Duizenden WordPress-sites serveren nog steeds malware

Zeker drieduizend websites, maar waarschijnlijk nog veel meer dan dat, serveren nog steeds malware aan gebruikers. De aanvallers injecteren de malware via een plug-in die al langer met een beveiligingsprobleem kampt. Ook Nederlandse sites zijn getroffen.

De aanvallers proberen via geïnfecteerde websites met behulp van de Fiesta-exploit-kit malware te installeren. De misbruikte kwetsbaarheid zit niet in WordPress zelf, maar in de plug-in RevSlider. Eind vorig jaar bleek al dat die plug-in ervoor zorgde dat vele duizenden websites malware serveerden, en naar nu blijkt is dat probleem nog niet voorbij. Dat meldt beveiligingsonderzoeker Yonathan Klijnsma. Hij is in het dagelijks leven onderzoeker bij beveiligingsbedrijf Fox-IT, maar deed het onderzoek naar de WordPress-sites uit eigen interesse.

De getroffen websites zijn vooral kleinere websites, waardoor het moeilijk is om ze de malware-infectie op te laten lossen, stelt Klijnsma. "Ze snappen het probleem vaak niet", aldus de beveiligingsonderzoeker. Het probleem is volgens hem het best op te lossen door WordPress opnieuw te installeren, om zo een geheel schone website te krijgen, en de plug-in niet meer te installeren.

Zeker 170 Nederlandse websites zijn getroffen. Onder de getroffen websites zijn onder meer de website van zanger Dries Roelvink, evenals een website waar rekeningnummers kunnen worden omgezet naar IBAN-nummers. Die websites lijken inmiddels opgeschoond. Ook een medische instelling is getroffen, maar die is nog steeds kwetsbaar.

Dries Roelvink malware

IT-banen

Reacties (71)

mpol 26 maart 2015 11:33

Voor de duidelijkheid, er is al lang een update van de plugin.

Een probleem dat hier speelt is dat deze plugin commercieel aangeboden wordt. Heb je deze gekocht, dan heb je recht op updates.
Heb je ergens een kopietje geritseld, dan krijg je natuurlijk geen updates, en ben je kwetsbaar.

Een ander probleem is dat deze plugin met thema's meegeleverd wordt. Echter, wanneer de plugin is geplaatst in the thema-map, dan wordt hij ook niet bijgewerkt. Hij moet dan handmatig geplaatst worden in de plugin-map, dan krijgt hij ook updates.

En natuurlijk zijn er de mensen die wel de plugin gekocht hebben, deze ook in de plugin-map hebben staan, maar ze passen nooit updates toe. De beheerder niet, en de redacteur niet. Ook dan ben je kwetsbaar.

The Zep Man

Websites en community's
Netwerk en systeembeheer

@mpol • 26 maart 2015 11:50

Heb je ergens een kopietje geritseld, dan krijg je natuurlijk geen updates, en ben je kwetsbaar.

Of je installeert handmatig een officieel gratis aangeboden update, zoals hier omschreven.

b2vjfvj75gjx7 @The Zep Man • 26 maart 2015 12:02

Wel handig om te melden dat versie 4.x niet compatible is met versie 2.x

Dus behalve die update, is de kans groot dat je ook de slides van de plugin zelf handmatig moet nabouwen.

Oa. de easing / styling van 4.x is niet backword-compatible met 2.x

Dat is allemaal geen probleem, maar als je ooit een illegale versie hebt gebruikt om een tientje te besparen, zal je opdrachtgever geen vier uur willen betalen om de boel te patchen / updaten en upgraden...

Verwijderd @b2vjfvj75gjx7 • 26 maart 2015 12:34

Dat is allemaal geen probleem, maar als je ooit een illegale versie hebt gebruikt om een tientje te besparen, zal je opdrachtgever geen vier uur willen betalen om de boel te patchen / updaten en upgraden...

