image

Overheidssites voldoen met publieke WordPress-inlogpagina niet aan richtlijnen

woensdag 9 juni 2021, 09:15 door Redactie, 16 reacties

Tientallen Nederlandse gemeenten en overheidsinstanties maken gebruik van WordPress waarbij de inlogpagina voor beheerders publiek is en voldoen daarmee niet aan de richtlijnen van het Nationaal Cyber Security Centrum (NCSC). Dat laat Trouw vandaag weten.

Via de publieke inlogpagina kan iedereen proberen in te loggen. Het is echter mogelijk om het inloggen met tweefactorauthenticatie te beveiligen. Ook kunnen WordPress-beheerders bescherming tegen bruteforce-aanvallen toevoegen. Dat moet het geautomatiseerd raden van wachtwoorden voorkomen. Trouw laat niet weten of dat bij de onderzochte WordPress-sites het geval is.

Het NCSC raadt het organisaties af om inlogpagina's direct vanaf het internet toegankelijk te maken. Dat is echter wel het geval bij de websites van het Fiod, de gemeenten Alkmaar en Gouda, veiligheidsregio’s, de douane en GGD's. Volgens Jules Ernst, expert digitale toegankelijkheid, maken van de 1148 websites van de Rijksoverheid er 165 gebruik van WordPress. Uit cijfers van W3Techs blijkt dat bijna 42 procent van alle websites wereldwijd op WordPress draait.

Reacties (16)
09-06-2021, 09:22 door Ron625
Hierbij vergeten veel overheden, dat websites van gemeenschappelijke regelingen en samenwerkings-verbanden ook overheids-sites zijn, waavan gebleken is, dat niemand zich verantwoordelijk voelt voor het naleven van de regels.
09-06-2021, 10:29 door Anoniem
Ik denk dat de meeste van deze websites, als ze op het publiek gericht zijn, in het geheel niet onder een CMS zouden moeten draaien maar websites met statische HTML zouden moeten zijn.

Voor WP bestaan plugins om een export naar een statische site te doen, leert een simpele zoekactie. Website-generatoren zijn ook nog niet uitgestorven. Zelfs met wget een mirror van een hele website maken zou wel eens kunnen werken, dat kan in één wget-run met de juiste argumenten. Dat soort dingen maakt het mogelijk om de inhoud op je interne netwerk te beheren met alle gemakken van een CMS of websitegenerator, terwijl extern een veilige, statische kopie gebruikt wordt. Maak een voorziening voor een werkend reactieformulier, werk de site dagelijks of frequenter volautomatisch bij vanuit de intern gebruikte bron, en een heleboel problemen die je met systemen voor dynamisch gegenereerde webpagina's kan krijgen houden op van toepassing te zijn op de publieke site.
09-06-2021, 11:06 door Anoniem
Door Ron625: Hierbij vergeten veel overheden, dat websites van gemeenschappelijke regelingen en samenwerkings-verbanden ook overheids-sites zijn, waavan gebleken is, dat niemand zich verantwoordelijk voelt voor het naleven van de regels.

Als ik het aantal websites incl domeinen soms zie van een kleine gemeente heb ik medelijden met de beheerders.
Als ze alles in 1 systeem zouden beheren zou dat heel veel geld en tijd en kwetsbaarheden schelen.
Desnoods nog een “actie”-server op een subdomein.

Dus dat wp-admin open staat op velen, verbaast mij helemaal niets.

Ook voor inwoners is het soms gewoon onduidelijk
of iets van de gemeente zelf is of eigenlijk helemaal niet.

Maar ja, politiek bepaald, en de partijen zelf hebben diezelfde massa aan sites en eilandautomatisering.
09-06-2021, 11:10 door Anoniem
En dan hebben we het nog niet gehad over die virussen ehm, wordpress-plugins die fancy-pancy webknutselaars zo graag injecteren.
09-06-2021, 12:05 door Anoniem
Oh, dan ook maar meteen google een mailtje sturen, hun inlog pagina voor toegang tot email staat ook wagenwijd open.
09-06-2021, 13:10 door Anoniem
Door Anoniem: Ik denk dat de meeste van deze websites, als ze op het publiek gericht zijn, in het geheel niet onder een CMS zouden moeten draaien maar websites met statische HTML zouden moeten zijn.

CMS maakt niet uit. Zolang het maar een veilig CMS is (geen WordPress dus), en niet beheerbaar vanaf WAN. Het aantal bedrijven dat websites levert met WordPress als CMS is schrikbarend. Merendeels van deze bedrijven hebben weinig of geen verstand van zaken en kunnen vaak niet veel meer dan een theme aanpassen. Als je om maatwerk vraagt dan zit men daar vaak al snel met zweet in de handen naar plugins te zoeken waarvan ze niet snappen hoe het onder de motorkap werkt. Voor mij is ieder bedrijf dat WordPress websites verkoopt niets anders dan een hobby-vereniging met als enig doel op eenvoudige en snelle wijze geld binnen te harken.
09-06-2021, 13:27 door walmare - Bijgewerkt: 09-06-2021, 13:28
Door Anoniem:
Door Anoniem: Ik denk dat de meeste van deze websites, als ze op het publiek gericht zijn, in het geheel niet onder een CMS zouden moeten draaien maar websites met statische HTML zouden moeten zijn.

CMS maakt niet uit. Zolang het maar een veilig CMS is (geen WordPress dus), en niet beheerbaar vanaf WAN. Het aantal bedrijven dat websites levert met WordPress als CMS is schrikbarend. Merendeels van deze bedrijven hebben weinig of geen verstand van zaken en kunnen vaak niet veel meer dan een theme aanpassen. Als je om maatwerk vraagt dan zit men daar vaak al snel met zweet in de handen naar plugins te zoeken waarvan ze niet snappen hoe het onder de motorkap werkt. Voor mij is ieder bedrijf dat WordPress websites verkoopt niets anders dan een hobby-vereniging met als enig doel op eenvoudige en snelle wijze geld binnen te harken.
Grote schande dat de overheid nog steeds Wordpress gebruikt met dat waardeloze plugin framework. Ik dacht dat er een andere standaard was. Niet dus. Heeft ongetwijfeld te maken met de ingehuurde leveranciers die zelf goedkoop af denken te zijn en de hoofdprijs vragen.
09-06-2021, 14:47 door Anoniem
Door Anoniem: Ik denk dat de meeste van deze websites, als ze op het publiek gericht zijn, in het geheel niet onder een CMS zouden moeten draaien maar websites met statische HTML zouden moeten zijn.
Of het veilig is heeft niks te maken met of er een CMS gebruikt wordt of dat het statische HTML is.
Waar het om gaat is of je CMS toegankelijk is via hetzelfde kanaal als de bezoekers gebruiken.
Dat hoeft helemaal niet, je kunt het beheer vanuit een ander netwerk doen, eventueel gekoppeld via een VPN.
Als de "bezoekers" nooit is kunnen modificeren aan de site dan maakt het niet uit of het statische HTML is of een
gegenereerde pagina (er van uitgaande dat het CMS de benodigde protectie heeft tegen rare invoer via URL en POST data).
09-06-2021, 14:48 door Anoniem
toch wel raar, het lijkt wel of hier wat wordpress bashers zitten.

Ik durf te beweren dat WP juist veiliger is, er is een actieve community, het is open en er zijn regelmatig patches. Het feit dat het door 40% van de websites gebruikt wordt zegt ook dat het blijkbaar een makkelijk doelwit is, want het loont niet om een of ander onbekend CMS aan te vallen.

En vergeet ook niet dat WP niet de norm moet zijn maar dat je het CMS kiest dat past bij wat je wilt doen. Mensen die het hebben over statische html of zelfbouw hebben volgens mij geen idee waar ze het over hebben. Vergeet niet dat die ook gehackt kunnen worden omdat de webserver ook kwetsbaar kan zijn of de database server of een andere component. Je kunt ook prima malware verspreiden via een statische site.

Je kunt het beter hebben over wat je moet doen om een juist CMS te kiezen voor wat je wilt bereiken, en een website veilig te beheren en patchen en pentesten en wat nog meer nodig is.

En ja, er zijn zat mensen / partijen die even snel een website aanklikken bij een hoster en dan met standaard opties aan de gang gaan, blijf dat vooral doen.
09-06-2021, 15:14 door Anoniem
Door Anoniem: toch wel raar, het lijkt wel of hier wat wordpress bashers zitten.

Ik durf te beweren dat WP juist veiliger is, er is een actieve community, het is open en er zijn regelmatig patches. Het feit dat het door 40% van de websites gebruikt wordt zegt ook dat het blijkbaar een makkelijk doelwit is, want het loont niet om een of ander onbekend CMS aan te vallen.

En vergeet ook niet dat WP niet de norm moet zijn maar dat je het CMS kiest dat past bij wat je wilt doen. Mensen die het hebben over statische html of zelfbouw hebben volgens mij geen idee waar ze het over hebben. Vergeet niet dat die ook gehackt kunnen worden omdat de webserver ook kwetsbaar kan zijn of de database server of een andere component. Je kunt ook prima malware verspreiden via een statische site.

Je kunt het beter hebben over wat je moet doen om een juist CMS te kiezen voor wat je wilt bereiken, en een website veilig te beheren en patchen en pentesten en wat nog meer nodig is.

En ja, er zijn zat mensen / partijen die even snel een website aanklikken bij een hoster en dan met standaard opties aan de gang gaan, blijf dat vooral doen.
WP code is niet best vergeleken met bv Drupal. Hoe vaak het wordt gebruikt zegt niets. Het plugin framework is een vet security probleem gebleken.
09-06-2021, 15:28 door Anoniem
Een probleem is dat de richtlijnen van de BIO weinig concreet zijn. “De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor de ontwikkeling van software en systemen”, staat er bijvoorbeeld in. Maar welke principes dat zijn, staat er niet bij. De Auditdienst Rijk vond in december 2019 dat het veel concreter moest.

https://www.trouw.nl/economie/de-overheid-kiest-voor-makkelijke-websites-niet-voor-veilige~ba71a0b3/


BIO = "Baseline Informatiebeveiliging Overheid", die voor het Rijk, gemeenten, provincies, waterschappen geldt.
09-06-2021, 16:05 door Anoniem
Ik heb hier al vele malen aangetoond dat heel wat websites met Word Press niet veilig hoeven te zijn.

A. Als ze hun versie van de CMS niet up to date hebben. Als ze kwetsbare of zelfs door developers verlaten plug-ins gebruiken.

B. Helemaal als ze de configuratie settings niet goed hebben staan. Dus User Enumeration en Directory Listing op enabled en niet op disabled gezet. Dan wordt het hackers van zo'n pagina al een heel stuk gemakkelijker gemaakt.

Dan zal er voor de rest op de pagina ook nog wel het een en ander aan onveilige technologie zijn gebruikt, o.a. retirable script libraries e.d. (check eens via een scan op https://awesometechstack.com/analysis/website/

Trouwens zo is het ook met andere CMS software in handen van (veredelde) amateurs, zoals Magento webshop CMS.
Kijk en scan maar eens op magereport.com van de toko van "good old GWillem".

Beter een wat veiliger overheidssite, dan een gelikte overheidssite, toch?

luntrus
09-06-2021, 22:02 door Ron625
Door Anoniem: toch wel raar, het lijkt wel of hier wat wordpress bashers zitten.
<KNIP>
En vergeet ook niet dat WP niet de norm moet zijn maar dat je het CMS kiest dat past bij wat je wilt doen.
<KNIP>
Je kunt het beter hebben over wat je moet doen om een juist CMS te kiezen voor wat je wilt bereiken, en een website veilig te beheren en patchen en pentesten en wat nog meer nodig is.
Vergeet niet, dat een website van een overheid voor 100% aan de W3C standaard moet voldoen.
Wordpress websites die foutloos door de W3C test komen, zijn erg zeldzaam !
10-06-2021, 08:50 door Anoniem
@Ron625,

Waarom worden daar dan geen consequenties aan verbonden dan?
Met je onveilig (gehouden/geworden) website kun je ook andere Internet-gebruikers in gevaar brengen.
Hoe lang kun je met een ongereguleerd Internet voortmodderen?
Neem ook even mee in de overwegingen dat de gevolgen van de toegenomen cybercrime,
als moedwillige en gedoogde ontwrichting.

Soms heb je wel eens het idee dat men op dit aspect van de samenleving ook een soort B-B-B wil loslaten.
We zullen zien of het onderbuikgevoelens zijn of juiste speculaties over wat er nu speelt op de achtergrond?

Ik zie een onveilige infrastructuur, zowel front-end als back-end.
Ook de blijvende onveiligheid van propriety owned consumenten software speelt een belangrijke bepalende rol hierbij (dubbele extensies, protocol-onveiligheid, dumb-down aanpassingen etc.).

Je kunt het glas half vol en half leeg zien.
Ik zie vooral security as a last resort, teveel sluitpost op de begroting.

#sockpuppet
10-06-2021, 22:11 door Ron625
Door Anoniem: @Ron625,
Waarom worden daar dan geen consequenties aan verbonden dan?
Dat is het vreemde bij de overheden.
Het mag niet, maar er zijn geen consequenties.
Aan de andere kant, een boete zou worden terugverhaald op de belasting-betaler.
Beter zou het m.i. zijn, om de eind-verantwoordelijke ambtenaar aan te pakken.........
14-06-2021, 14:11 door WPbeveiligen - Bijgewerkt: 14-06-2021, 14:14
Ik ben full-time WordPress beveiliger, het eerste wat ik vaak doe is het admin adres omleiden. Daarna de pogingen beperken, en ook die van de 404's wanneer scripts of hackers de inlogpagina toch proberen te vinden.

Het is vermakelijk hoeveel sites weinig tot niets doen aan beveiliging, het mooiste is nog wanneer "admin" de username is.
Dat zie je zo door even op "wachtwoord vergeten" te klikken en admin in te vullen. Indien correct gaat die namelijk een mail verzenden met een mogelijke wachtwoord reset.

Soms als de websitebeheerder zo slim is om de gebruikersnaam te veranderen is het weer kinderlijk eenvoudig om die te achterhalen.
?author=1 of author 2

Hoe dan ook, de eigenaar van de website vertrouwd te veel op de webbouwer.

En dat is niet slim aangezien hackers dezelfde skills (of zelfs jaren langer ervaring) hebben als een webbouwer/programmeur, maar dan volledig gefocust op het uitbuiten van WordPress standaarden en plugins.

Standaarden zoals het admin, de wp_ prefix, de salts, noem maar op moeten gewoon aangepast worden.

En er moeten niet te veel plugins in komen te staan, die worden enorm overschat qua veiligheid. Elke plugin wordt door een ander ontwikkeld, en niet elke programmeur denkt aan de veiligheid.
Dat zie je snel als je het aantal lekke plugins opzoekt op https://wpscan.com (voorheen de database van wpvulndb.com)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.