Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 39 reacties

Een beveiligingsbedrijf heeft onlangs tijdens een routinecontrole een xss-kwetsbaarheid gevonden in WordPress. Door het lek kunnen kwaadwillenden malafide code injecteren en uitvoeren. In potentie zijn ruim een miljoen actieve installaties vatbaar.

Beveiligingsbedrijf Sucuri was naar eigen zeggen bezig met een routine-audit toen het een 'gevaarlijk' xss-lek ontdekte in de populaire WordPress-plugin WP-Super-Cache. Met de plugin zijn php-scripts van WordPress om te zetten in statische html-bestanden, waarmee de website sneller te serveren is.

De kwetsbaarheid staat kwaadwillenden toe om malafide code uit te voeren. Daardoor kunnen zij volgens Sucuri onder andere adminrechten van de site verkrijgen, backdoors installeren en meer. Volgens Wordpress.org zijn er meer dan een miljoen actieve installaties met WP-Super-Cache. In de nieuwste versie van de plugin, 1.4.4, is de kwetsbaarheid inmiddels verholpen.

WordPress is een populair cms dat websitebeheerders wereldwijd gebruiken. Er duiken geregeld kwetsbaarheden op in het systeem, vaak ook het gevolg van plugins die niet helemaal waterdicht blijken. Laatst kwam nog naar buiten dat zeker drieduizend websites malware serveren aan gebruikers door een plugin die met een beveiligingsprobleem kampte.

Moderatie-faq Wijzig weergave

Reacties (39)

Phew, gelukkig maar dat ik het aantal plugins tot het absolute minimum beperk. Niet alleen vanwege vulnerabilities, maar ook vanwege dependencies. Een tijd terug lelijk mijn neus gestoten met qTranslate, een plugin voor meertaligheid. Stopt de ontwikkelaar ineens met de plugin. Daar zit je dan.
QTranslate-X inderdaad. Vervangt je bestaande Qtranslate en doet precies hetzelfde.

Ontopic; het is de laatste tijd veel raak met wordpress en security issues:

revolution slider / soak soak malware

Malipoet wordpress hack

Zo even 2 meest recente exploits die massaal werden misbruikt. Ik wordt er eerlijk gezegd niet goed van. Gelukkig zijn er wel goede plugins zoals wordfence waarmee je 'changes' in bestanden direct op kunt merken, en zelfs kunt vergelijken met wordpress repository. Het dichttimmeren is mogelijk maar je moet minimaal aantal plugins hebben, of gewoon afstappen op gebruik van wordpress en zelf iets creeren. Op die manier is het ook veiliger. Aan alle kanten kan je ook uitlezen of iemand wordpress draait, welke plugins, welke (standaard) themes en dergelijk. Plugin bovenop plugin is niet de remedie maar de plugin base waar men eens moet beginnen.
Daarnaast zijn er gelukkig ook steeds meer hostingproviders in Nederland die gebruik maken van Patchman. Dat is een tool die automatisch dergelijke beveiligingslekken patcht, zonder de website stuk te maken.

Disclosure: ik ben één van de oprichters van Patchman. We zijn bezig met een patch voor dit lek.

[Reactie gewijzigd door Tuvow op 7 april 2015 21:25]

Ik snap niet dat dit weggevote wordt.

1. Websites draaien op opensource pakketten (CMS marktaandeel: Wordpress (60.3%), Joomla (7.3%) en Drupal (5.1%)).
2. Pakketten worden zelden of nooit geupdate (Is bij Wordpress een groter issue dan bij bijvoorbeeld Drupal, omdat Drupal vaker door grote sites gebruikt wordt). 1.
3. Software heeft fouten

Ergo probleem voor webhoster, websitebouwer, website eigenaar en de websitebezoeker.

Daar komen nu zo langzamerhand de eerste tools voor beschikbaar die dit probleem aanzienlijk kleiner maakt, door preventief te patchen. Eén van de tools is Patchman, iets wat internationaal aandacht kreeg bij lancering (sterker nog Tweakers berichtte er zelf over). De maker ervan reageert - zet er ook nog bij vanuit welke rol - en... "we" voten het weg.

1. Drupal sites verwerken meer verkeer / site dan Wordpress sites. Zie ook de top 10k sites/ top 100k etc sites.

P.s. De data van CMS gebruik in niet heel erg accuraat, want de beste data daarvoor komt van het Nederlandse Dataprovider, maar dat durf ik hier bijna niet meer te noemen.

We mogen wel iets trotser zijn op wat we in NL doen op startup gebied. Die trots mis is vooral bij ons - kritische Tweakers - regelmatig.