Misschien heel bot, maar als iemand een illegale versie gebruikt om een tientje te besparen zonder het te overleggen met de opdrachtgever, zou ik toch echt eisen dat deze dit lekker in zijn eigen tijd mag patchen en updaten.

innerchild @Verwijderd • 26 maart 2015 12:44

Veel van de populaire plugins zoals :

- Visual composer
- Revolution slider
- Rev slider

En polulaire templates van codecanyon kan je zo 123 downloaden via google. Echter elke plugin of template die je download van de bekende null websites bevatten al ingebakken backdoors. Een populaire backdoor is het gebruiken van een gif plaatje met daarin code geplaatst die vanuit de index.php word aangeroepen zodat deze je website injecteert.

Ik had om een plugin te testen dit euvel ontdekt omdat ik wilde weten of de plugin aan mijn verwachting zou voldoen. Bij het activeren van de plugin kreeg ik een rare foutmelding terug waarna ik de foutmelding in de plugin met een fileseak programma bit voor bit liet controleren op deze specifieke foutmelding.

Bleek dus dat er in de images folder bij iedere template/plugin een gif plaatje werd aangeroepen die iets van 400kb groot was.

Gelukkig draaide ik deze plugin in een virtuele windows omgeving met een lokale wordpress installatie. Maar veel mensen weten dit niet en installeren zo die backdoor in de website.

Wat je ook altijd moet controleren met plugins zijn de volgende 2 zaken :

- Kijk of de plugin die je gebruikt ook een index.html/php bestand in de start folder heeft staan. Als je namelijk de plugin niet afschermt kan je zo de folder via de browser openen en de files bekijken. Dit is bv handig als je wilt weten welke versie etc.

- Kijk in de source van je pagina of er verwijzingen zijn naar versie nummers etc Vaak laten plugins in de source weten welke plugin en versie er gebruikt wordt.

Ik koop sindsdien al mijn plugins/templates. Het is het geld niet, je support de ontwikkelaar en je krijgt updates. Niet onbelangrijk aangezien Wordpress ook onderhevig is aan aanpassingen op het gebied van de core content.

Er is geen enkele plugin via zo een null website die niet komt met malware/trojan/sql injecties. Je moet daar echt met een boog om heen lopen.

lifeguard @innerchild • 26 maart 2015 16:19

Niet om het een of ander, maar er zijn zeker wel sites waar je dat virusvrij kunt krijgen. Denk aan sites die plugins e.d. kopen om ze daarna te delen.

b2vjfvj75gjx7 @Verwijderd • 26 maart 2015 12:43

Het is eerder andersom... opdrachtgever 'eist' een illegale versie om een tientje te besparen...

Kan je als developer nog zo vaak roepen dat het onverstandig is, maar meestal komt dat niet aan.

Om die reden kan je beter dat tientje uit eigen zak betalen en alsnog een legale versie op de server gooien - kost je een tientje, scheelt je een halve dag werk..

redecal @b2vjfvj75gjx7 • 26 maart 2015 13:07

sorry hoor, maar als klanten zo moeilijk doen over een tientje, moet je gewoon het hele project weigeren. 99,9% kans op gezeur over meerwerk in een later stadium en laten we wel wezen: als developer is er meer dan genoeg werk te vinden dus onredelijke klanten kan je vrij makkelijk weren....

b2vjfvj75gjx7 @redecal • 26 maart 2015 13:12

als developer is er meer dan genoeg werk te vinden dus onredelijke klanten kan je vrij makkelijk weren....

Het is ook niet mijn praktijk, meer een voorbeeld...

En zo veel werk is er volgens mij niet... juist omdat alle opdrachten worden afgesnoept door script-kiddies die voor 300 euro wel een WP-site in elkaar bakken.

Gemiddelde opdrachtgever kijkt naar de prijs; 300 euro of 3000 euro... korte termijn beslissing en ze kiezen voor de eerste...

redecal @b2vjfvj75gjx7 • 26 maart 2015 16:01

ja maar mijn ervaring is dat een gedeelte van die goedkoop (en slecht gebouwde) sites toch doorgroeien en dan soms toch specifieke dingen willen die je dan prima kan verkopen. ik heb iig inmiddels aardig wat van dat soort klanten voorzien van maatwerk plug-ins of soms een compleet op maat gemaakt cms ter vervanging van hun joomla/magento/wp installatie.

ben idd met je eens dat op een site als freelance.nl een aantal lui proberen om voor een dubbeltje op de eerste rij te zitten, maar aan de andere kant kan je daar ook genoeg opdrachten uithalen die wel echt de moeite waard zijn. ook als ik zie wat er via linkedin nog steeds voorbij komt, maak ik me voorlopig geen zorgen over opdrachten.

b2vjfvj75gjx7 @mpol • 26 maart 2015 11:53

Ander probleem is ook dat de plugin "gratis" met een (legaal) thema wordt meegeleverd - maar dat de thema-maker zijn thema daarna niet meer update.

Dan heb je bij aanschaf van het thema plugin-versie 2 terwijl ze nu al op versie 4 zitten - maar omdat je de plugin niet direct bij de maker heb gekocht, zal je nooit een update krijgen - behalve als de thema-maker (met wie je wel zaken hebt gedaan) een update uitbrengt.

Je kan als thema-maker de plugin gewoon in licentie aan je klanten verspreiden, scheelt je weer 10 euro (want dat kost die plugin...).

--------------------------------------------------------------------------------

Overigens is er een gratis patch voor het lek, die je kan gooien over alle versies van 2.x tot 4.1 van de plugin; dan ben je relatief veilig zonder te updaten (als je dit om wat voor reden dan ook niet kan doen).

Als je server al besmet is, werkt het niet - omdat er vele backdoors worden ingebouwd nadien...

De patch houdt (desgewenst) een blacklist bij en het blijkt dat de gemiddelde site tientallen keren per dag wordt gesniffed op de kwetsbaarheden van de plugin.

--------------------------------------------------------------------------------

Ook handig om te melden is de werkwijze van de aanvallers, ik heb het zelf getest en het werkt verbluffend simpel... één query en je hebt toegang tot de credentials van je hele database...

[Reactie gewijzigd door b2vjfvj75gjx7 op 23 juli 2024 22:20]

mpol @b2vjfvj75gjx7 • 26 maart 2015 12:28

Ah, ja, dat is inderdaad hoe dat werkt met plugins die meegeleverd worden bij thema's. Mijn uitleg daarvan klopt niet helemaal

Verwijderd @mpol • 26 maart 2015 11:57

Voor de duidelijkheid, er is al lang een update van de plugin.

Een probleem dat hier speelt is dat deze plugin commercieel aangeboden wordt. Heb je deze gekocht, dan heb je recht op updates.
Heb je ergens een kopietje geritseld, dan krijg je natuurlijk geen updates, en ben je kwetsbaar.

Daarom moet je IMO een keuze maken als je voor een bepaald product kiest.
Wil je er voor betalen, dan is deze plug-in geen probleem.
Wil je er niet voor betalen kies dan voor een andere plug-in of bijvoorbeeld Drupal waarvan de meeste modules wel gratis zijn.

Een ander probleem is dat deze plugin met thema's meegeleverd wordt. Echter, wanneer de plugin is geplaatst in the thema-map, dan wordt hij ook niet bijgewerkt. Hij moet dan handmatig geplaatst worden in de plugin-map, dan krijgt hij ook updates.

Is dat niet illegaal een betaal plug-in "gratis" meeleveren met een thema?

En natuurlijk zijn er de mensen die wel de plugin gekocht hebben, deze ook in de plugin-map hebben staan, maar ze passen nooit updates toe. De beheerder niet, en de redacteur niet. Ook dan ben je kwetsbaar.

Dat is altijd dom bij een website en een CMS, omdat deze direct met het internet verbonden zijn. Veiligheidsupdates moet je altijd installeren. Of het nu CMS Updates of apache/nginx of bijvoorbeeld openSSL updates zijn.

b2vjfvj75gjx7 @Verwijderd • 26 maart 2015 12:00

Is dat niet illegaal een betaal plug-in "gratis" meeleveren met een thema?

