image

WordPress overweegt om onveilige sites automatisch te updaten

maandag 12 augustus 2019, 08:05 door Redactie, 16 reacties

WordPress overweegt om onveilige websites die van het contentplatform gebruikmaken automatisch naar een veilige versie te updaten, zo heeft het via de eigen website bekendgemaakt. WordPress is het meestgebruikte contentplatform op internet. Volgens W3Techs draait 34,4 procent van de websites op WordPress. Hoewel het platform over een automatische updatefunctie beschikt, zijn er nog veel onveilige versies in gebruik.

WordPress overweegt dan ook om deze websites automatisch naar een veilige versie te updaten. Beheerders van deze websites worden van tevoren gewaarschuwd en krijgen de gelegenheid om de automatische update naar een veilige versie te voorkomen. Daarnaast wordt de automatische update op kleine schaal uitgerold, zodat WordPress kan controleren of websites blijven werken. Tevens is het plan om onveilige websites naar de oudste veilige versie te updaten, wat de kans dat er dingen misgaan moet verkleinen.

Volgens Ian Dunn van WordPress is het updaten van grote WordPress-versies al een relatief veilig proces. Toch wil het contentplatform niet dat websites door een automatische update stoppen met werken. Het plan is dan ook om eerst met een klein aantal websites te testen en eventuele problemen te verhelpen. Websites zullen ook één versie per keer worden geüpdatet, om de kans op problemen te verkleinen.

Het voornemen heeft voor zeer veel reacties van WordPress-gebruikers gezorgd. Veel gebruikers maken zich zorgen over problemen die zich bij het updaten kunnen voordoen, maar volgens Dunn is het risico van een automatische update voor deze onveilige sites veel kleiner dan via een beveiligingslek te worden aangevallen en overgenomen.

Reacties (16)
12-08-2019, 08:22 door Krakatau - Bijgewerkt: 12-08-2019, 08:29
Dat gaat gedonder geven natuurlijk. Wordpress kan wel updates kleinschalig uitrollen en concluderen dat het goed is, echter er zullen altijd sites zijn die bepaalde plug-ins gebruiken, in een bepaalde configuratie, die problemen geven met een geüpdatete Wordpress versie. Dan gaat zo'n site onderuit, met mogelijke reputatieschade en inkomstenderving tot gevolg. Nu kan je je afvragen wat je reputatie je waard is als je met PHP-stacks werkt, maar dat terzijde. Wie gaat er opdraaien voor zoiets? Kan Wordpress dit afdekken in hun gebruiksvoorwaarden?
12-08-2019, 08:37 door Anoniem
Door Krakatau: Nu kan je je afvragen wat je reputatie je waard is als je met PHP-stacks werkt, maar dat terzijde.
Kan dat ongefundeerde geneuzel niet eens afgelopen zijn? Geef dan óf goede argumenten (hint: 'het is PHP' is een drogreden ;) ) of houd gewoon je klep. Iedere taal staat het toe om misbaksels te bouwen, of vergeten dat een fors aantal van de beveiligingsproblemen de laatste tijd veroorzaakt zijn door buffer overflows? Zijn de C talen dan ook onprofessioneel?
12-08-2019, 09:18 door Anoniem
Tegen domheid van de onderhouders van websites valt niet op te boksen,
ook niet met automatische updates.

Verlaten code, dingen als plug-ins enz. draaien, die niet of nooit meer veilig worden.
Verkeerde basis instellingen.

Je zult het onbenul online moeten bestrijden, maar hoe doe je dat?
Ik ben al 14 jaar bezig en er is domweg te veel laag IQ aanwezig, dat constant in de weg zit.

Er gingen er uit mijn klas maar twee naar het lyceum.
Van diegenen, die toch verder moesten bleven de schriftjes op een ouderavond buiten beeld.

Trouwens als men eerder gaat voor geliktheid dan voor veilig, hoe wil je dan een veiliger infrastructuur
op PHP-gerelateerd CMS? Die beslissen, hebben er vaak geen verstand van. Hun taak is "geld maken
voor de aandeelhouders". Te veel "slimmeriken" zitten daarbij in de weg, dus dom en arm houden liefst.

#sockpuppet
12-08-2019, 10:33 door Anoniem
Door Anoniem: Je zult het onbenul online moeten bestrijden, maar hoe doe je dat?
Ik ben al 14 jaar bezig en er is domweg te veel laag IQ aanwezig, dat constant in de weg zit.

Er gingen er uit mijn klas maar twee naar het lyceum.
Van diegenen, die toch verder moesten bleven de schriftjes op een ouderavond buiten beeld.