[Reactie gewijzigd door Ma_rK op 7 april 2015 22:29]

2. Pakketten worden zelden of nooit geupdate (Is bij Wordpress een groter issue dan bij bijvoorbeeld Drupal, omdat Drupal vaker door grote sites gebruikt wordt).
Bij Drupal worden de grote modules mooi up-to-date gehouden hoor. Het grote verschil zit hem er niet in dat grote sites Drupal gebruiken, maar in het type developers dat beide pakketten aantrekken.

Bij WordPress is de meerderheid van de gebruikers een doe-het-zelver, hobbyist of kleine zelfstandige. Dit zie je heel vaak aan de code van de plugins: oude php-conventies, security issues all around (wat is sql injectie?) en zo voort. Verder is er ook geen afgesproken manier om als community een plugin beter te maken.

Kijk je naar Drupal, dan zie je het volgende:
  • Complexer CMS met hogere leercurve, waardoor de meeste developers (niet site builders) een zwaardere achtergrond hebben
  • Meest gebruikte modules worden steevast gesponsord door een groot bedrijf
  • Elke module krijgt gratis een ticketing systeem op drupal.org om bugs in te reporten
  • Bovendien is er een afgeschermd ticketing systeem voor security issues
  • Je mag geen module plaatsen op drupal.org alvorens je jezelf hebt bewezen voor een panel van ervaren developers
Als iemand die zelf in beide "sectoren" heeft gewerkt, kan ik met overtuiging zeggen dat WordPress een schoolvoorbeeld is van wat een blog CMS hoort te zijn. Wil je echter een volwaardige website bouwen, dan kies je liever voor Drupal.

Elke WP plugin die je installeert om je site te duckpunchen naar een feitelijke Drupal, houdt een relatief risico in op een veiligheidslek. Bij Drupal-modules is het risico daarentegen aan de erg lage kant.

Disclaimer: Ik werk momenteel als Drupal developer.
Is nog geen garantie, kijk maar naar het SQLi-gat waar Drupal laatst al tijdenlang last van bleek te hebben. Oeps.

Geen enkel systeem is fool-proof, ook niet als het systeem door de moeilijkheidsgraad de wat meer onervaren knutselaars buitensluit.
Dat heb ik toch niet gezegd? Ik zei alleen maar dat de kans op veligheidslekken een stuk groter is door de massale aanwezigheid van "onervaren knutselaars".

Natuurlijk is geen enkel systeem fool proof.
Eigenlijk zouden de resultaten van deze audits gepubliceerd moeten worden waardoor er een lijst komt met niet onveilig bevonden plugins (veilig kan niet bewezen worden). Dit gaat echter lijken op de store van onze vrienden van Apple. Misschien dat het beleidt van wordpress plugins kan worden opgeschroefd. Specifieke regels voor plugins zijn er bij mijn weten niet. In iedergeval niet die afgedwongen worden. Verder zou het de code review vergemakkelijken als er een PSR Coding Style wordt gehanteerd.

[Reactie gewijzigd door ArjanSchouten op 7 april 2015 21:03]

De WPScan Vulnerability Database publiceert kwetsbaarheden in WordPress plugins, in WordPress themes en in WordPress zelf.
Die PSR coding style was toch iets waar het WP-team bewust van afweek? Niet dat dat veel uitmaakt — de WP core kan tot kunstwerk gemaakt worden, het probleem zit meestal toch in de plugins die in veel gevallen in elkaar is geknutseld door mensen die niet zoveel last van kennis hebben, en daar doe je niets aan. Ja, geen plugins gebruiken, of in ieder geval je eigen auditing erop loslaten.
Lol @ Jism, security trough obscurity. Jij snapt het.
Tja. Websites die ik gemaakt heb worden in jaren niet gehacked. Websites op basis van wordpress worden binnen een half jaar gehacked, al dan niet de schuld van de website zelf, maar een domme exploit zoals mailpoet ofzo op een server.

In mijn jongere casema kabel-internet jaren heel veel zitten hacken ( :+ ) , zoverre dat ik zelf voldoende weet naar waar men zoal zoekt.

Dat hele wordpress is ooit bedoeld als blogsysteem, simpel en eenvoudig, maar iedereen gebruikt tegenwoordig als complete sitebuilder, met workarounds waar je niet goed van wordt. 8)7
Je zegt het goed; ooit bedoeld als. Tegenwoordig niet meer. "out of the box" is het een prima CMS.
Gelukkig is er nu qTranslate-X. Heb zelf een tijd met het betaalde WPML gedraaid, maar de eenvoud van qTranslate heeft me doen overstappen. Teveel problemen met WPML in combinatie met WooCommerce. Maar inderdaad, bij zulke gratis plugins kan de ontwikkelaar zomaar toedeledokie zeggen.
Ik ben zeker geen coder maar soms helpt het om je te verdiepen in wat iemand anders heeft geschreven en daarop verder te borduren. Neemt niet weg dat je dan een mogelijk groter probleem creeert door "incomplete" code te maken die dus voor jouw specifieke site uiteindelijk backdoors creeert.

Het lijkt er sowieso wel op dat een flink aantal plugins die, bijvoorbeeld in de 3.0-branch, allemaal vers & vaak ondersteund werden, dan ineens allemaal doodgaat op het moment dat WordPress zelf met een hele nieuwe versie komt of bepaalde zaken in het back-end aanpast.

Vind het jammer; soms zoek ik een plugin voor iets specifieks en dan is de laatste update inderdaad van 2.5 jaar geleden. Probeer dan nog maar eens de pet als coder op te zetten en even een rewrite/refresh te doen naar de huidige installatie van je WordPress.
Bij opensource weet je dat je niet de enige moet zijn die het gebruikt en zeker niet de enige die het onderhoud. In het geval van deze plugin weet ik niet hoeveel ontwikkelaars er aan werkten. Voor iedere dependency geldt dat de kans bestaat dat je hem zelf moet kunnen vervangen. In dit geval betekende dat voor jou dus blijkbaar dat je hem moest forken en zelf onderhouden. In dat geval is de kracht van opensource dat je mogelijk contributers krijgt. Uiteraard maakt het daarbij nog wel uit onder welke licentie het project valt.

Jammer echter dat dit steeds het geval is bij wordpress. Komt waarschijnlijk ook doordat er zoveel mensen gebruik maken van het cms die geen kaas gegeten hebben van security. Updaten updaten en updaten is dus de boodschap!!!

Vervelend voor de mensen die zo'n zootje van hun wordpress site hebben gemaakt die niet meer kunnen updaten! Want die zijn er zeker |:(
Net even al m'n sites met de plugin WP-Super-Cache ge-update
Ik zie sowieso al erg veel Wordpress (plugin) exploits voorbij vliegen op exploit-db en Rapid7. Ik zou eerst even kijken of er geen publieke exploits zijn voordat je een plugin installeert.
Dit was volgens mij al langer bekend. Bij mij zijn ze een paar maanden geleden binnen gekomen via WP-Super-Cache. In eerste instantie geen idee wat de oorzaak was maar na een beetje googlen en forums bekijken gaf iemand als oorzaak deze plugin. De files die op mijn server gezet waren kwamen exact overeen met de forum post, dus meteen eraf geflikkerd, opgeschoond en geen problemen meer gehad.
Ik gebruik tegenwoordig in WP alleen plugings die nog bijgewerkt worden naar de laatste versie. Het is best gevaarlijk om oude plugings te gebruiken die de nieuwe 4.1.1 update van WP niet meer ondersteund.
En die plugin voegt ook nog eens doodleuk de comment "Cached page generated by WP-Super-Cache" toe aan je HTML. Spijtig dat je bij Google niet kan zoeken in de HTML code van websites.
Een beveiligingsbedrijf heeft onlangs tijdens een routinecontrole een xss-kwetsbaarheid gevonden in WordPress.
Dit is toch onzin? Er zit geen xss-kwetsbaarheid in Wordpress maar in een plugin. Die plugin wordt gemaakt door derden.

bron: https://wordpress.org/plugins/wp-super-cache/developers/

Dat is hetzelfde als roepen dat Windows onveilig is als je daar software op installeert met een beveiligingslek.

[Reactie gewijzigd door chaozz op 9 april 2015 00:32]

Wonderbaarlijk, hoe mensen het nog steeds aandurven om Wordpress te draaien. Ik gebruik Wordpress maar voor 1 ding: tijdens mijn cursus Secure Webprogramming, om cursisten te tonen hoe je NIET moet programmeren.


Update:
Och gut, heb ik de tere zieltjes van een paar Wordpress fanboys gekrengt? Jammer joh! :D

[Reactie gewijzigd door Faeron op 7 april 2015 21:48]

Ik heb onvoldoende verstand van php om hier écht inhoudelijk op te reageren, maar ik voel me veiliger bij http://Bolt.cm dat is gebouwd op één van de grote php frameworks, zonder dus zoals de WordPress community allerlei wielen te willen uitvinden.

De broncode ziet er - voor mij in ieder geval - een stuk overzichtelijker uit en bijvoorbeeld caching is al in de standaard functionaliteit ingebouwd. Geen standaard admin-account, een aanpasbare link naar het admin-deel en je kunt ook het back-end buiten het publieke http-gedeelte zetten (maar eerlijkheidshalve moet ik zeggen dat ik dat laatste nog nooit heb gedaan).

[Reactie gewijzigd door evertalbers op 7 april 2015 21:28]

Dat iets gebouwd is op een framework zegt relatief weinig over de veiligheid van het uiteindelijke product.