Nee, je kan als thema-maker een licentie op een plugin nemen en die mee verspreiden om je thema op te leuken.

Dan betaal je 1x een x-bedrag voor die plugin en daarna verkoop je het thema aan de eindgebruiker.

Maar de eindgebruiker zit dan wel vast aan die versie van de meegeleverde plugin; als er een update komt, krijg je die alleen binnen als jouw leverancier (de thema-maker) deze weer verspreid via zijn eigen update-kanaal... en bijna niemand doet dat.

Om die reden kan je beter een thema kopen zonder ingebakken plugins, of desnoods de plugin alsnog aanschaffen - ook al zit die gratis bij je aangekochte thema.

Deze plugin kost een tientje, maar zelfs daar doen opdrachtgevers moeilijk over (en dan pak je een nulled versie en dan heb je twee jaar later opeens een probleem...).

ghost010 @mpol • 26 maart 2015 15:48

Vind het zo jammer dat zelfs nog met de laatste update, wordpress nog steeds moeite heeft met updates automatisch te installeren. zowel wp zelf als plugins.

Ik heb zowel mijn wp op auto update staan als het "app" systeem van mijn web provider die het nog steeds beter bij houd dan wp zelf.

Meer controle door het WP zelf over updates zou welkom zijn, zo kunnen we bv snelle fixes of uitschakel opdrachten sturen naar al geherinstalleerde plug-ins.

Misschien dat mensen dan wel een poging doen om te updaten als ze klachten krijgen dat hun slider b.v. niet meer werkt of helemaal weg is.

Exception @ghost010 • 26 maart 2015 21:49

Ik zou zeggen, kijk eens op http://infinitewp.com
Dit is een gratis tool dat je kunt installeren op eigen server. Door een plugin te installeren op de Wordpress-website die je wilt onderhouden, kun je de core en plugins hierin updaten met 1 klik op de knop, voor meerdere websites tegelijkertijd. Nee, ik heb geen aandelen

Foamy @mpol • 26 maart 2015 12:02

En wat ook nogal vaak gebeurt: de plugin word meegebundeld in vele thema's. Ondanks dat de plugin zelf al is ge-update word deze update door de bouwer van het thema niet verwerkt/doorgevoerd. Zolang je dan zelf de plugin niet bijwerkt blijf je kwetsbaar ...

edit:
/spuit11

[Reactie gewijzigd door Foamy op 23 juli 2024 22:20]

mobstaa 26 maart 2015 11:28

Beter dat de website van Dries malware serveert, dan zijn liedjes.

On topic:
Hebben plug-in makers geen plicht om het lek zsm op te lossen? Of is het niet mogelijk dat Wordpress zelf de plug-in uit de store gooit en misschien disabled op alle websites?

Cybje @mobstaa • 26 maart 2015 11:32

Het lastige is dat iedereen gewoon kan besluiten een plugin te bouwen, dus ook een scholier die het als een leuk eenmalig projectje ziet en daarna geen zin meer heeft om 'm te onderhouden.

En als het lek is opgelost, is het aan de beheerder van de site om dan ook die update daadwerkelijk te installeren. Veel mensen vergeten dat; die kopen een website bij een webdesigner, maar doen daarna nooit onderhoud eraan. En vaak heeft de bakker om de hoek ook geen zin om elke maand geld kwijt te zijn aan het onderhoud van de site. Dat is ook meteen het type site dat dus dit soort hacks krijgt.

Lednov @Cybje • 26 maart 2015 11:40

een raak punt!
een website in elkaar zetten is de kunst niet, de boel onderhouden wél!

zeker bij wat kleinere bedrijfjes zie je dat vaak al terug in het feit dat informatie al verouderd is. als de info al verouderd is, dan zal met het onderhoud nog slechter gesteld zijn.

en dan krijg je dus dit soort situaties, deels ook omdat diezelfde bakker geen flauw idee heeft wat ie er aan doen kan!

anargeek @mobstaa • 26 maart 2015 11:34

Standaard is het niet mogelijk om plugins automatisch te laten updaten in Wordpress. Dus of je moet het zelf aanzetten of handmatig de plugins updaten.

Foamy @anargeek • 26 maart 2015 11:57

En zelf aanzetten is een kwestie van het volgende filter gebruiken:

add_filter( 'auto_update_plugin', '__return_true' );

Bron

Lisadr @mobstaa • 26 maart 2015 11:33

Plug-in makers hebben het lek opgelost en in dit geval zelfs gratis aangeboden aan developers. Vervolgens moet er iemand wel zorgen dat de plugin op de website zelf een upgrade krijgt. En met sommige plugins kan dit automatisch, maar andere moeten echt handmatig gecontroleerd worden.

HansvDr 26 maart 2015 11:38

Dit is niet de eerste plugin en zeker niet de laatste met dit soort problemen.

Ik ben in elk geval gestopt met het hosten van WP-sites na een lek in een plugin waardoor de server spam-mail ging versturen. De klant had geen idee, wil niets betalen voor onderhoud want WP is zo makkelijk.. Klanten die WP willen gebruiken verwijs ik naar partijen die wel dagelijks druk zijn met WP, ik wil het niet meer op mijn servers.

gimbal @HansvDr • 26 maart 2015 11:46

Nu ben ik nieuwschierig: wat sta je dan WEL toe op je servers? Als je beweegredenen zijn "er kan ingebroken worden" dan kun je eigenlijk helemaal niets draaien.

Volgens mij heb je eerder een gat in de afspraken die je maakt met je klanten. Er zit toch meer geld in Wordpress wel ondersteunen - tegen betaling. Beter dat klanten zelf kiezen om niet te willen betalen in plaats van dat je ze keihard de deur wijst, dat geeft toch een verkeerd beeld van je diensten.

In mijn mening natuurlijk.

HansvDr @gimbal • 26 maart 2015 12:12

Wij hosten zelf uitsluitend maatwerk. Tuurlijk kan daar ook een fout in zitten maar die kans is een stuk kleiner aangezien die systemen veel minder kunnen en geen plug-in installatie mogelijkheid hebben.

Ik heb geen tijd om me te verdiepen in WP en al die andere CMS-en en heb werk zat. Gelukkig zijn er genoeg andere partijen die wel WP o.i.d. willen hosten en ik stuur potentiele klanten zonder problemen door. Dat is wat anders dan keihard de deur wijzen. Ik leg het ze rustig uit en dan is de keuze aan hun. En, de meeste WP klantjes die bij mij aankomen hebben amper budget en denken dat het allemaal niks kost, ik mis er niks aan dus.

Zoals toquetoque al zegt: "Iets wat niet door iedereen wordt gebruikt waardoor het een gewild doelwit is van dit soort problemen."

[Reactie gewijzigd door HansvDr op 23 juli 2024 22:20]

Foamy @HansvDr • 26 maart 2015 12:55

Ik heb geen tijd om me te verdiepen in WP en al die andere CMS-en en heb werk zat.

En daar zit m nou net t euvel

Het is goed dat je werk zat hebt, maar als je je verdiept in WP zelf, en de plugins/thema's en optimalisaties die je doorvoert voor je klanten weet je natuurlijk ook goed wat de code wel of niet zou moeten doen.

HansvDr @Foamy • 26 maart 2015 13:05

Mocht ik WP klanten krijgen die wel willen betalen en ik niet genoeg werk zou hebben dan zou ik het kunnen heroverwegen.

Maar vooralsnog stuur ik WP liefhebbers gewoon naar een andere partij.

Foamy @HansvDr • 26 maart 2015 13:07

En dat is inderdaad de juiste instelling

Ik kom te vaak gehackte WP sites tegen van mensen die zich niet de tijd gunnen zich te verdiepen in de werking van het pakket en de plugins. Daar bovenop worden updates niet gedraaid, want de site werkt toch gewoon?

