee maar ook de noodzaak om op security gebied stappen te zetten. Wil je die stap met ons zetten en werken in een dynamische, moderne IT omgeving? Solliciteer dan op deze veelzijdige functie!

Lees meer

Welke messaging-app gebruik jij?

32 reacties
Aantal stemmen: 1026
Vacature
Vacature

Engineer IT-operations

Nationaal Cyber Security Centrum

Als engineer IT-operations werk je in DevOps-verband samen met de solution-engineers van het NCSC. Die zijn verantwoordelijk voor de implementatie, doorontwikkeling en het applicatief beheer van onze businessapplicaties. Jij vult de Ops-taken in. Jouw grootste uitdaging? Bestaande regels vertalen naar technische oplossingen.

Lees meer
Vacature
Vacature

(Senior) Solutions-engineer

Nationaal Cyber Security Centrum

Als (senior) technisch applicatie beheerder/developer ben je verantwoordelijk voor de implementatie, doorontwikkeling en het beheer van een aantal business applicaties en technische voorzieningen van het NCSC. Het gaat hierbij om applicaties en voorzieningen op het gebied van incident- en vulnerability management en malware analyse.

Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter