WordPress overweegt om onveilige sites automatisch te updaten
WordPress overweegt om onveilige websites die van het contentplatform gebruikmaken automatisch naar een veilige versie te updaten, zo heeft het via de eigen website bekendgemaakt. WordPress is het meestgebruikte contentplatform op internet. Volgens W3Techs draait 34,4 procent van de websites op WordPress. Hoewel het platform over een automatische updatefunctie beschikt, zijn er nog veel onveilige versies in gebruik.
WordPress overweegt dan ook om deze websites automatisch naar een veilige versie te updaten. Beheerders van deze websites worden van tevoren gewaarschuwd en krijgen de gelegenheid om de automatische update naar een veilige versie te voorkomen. Daarnaast wordt de automatische update op kleine schaal uitgerold, zodat WordPress kan controleren of websites blijven werken. Tevens is het plan om onveilige websites naar de oudste veilige versie te updaten, wat de kans dat er dingen misgaan moet verkleinen.
Volgens Ian Dunn van WordPress is het updaten van grote WordPress-versies al een relatief veilig proces. Toch wil het contentplatform niet dat websites door een automatische update stoppen met werken. Het plan is dan ook om eerst met een klein aantal websites te testen en eventuele problemen te verhelpen. Websites zullen ook één versie per keer worden geüpdatet, om de kans op problemen te verkleinen.
Het voornemen heeft voor zeer veel reacties van WordPress-gebruikers gezorgd. Veel gebruikers maken zich zorgen over problemen die zich bij het updaten kunnen voordoen, maar volgens Dunn is het risico van een automatische update voor deze onveilige sites veel kleiner dan via een beveiligingslek te worden aangevallen en overgenomen.
ook niet met automatische updates.
Verlaten code, dingen als plug-ins enz. draaien, die niet of nooit meer veilig worden.
Verkeerde basis instellingen.
Je zult het onbenul online moeten bestrijden, maar hoe doe je dat?
Ik ben al 14 jaar bezig en er is domweg te veel laag IQ aanwezig, dat constant in de weg zit.
Er gingen er uit mijn klas maar twee naar het lyceum.
Van diegenen, die toch verder moesten bleven de schriftjes op een ouderavond buiten beeld.
Trouwens als men eerder gaat voor geliktheid dan voor veilig, hoe wil je dan een veiliger infrastructuur
op PHP-gerelateerd CMS? Die beslissen, hebben er vaak geen verstand van. Hun taak is "geld maken
voor de aandeelhouders". Te veel "slimmeriken" zitten daarbij in de weg, dus dom en arm houden liefst.
#sockpuppet
Ik ben al 14 jaar bezig en er is domweg te veel laag IQ aanwezig, dat constant in de weg zit.
Er gingen er uit mijn klas maar twee naar het lyceum.
Van diegenen, die toch verder moesten bleven de schriftjes op een ouderavond buiten beeld.
#sockpuppet
Dit zijn heel fijne argumenten.
Ik ben al 14 jaar bezig en er is domweg te veel laag IQ aanwezig, dat constant in de weg zit.
Er gingen er uit mijn klas maar twee naar het lyceum.
Van diegenen, die toch verder moesten bleven de schriftjes op een ouderavond buiten beeld.
#sockpuppet
Dit zijn heel fijne argumenten.
Ik denk niet eens dat IQ het probleem is, het heeft eerder met tijd/geld/interresse (geen zin), etc. te maken.
Het is trouwens ook een hele arrogante houding.
Sinds PHP 7.3 is het bijna even krachtig en kwa performance als JAVA.
Sowieso, de veiligheid is geen PHP probleem, maar een developers probleem.
Symfony/Laravel is nu heel gewillig, omdat het een succesvolle modulatie framework is, en zeer optimaal is.
Elke software pakket heeft wel eens te maken met fouten en/of gaten, alleen is Wordpress het meest onveilige van alle PHP pakketten die er zijn, en dat kan ik zeggen uit ervaring.
Sinds het moment dat ik met OctoberCMS of puur Laravel bezig ben, wil ik niet anders.
Wordpress is leuk en handig voor hobbyisten, maar voor bedrijfsmatig gebruik, is het een no no.
C is een low-level taal. Kan je niet met PHP (interpreted language) vergelijken. Ik ga mijzelf niet herhalen om de ongeschiktheid van PHP t.o.v. bv. Java EE aan te tonen. De script kiddie die niet beter weet overtuig je toch niet.
en waarvoor het oorspronkelijk ontworpen werd.
Re: https://github.com/Sucuri/sucuri-wordpress-plugin/blob/master/sucuri.php
Net als veel andere zaken destijds qua grond-ontwerp niet klaar waren voor gebruik op Internet,
zoals JavaScript niet klaar was voor gebruik met html. Kijk zelf maar hier:
https://www.webtoolhub.com/tn561389-web-page-analyzer.aspx
MS-Dos niet voor Internet en zo verder en zo voort. De ervaring leerde Krakatau dit, denk ik,
zoals ik het ontdekte na veertien jaar 3rd party cold recon scannen.
Die woorden over JavaScript zijn niet van mij maar "from the horse's mouth", de oorspronkelijke ontwerper.
Iedereen die werkt met Retire.JS in de browser, Javasript Errors Notifier of Web Developer extensie
moet dit weten. Je zit met die erfenis, babel of geen babel, aanpassingen of niet.