Verwijderd @gimbal • 26 maart 2015 11:58

Iets wat niet door iedereen wordt gebruikt waardoor het een gewild doelwit is van dit soort problemen. Zelfde geldt voor Joomla. Veel te populair, dus veel te veel plugins, dus veel te veel rotzooi, dus veel te veel risico.

Ultimation 26 maart 2015 11:28

Met Wordpress opzicht is niets mis. Gebruiksvriendelijk en makkelijk te beheren. Jammer dat Wordpress, wanneer het in handen komt van amateurs, zoveel problemen op kan leveren. Die mensen zijn zich geen kwaad bewust, ze snappen het ook niet. Maar dan vraag ik mij altijd af, je laat je auto ook niet door je neefje van 14, die "handig" is met brommers, repareren. Dan ga je ook liever naar een expert.

MadEgg @Ultimation • 26 maart 2015 12:26

"Niets mis" vind ik wel wat sterk. De developers maken onnavolgbare keuzes en de broncode van WordPress is een grote dikke berg onsamenhangende puin.

De gebruiker merkt daar niet zo veel van, de UI zit redelijk in elkaar, maar als developer wordt ik er extreem verdrietig van. Heb meerdere malen daadwerkelijk het gevoel gehad dat het minder werk is om zelf een CMS te bouwen en te onderhouden dan om de rare ontwerpkeuzes van de code van WordPress heen te werken.

batjes @MadEgg • 26 maart 2015 14:16

Het is makkelijker je eigen CMS te schrijven dan te leren hoe WP precies in elkaar zit.
Enkele jaren geleden ook met CMSen bezig moeten gaan, jaartje met Joomla gewerkt, toen nog een half jaar WP (de industrie hieromheen is 1 en al geldklopperij) en uiteindelijk maar gewoon mijn eigen CMS geschreven, hier 2 maanden in me vrije tijd mee bezig geweest (nu nog steeds blijf ik dingen er in toevoegen) en ondanks dat ik de hele admin-frontend overgeslagen heb (Ik werk zelf net zo prettig in phpmyadmin) kan ik meer met mijn CMS dan dat er mogelijk is met WP of Joomla en ik ken elke regel code die er in zit, want die heb ik er zelf ingezet.

Oke het is geen parade paardje wat ik zo ter beschikking zou stellen, er zitten wat lelijke stukjes code in, maar onlangs met nieuw projectje begonnen, ik pak lekker mijn CMS erbij. Is ook veel lichter dan WP/Joomla en de veiligheid is een (heel) stuk hoger.

SilverAqua @batjes • 26 maart 2015 15:19

Ja heel leuk allemaal een 'eigen' cms bouwen, alleen leg dan zelf ook maar uit aan je klanten die hem zelf graag willen onderhouden. Want vergeet niet dat er genoeg mensen (als ik naar mijn eigen klanten kijk) graag zelf de touwtjes in handen willen houden.

Wordpress is zo verkeerd nog niet en anders is er nog SilverStripe.

batjes @SilverAqua • 26 maart 2015 15:37

Als die klanten WP of Joomla al niet kunnen onderhouden, zal de onderhoud van een eigen CMS ook niet boeiend zijn.
Ik werk nog steeds wel (eens) met Joomla/WP en anderen, het is maar net wat iemand zelf wilt of wat beter uit zou komen.
Maar ik heb voor kleine projectjes wel eens gewoon mijn CMS gepakt, deze enorm getrimmed naar wat er alleen nodig was en dat gewoon hevig gecomment waar mogelijk. En er draaien wat simpele websites op.