[Reactie gewijzigd door Cartman! op 7 april 2015 22:21]

Ik ben ook geen groot fan van WordPress, maar het is wel één van de weinige pakketten waarmee je vrij vlot een website op kunt zetten, waarbij de gebruikers zelf de content beheren. Ook zijn er erg veel handige plug-ins te vinden waarmee je de functionaliteit kunt uitbreiden. Ik houd me aanbevolen voor andere CMS-achtige software met voldoende functionaliteit die op Linux/MySQL kan draaien.
Zie hierboven :)

[Reactie gewijzigd door evertalbers op 7 april 2015 23:13]

Het grote probleem is denk dat juist veel (heel veel) mensen zichzelf webdesigners noemen en hun klanten snel een wordpress website opzetten, paar plugins installeren en geld incasseren en er vervolgens niet meer naar omkijken.

Ik vind dat je als bedrijf je klanten een website levert d.m.v. wordpress waarvan je weet dat er een hele grote userbase is en dus ook en hele grote groep die misbruik wil maken van wordpress websites je verplicht bent om ook die websites up to date te houden. En dat die verantwoording eigenlijk zelfs strafbaar zou moeten zijn als dat niet gebeurd.

Er zijn momenteel teveel wannabe webbedrijven die er totaal niet naar omkijken en alleen maar eurotekens in hun ogen hebben of zelfs niet eens kunnen programmeren en dus ook totaal geen idee hebben hoe het nu eigenlijk in elkaar steekt of wat ze zelf kunnen doen om het te voorkomen.

Het is wel degelijk mogelijk om d.m.v. wordpress een website goed op te zetten, maar het vergt gewoon een klein beetje tijd en onderhoud. Daarnaast kan een website natuurlijk ook vallen of staan door de hosting omgeving. Als die niet goed is, ben je alsnog de sjaak.

Update gewoon minimaal wekelijks het liefst dagelijks.
Er zijn genoeg plugins en andere mogelijkheden die dit automatisch voor je doen. Hou het nieuws rondom wordpress en plugins in gaten. Wees gewoon op de hoogte!

[Reactie gewijzigd door Passkes op 8 april 2015 09:34]

ansible all -a "/usr/local/installatron/installatron --upgrade --version=current --id='*' --plugin='wp-super-cache'" -f 10

Voor de Ansible en Installatron gebruikers :).

- edit -
Snap niet waarom ik down votes krijg. Extra informatie: bovenstaand commando is meer voor hosters bedoeld. Installatron is een handige tool om aan te bieden aan je klanten, om eenvoudig applicaties te installeren en beheren. Met Ansible kan je in principe met één druk op de knop een commando op al je servers laten uitvoeren. Met bovenstaand commando heb je binnen enkele minuten alle Wordpress website's van je klanten patched..

[Reactie gewijzigd door Petertjuh360 op 7 april 2015 21:42]

Minnetjes zijn inderdaad onterecht naar mijn mening. Kijk ook eens naar http://infinitewp.com. Hiermee beheer je al je WordPress-sites en kun je ze met 1 klik updaten.
Ik ben nu toevallig ook Ansible aan het leren, en volgens mij kan je dit beter in een playbook stoppen dan losse commando's uitvoeren.
En de playbooks vervolgens met git committen, zodat je er later ook nog wat aan hebt.
Je hebt helemaal gelijk, goede suggestie!

[Reactie gewijzigd door Petertjuh360 op 7 april 2015 23:58]

Altijd mooi meegenomen mocht iemand het tegenkomen en kunnen gebruiken denk ik maar.

Dit nieuws had ik gelukkig al inderdaad via andere media vernomen. Ik bied je graag een gratis webhostingpakket aan, mocht je eens een tijdje willen testen ;)

Het is zeker niet mijn bedoeling om te "showen", maar om anderen er mee te helpen, of bekend te maken met de tools. Excuus.

[Reactie gewijzigd door Petertjuh360 op 7 april 2015 22:21]

Je bedoeling is goed en je comment voegt ook iets toe. Ik zie het probleem dus niet.
Het is zeker niet mijn bedoeling om te "showen", maar om anderen er mee te helpen, of bekend te maken met de tools. Excuus.
Don't worry. Sommige mensen reageren alleen om anderen af te zeiken.

Een goeie hoster haalt z'n nieuws van diverse bronnen, INCLUSIEF tweakers.net. Als je kijkt dat security.nl niet rept over dit geintje, doet tweakers het lang zo slecht nog niet.
Iemand toevallig een modsec rule om deze tegen te houden?
mod_security heeft al een arsenaal aan XSS blokerende rules in z'n OWASP_top_ten ruleset. Als het goed is houdt dat ook dit tegen.

(garantie tot aan de streep, uiteraard)
-
Ik doe het liever specifiek dus :) Zo'n arsenaal aan rules heeft altijd wel eea. er tussen zitten wat je niet wil hebben, en dan is dat een behoorlijke klus uitzoekwerk.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True