Foutenjagers, fuzzers, linters weten dit. Alles kan niet op de schop, maar (onder)ken dan ook de/je beperkingen.
luntrus
C is een low-level taal. Kan je niet met PHP (interpreted language) vergelijken. Ik ga mijzelf niet herhalen om de ongeschiktheid van PHP t.o.v. bv. Java EE aan te tonen. De script kiddie die niet beter weet overtuig je toch niet.
het feit blijft gewoon dat als je een ervaren programmeur hebt, dat de taal niet uitmaakt. dan is PHP net zo veilig als iedere andere taal.
Het probleem is dat de drempel voor mensen om PHP te leren blijkbaar erg laag is, WAARDOOR je dus scriptkiddies krijgt die denken even snel een website te maken. Die dus geen idee hebben van op z'n minst de OWASP top 10. Waardoor PHP een slechte naam krijgt. Maar dat heeft dus niks met de taal te maken.
Waarom heeft dan meer dan 60% van met op PHP gebaseerde WordPress CMS websites
een of ander beveiligingsprobleem? Alle PHP input dient gefilterd en alle output ge-escaped,
want anders is PHP per default insecure! Zeker weer een security docent met het verkeerde txt-boek.
Als voor de niet-IT savvy website eigenaar geliktheid prioriteit heeft boven veiligheid, ga je de bietenbrug al op.
Cross Site Scripting, JavaScript injectie. Vooral verlaten code op plug-ins?
Hele automatische infectie campagnes door cybercriminelen om dergelijke sites te misbruiken.
"User enumeration" aan laten staan, "directory listing" aan laten staan.
Je zal zulke WordPress sites de kost moeten geven. Ik kan er elke dag duizenden de revue laten passeren,
en ook nog die kwaadaardigheid verspreiden, zie op UrlHaus maar.
Cheat sheet ernaast. Linten en fuzzen maar en zoek de "souces" en "sinks"voor DOM-XSS.
Succes gewenst met de oogst.
Het lijkt de krant van vroeger wel met "Zoek de tien verschillen", "cloaking", ïframe 0-0" etc.?
De ellende met WordPress CMS gebaseerde websites is lange van over, wat wij jullie hier brommen.
Het zijn juist de veredelde snel ingeklopte PHP-scripts, die dat in stand houden.
"Copy & paste" ook nog populair. Kosten gaan voor de baat uit, helaas pindakaas.
luntrus
"If `eval()` is the answer, you're almost certainly asking the wrong question."
(en "preg_replace" op WordPress met dezelfde achtergrond)
Quote van Rasmus Lerdorf, de man aan de wieg van PHP stond.
Gebruik niet de extract functie met $_GET, $_POST:
je brengt register_globals problemen terug via de achterdeur
#sockpuppet
Deze bejaardenhuis-site bijvoorbeeld met een verouderde WordPress versie voldoet niet aan de EU cookie wetgeving,
zie: https://www.cookiemetrix.com/display-report/medicoversenior.pl/a466bc686d91403a0008b0ceb7094ae2
Wow, 681 linting tips ter verbetering: https://webhint.io/scanner/f99c6e20-25b0-4518-91d7-ff8d64fc107f
Als je dit allemaal eens goed overdenkt.
Hoe denken we dan de infrastructuur slechts een beetje veiliger te kunnen gaan inrichten?
Overheid, wordt eens wakker. Beste developers, ga eens wat aan veilig coderen doen.
Streeft men niet feitelijk chaos na en denkt men dat Interwebz aan zichzelf ten onder zal gaan?
Dan kunnen de reguliere media de zaak weer overnemen en alles van boven af manipuleren, verwacht ik.
Je denkt voortdurend voor grote delen (zeker het amateuristische deel van het internet),
dat het met houtjes touwtjes aan elkaar hangt en is het meer geluk als wijsheid,
dat het nog zo functioneert als het functioneert. Ik verbaas me al lang nergens meer over.
jullie aller,
luntrus
If you're not paying, you're not the customer ;-)
Ja, juist, ook bij ons in Nederland. Zet je cybercrime tracker maar aan voor adressen van Host Sailor Ltd,
Dus niet alleen in Groot-Mokum, maar ook in de 'mediene' (de provincie).
Leuke jongens (not): lees - https://krebsonsecurity.com/tag/hostsailor-com/ AS 60117
If you're not paying, you're not the customer ;-) dus zeker niet de BRICS landen in het bovenstaande geval,
eerder DuZai.
Zoek eens bij jou in de buurt via de malware map of er iemand zo'n SPI VPN-adresje bezit.
#sockpuppet
Deze posting is gelocked. Reageren is niet meer mogelijk.
Technisch Security Specialist
De IT in de zorg professionaliseert. De beweging naar de Cloud brengt nieuwe mogelijkheden met zich mee maar ook de noodzaak om op security gebied stappen te zetten. Wil je die stap met ons zetten en werken in een dynamische, moderne IT omgeving? Solliciteer dan op deze veelzijdige functie!
Engineer IT-operations
Nationaal Cyber Security Centrum
Als engineer IT-operations werk je in DevOps-verband samen met de solution-engineers van het NCSC. Die zijn verantwoordelijk voor de implementatie, doorontwikkeling en het applicatief beheer van onze businessapplicaties. Jij vult de Ops-taken in. Jouw grootste uitdaging? Bestaande regels vertalen naar technische oplossingen.
(Senior) Solutions-engineer
Nationaal Cyber Security Centrum
Als (senior) technisch applicatie beheerder/developer ben je verantwoordelijk voor de implementatie, doorontwikkeling en het beheer van een aantal business applicaties en technische voorzieningen van het NCSC. Het gaat hierbij om applicaties en voorzieningen op het gebied van incident- en vulnerability management en malware analyse.