Het is ook gewoon een bulk code waar je stukjes uit kan pakken wat je ergens nodig heb. bv: Oh ik moet data in een PDF zetten, of 1 of andere crappy php plugin gebruiken (Ze waren een jaar of 2 terug echt allemaal pure crap) of ik cp de pdf.class.php uit mijn CMS wat gewoon werkt. (her en der af en toe een dependency wegwerken, dat wel

)
Scheelt me weer een berg werk

Daarbuiten gebruik ik het CMS voornamelijk gewoon zelf, genoeg meuk wat ik zelf nodig heb of voor een leuk projectje om mee bezig te gaan. Heb dat ook liever in eigen code. Plus ik miste in WP e.d. goed geintergreerd multi-domain systemen. Meerdere sites met al hun eigen front maar dezelfde backend. Ik hou me er al een paar jaar niet meer mee bezig, geen idee of dat verbeterd is ondertussen.

Maar ik ging in op wat makkelijker was, WP in hart en nieren kennen of je eigen CMS schrijven. Als je het kan is een eigen CMS schrijven makkelijker.

SilverAqua @batjes • 26 maart 2015 15:42

Zeker, zeker en ben het ook helemaal met je eens hoor. Een eigen CMS heeft veel voordelen alleen ook wat nadelen. Het probleem is meer dat als ik naar mijn klanten kijk meer dan de helft al ervaring hebben met Joomla of WP dus dan ook daar een website mee gebouwd willen zien (want is vertrouwd) zelf hou ik het meeste van statische (platte) websites zonder cms. (komt ook meer omdat ik dat het fijnste vind werken haha backtobasics)

[Reactie gewijzigd door SilverAqua op 23 juli 2024 22:20]

batjes @SilverAqua • 26 maart 2015 16:00

Ik zou niet eens willen dat iedereen op mijn CMS zit, dan zou ik het proactief moeten gaan supporten

Zit ik niet op te wachten, misschien ooit een keer. Maar voor maatwerk als je toch al iets bijna van de grond op moet schrijven, waarom ook niet. Genoeg Joomla en WP installaties moeten verkreupelen want ze konden niet wat klant wou. Word het ook niet updatebaar van.

En same here, hou van simpel en probeer bv jquery e.d. tot een minimum te houden en ook alleen functioneel en niet voor de mooi.

Foamy @MadEgg • 26 maart 2015 12:51

Dat zijn keuzes van de ontwikkelaars. Je kunt hier zelf invloed op uit proberen te oefenen door zelf ook mee te ontwikkelen aan de core. En daarnaast: je word natuurlijk nergens verplicht om WP te gebruiken voor je sites. Dat is een keuze die je zelf maakt.

Zolang je je WP core gewoon bijhoud qua updates valt het met de kwetsbaarheden reuze mee.

Verwijderd @Foamy • 26 maart 2015 14:28

Dat zijn keuzes van de ontwikkelaars. Je kunt hier zelf invloed op uit proberen te oefenen door zelf ook mee te ontwikkelen aan de core.

Denk je nu echt dat die dikke brij van WP een heldere soep gaat worden als nog meer mensen zich er mee gaan bemoeien?

Zolang je je WP core gewoon bijhoud qua updates valt het met de kwetsbaarheden reuze mee.

Nee dus. Zelfs dit artikel gaat over een kwetsbare plugin. Je core kan nog zo goed zijn, als de plugins gaar zijn dan ben je dus kwetsbaar.

Lisadr 26 maart 2015 11:29

Probleem is vaak ook dat klanten met een beperkt budget niet bereid zijn de kosten te betalen om de RevSlider licentie te vernieuwen + arbeid. Ze denken dat een website een uitgave is wat je 1x per 3 a 6 jaar doet en willen geen geld uitgeven aan het maandelijks a jaarlijkse upgrade.

Verwijderd @Lisadr • 26 maart 2015 11:39

Amen. Heel herkenbaar. Bij WordPress websites zeg ik er sinds een paar jaar bij dat onderhoud echt nodig is om safe te blijven. Dat mijn klanten moeten rekenen op EUR 250,- per jaar voor de nodige updates. En dan zit je vaak nog veel meer uur te updaten dan je eigenlijk berekent hebt voor ze. Maar vaak snappen ze dat niet eens.