#sockpuppet

Dit zijn heel fijne argumenten.
12-08-2019, 13:27 door Anoniem
Door Krakatau: Dat gaat gedonder geven natuurlijk. Wordpress kan wel updates kleinschalig uitrollen en concluderen dat het goed is, echter er zullen altijd sites zijn die bepaalde plug-ins gebruiken, in een bepaalde configuratie, die problemen geven met een geüpdatete Wordpress versie. Dan gaat zo'n site onderuit, met mogelijke reputatieschade en inkomstenderving tot gevolg. Nu kan je je afvragen wat je reputatie je waard is als je met PHP-stacks werkt, maar dat terzijde. Wie gaat er opdraaien voor zoiets? Kan Wordpress dit afdekken in hun gebruiksvoorwaarden?
Ik denk dat het net de bedoeling is van wordpress dat webmasters nu ook worden gedwongen hun website up-to-date te houden. Tevens moet elke website up-to-date blijven naar mijn mening...
12-08-2019, 15:10 door Anoniem
Door Anoniem:
Door Anoniem: Je zult het onbenul online moeten bestrijden, maar hoe doe je dat?
Ik ben al 14 jaar bezig en er is domweg te veel laag IQ aanwezig, dat constant in de weg zit.

Er gingen er uit mijn klas maar twee naar het lyceum.
Van diegenen, die toch verder moesten bleven de schriftjes op een ouderavond buiten beeld.

#sockpuppet

Dit zijn heel fijne argumenten.

Ik denk niet eens dat IQ het probleem is, het heeft eerder met tijd/geld/interresse (geen zin), etc. te maken.

Het is trouwens ook een hele arrogante houding.
12-08-2019, 16:18 door Power2All
Ik snap het haat naar PHP echt niet.
Sinds PHP 7.3 is het bijna even krachtig en kwa performance als JAVA.
Sowieso, de veiligheid is geen PHP probleem, maar een developers probleem.
Symfony/Laravel is nu heel gewillig, omdat het een succesvolle modulatie framework is, en zeer optimaal is.
Elke software pakket heeft wel eens te maken met fouten en/of gaten, alleen is Wordpress het meest onveilige van alle PHP pakketten die er zijn, en dat kan ik zeggen uit ervaring.
Sinds het moment dat ik met OctoberCMS of puur Laravel bezig ben, wil ik niet anders.
Wordpress is leuk en handig voor hobbyisten, maar voor bedrijfsmatig gebruik, is het een no no.
12-08-2019, 16:57 door Anoniem
Software dient up-to-date worden gehouden, jouw os, een website, zoniet, begin er dan niet aan en gebruik je software offline, want je maakt andere mensen ermee kapot.
12-08-2019, 20:04 door Krakatau
Door Anoniem:
Door Krakatau: Nu kan je je afvragen wat je reputatie je waard is als je met PHP-stacks werkt, maar dat terzijde.
Kan dat ongefundeerde geneuzel niet eens afgelopen zijn? Geef dan óf goede argumenten (hint: 'het is PHP' is een drogreden ;) ) of houd gewoon je klep. Iedere taal staat het toe om misbaksels te bouwen, of vergeten dat een fors aantal van de beveiligingsproblemen de laatste tijd veroorzaakt zijn door buffer overflows? Zijn de C talen dan ook onprofessioneel?

C is een low-level taal. Kan je niet met PHP (interpreted language) vergelijken. Ik ga mijzelf niet herhalen om de ongeschiktheid van PHP t.o.v. bv. Java EE aan te tonen. De script kiddie die niet beter weet overtuig je toch niet.
12-08-2019, 21:26 door Anoniem
Men moet Krakatau in feite toch bijvallen, als je alleen maar kijkt naar de geschiedenis van PHP
en waarvoor het oorspronkelijk ontworpen werd.
Re: https://github.com/Sucuri/sucuri-wordpress-plugin/blob/master/sucuri.php

Net als veel andere zaken destijds qua grond-ontwerp niet klaar waren voor gebruik op Internet,
zoals JavaScript niet klaar was voor gebruik met html. Kijk zelf maar hier:
https://www.webtoolhub.com/tn561389-web-page-analyzer.aspx
MS-Dos niet voor Internet en zo verder en zo voort. De ervaring leerde Krakatau dit, denk ik,
zoals ik het ontdekte na veertien jaar 3rd party cold recon scannen.

Die woorden over JavaScript zijn niet van mij maar "from the horse's mouth", de oorspronkelijke ontwerper.

Iedereen die werkt met Retire.JS in de browser, Javasript Errors Notifier of Web Developer extensie
moet dit weten. Je zit met die erfenis, babel of geen babel, aanpassingen of niet.
Foutenjagers, fuzzers, linters weten dit. Alles kan niet op de schop, maar (onder)ken dan ook de/je beperkingen.

luntrus
13-08-2019, 09:08 door Whacko
Door Krakatau:
Door Anoniem:
Door Krakatau: Nu kan je je afvragen wat je reputatie je waard is als je met PHP-stacks werkt, maar dat terzijde.
Kan dat ongefundeerde geneuzel niet eens afgelopen zijn? Geef dan óf goede argumenten (hint: 'het is PHP' is een drogreden ;) ) of houd gewoon je klep. Iedere taal staat het toe om misbaksels te bouwen, of vergeten dat een fors aantal van de beveiligingsproblemen de laatste tijd veroorzaakt zijn door buffer overflows? Zijn de C talen dan ook onprofessioneel?

C is een low-level taal. Kan je niet met PHP (interpreted language) vergelijken. Ik ga mijzelf niet herhalen om de ongeschiktheid van PHP t.o.v. bv. Java EE aan te tonen. De script kiddie die niet beter weet overtuig je toch niet.
Blijkbaar is een "ervaren" vastgeroeste babyboomer ook niet meer te overtuigen van zijn ongelijk.

het feit blijft gewoon dat als je een ervaren programmeur hebt, dat de taal niet uitmaakt. dan is PHP net zo veilig als iedere andere taal.
Het probleem is dat de drempel voor mensen om PHP te leren blijkbaar erg laag is, WAARDOOR je dus scriptkiddies krijgt die denken even snel een website te maken. Die dus geen idee hebben van op z'n minst de OWASP top 10. Waardoor PHP een slechte naam krijgt. Maar dat heeft dus niks met de taal te maken.
13-08-2019, 09:51 door Anoniem
@Krakatau & Whacko,

Waarom heeft dan meer dan 60% van met op PHP gebaseerde WordPress CMS websites
een of ander beveiligingsprobleem? Alle PHP input dient gefilterd en alle output ge-escaped,
want anders is PHP per default insecure! Zeker weer een security docent met het verkeerde txt-boek.

Als voor de niet-IT savvy website eigenaar geliktheid prioriteit heeft boven veiligheid, ga je de bietenbrug al op.
Cross Site Scripting, JavaScript injectie. Vooral verlaten code op plug-ins?
Hele automatische infectie campagnes door cybercriminelen om dergelijke sites te misbruiken.

"User enumeration" aan laten staan, "directory listing" aan laten staan.
Je zal zulke WordPress sites de kost moeten geven. Ik kan er elke dag duizenden de revue laten passeren,
en ook nog die kwaadaardigheid verspreiden, zie op UrlHaus maar.

Cheat sheet ernaast. Linten en fuzzen maar en zoek de "souces" en "sinks"voor DOM-XSS.
Succes gewenst met de oogst.

Het lijkt de krant van vroeger wel met "Zoek de tien verschillen", "cloaking", ïframe 0-0" etc.?

De ellende met WordPress CMS gebaseerde websites is lange van over, wat wij jullie hier brommen.
Het zijn juist de veredelde snel ingeklopte PHP-scripts, die dat in stand houden.
"Copy & paste" ook nog populair. Kosten gaan voor de baat uit, helaas pindakaas.

luntrus
13-08-2019, 14:26 door Anoniem
Krakatau heeft toch gelijk,

"If `eval()` is the answer, you're almost certainly asking the wrong question."
(en "preg_replace" op WordPress met dezelfde achtergrond)
Quote van Rasmus Lerdorf, de man aan de wieg van PHP stond.

Gebruik niet de extract functie met $_GET, $_POST:
je brengt register_globals problemen terug via de achterdeur

#sockpuppet
14-08-2019, 09:03 door Anoniem
Er is nog veel te doen bij heel veel brakke Word Press sites.

Deze bejaardenhuis-site bijvoorbeeld met een verouderde WordPress versie voldoet niet aan de EU cookie wetgeving,
zie: https://www.cookiemetrix.com/display-report/medicoversenior.pl/a466bc686d91403a0008b0ceb7094ae2

Wow, 681 linting tips ter verbetering: https://webhint.io/scanner/f99c6e20-25b0-4518-91d7-ff8d64fc107f

Als je dit allemaal eens goed overdenkt.

Hoe denken we dan de infrastructuur slechts een beetje veiliger te kunnen gaan inrichten?
Overheid, wordt eens wakker. Beste developers, ga eens wat aan veilig coderen doen.

Streeft men niet feitelijk chaos na en denkt men dat Interwebz aan zichzelf ten onder zal gaan?
Dan kunnen de reguliere media de zaak weer overnemen en alles van boven af manipuleren, verwacht ik.

Je denkt voortdurend voor grote delen (zeker het amateuristische deel van het internet),
dat het met houtjes touwtjes aan elkaar hangt en is het meer geluk als wijsheid,
dat het nog zo functioneert als het functioneert. Ik verbaas me al lang nergens meer over.

jullie aller,
luntrus
15-08-2019, 17:24 door Anoniem
Door Krakatau: Wie gaat er opdraaien voor zoiets?

If you're not paying, you're not the customer ;-)
15-08-2019, 17:47 door Anoniem
Maar er zijn er ook die zich goed voelen op WordPress voor een dedicated bulletproof server,
Ja, juist, ook bij ons in Nederland. Zet je cybercrime tracker maar aan voor adressen van Host Sailor Ltd,
Dus niet alleen in Groot-Mokum, maar ook in de 'mediene' (de provincie).

Leuke jongens (not): lees - https://krebsonsecurity.com/tag/hostsailor-com/ AS 60117

If you're not paying, you're not the customer ;-) dus zeker niet de BRICS landen in het bovenstaande geval,
eerder DuZai.

Zoek eens bij jou in de buurt via de malware map of er iemand zo'n SPI VPN-adresje bezit.

#sockpuppet
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.