FreezeXJ @Verwijderd • 26 maart 2015 12:03

Als je denkt dat een professional duur is, kijk dan eens wat een amateur je kost... Zeker met websites, en malware, kan dat aardig in de papieren lopen. Worst case ben je een maand omzet kwijt, en dat kunnen die kleine bedrijven zelden goed hebben.

Lisadr @FreezeXJ • 26 maart 2015 12:24

Helemaal waar. Helaas denken veel kleine bedrijven niet zo. Ze kiezen voor Wordpress omdat het "gratis" is. En als er problemen zijn omdat zij niet wilden updaten, dan zijn ze boos op de bedrijf die het aan ze geleverd heeft. Daarom moet je altijd alles zwart op wit zetten, inclusief uitleg over waarom updates zo belangrijk zijn en dat het hun eigen verantwoordelijkheid is als ze ervoor kiezen om jarenlang geen updates te doen.

Verwijderd @Lisadr • 26 maart 2015 14:37

Yep, dat is de manier. Alles zwart op wit. Niets mondeling.

Zo, net een mailinkje eruit gedaan en de eerste opdrachten voor de updates aan WordPress sites zijn weer binnen.

Verwijderd 26 maart 2015 11:54

"Het probleem is volgens hem het best op te lossen door WordPress opnieuw te installeren, om zo een geheel schone website te krijgen, en de plug-in niet meer te installeren."

Wat een belachelijk advies. Als je gewoon netjes de laatste versie van de plug-in gebruikt is er niets aan de hand.

Verwijderd @Verwijderd • 26 maart 2015 15:14

Uit het zelfde stuk blijkt dat die plug-in niet meer onderhouden wordt:
One thing to keep in mind is that RevSlider is no longer maintained so best is to remove it and find a proper alternative.

Daarnaast quote je hem verkeer want hij zegt net iets anders:
keeping in mind to not install the same vulnerable plugin a second time of course

Verwijderd @Verwijderd • 26 maart 2015 16:23

Nou ja, dat stuk deugt dan blijkbaar op meerdere punten niet, want ik heb toevallig vorige week nog met de makers contact gehad. In een nieuwe versie gaan ze een verandering meenemen die ik voorgesteld had.

Daarnaast, ik quote gewoon letter voor letter hoe het in het Tweakers stuk hierboven staat. Dan hebben zij het niet goed vertaald...

henkiskaal 26 maart 2015 13:38

Om te controleren of je zelf vatbaar bent voor kwetsbaarheden (en niet alleen de RevSlider plugin) kan dit OpenSource project interessant zijn:
http://wpscan.org

Sn0wblind @henkiskaal • 26 maart 2015 15:19

Maar is dit wel veilig?

mashell 26 maart 2015 14:07

Met al die lekken in CMSen en hun plugins zou je gaan denken dat statische html gewoon nog het beste is.

Verwijderd @mashell • 26 maart 2015 14:36

Ik heb inderdaad een klant die me smeekte om weer een html-site neer te zetten nadat zijn WordPress site tot 3x toe gehackt was.

kevinwalter

26 maart 2015 11:29

Ik raad ook iedereen aan om clamav op zijn of haar server te installeren. (Bij DirectAdmin zit dit ingebouwd in custombuild 2) Clamav vindt de stukjes code in de files.
Ik heb deze standaard aan staan en scant alle gewijzigde bestanden en indien deze geïnfecteerd zijn, worden ze naar een vault toe verplaatst.

Bij mij gaat het dan vooral om mailers.

Daarnaast gebruik ik MainWP, met dit tooltje kan je meerdere wordpres website's en plugins tegelijk updaten. Ideaal!

www.mainwp.com

[Reactie gewijzigd door kevinwalter op 23 juli 2024 22:20]

Anonymoussaurus 26 maart 2015 11:33

Ik zag vandaag ook iemand op het forum die tegen dat probleem aanliep: Meerdere sites gelijktijdig gehacked?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (71)

Sorteer op:

Weergave: