WordPress kampt voor tweede week op rij met ernstig xss-lek

Net als vorige week kampt WordPress met een ernstig cross site scripting-lek, waarmee een aanvaller de controle over een WordPress-installatie kan overnemen. Er is exploitcode verschenen die kan worden misbruikt. WordPress heeft in allerijl een beveiligingsupdate uitgebracht.

In feite gaat het om twee beveiligingsproblemen, maar slechts een van de twee treft WordPress 4.2, de nieuwste versie van de populaire cms-tool; de andere werkt alleen op oudere versies. De bugs bevinden zich in de commentsectie van WordPress; een aanvaller kan zijn eigen html-code achterlaten in een reactie, waarna die wordt geladen als andere gebruikers op de pagina komen. Dat ontdekte een Finse beveiligingsonderzoeker.

Op die manier kan een aanvaller bijvoorbeeld code injecteren die cookies van gebruikers steelt. Ook kan code worden toegevoegd die, wanneer de reactie wordt bekeken door een gebruiker die de beheerder van de WordPres-installatie is, bijvoorbeeld het wachtwoord van de beheerder wijzigt. Vervolgens zou een aanvaller de WordPress-installatie over kunnen nemen.

De Finse beveiligingsonderzoeker die het probleem ontdekte heeft een proof of concept gepubliceerd, die door kwaadwillenden zou kunnen worden misbruikt. Ook zijn er volgens hem aanwijzingen dat de bug al wordt misbruikt. WordPress heeft daarom maandag in allerijl een beveiligingsupdate uitgebracht.

Vorige week bracht WordPress al een update uit om een ander xss-lek te patchen. Met WordPress 4.2 werden ook drie kleinere beveiligingsproblemen opgelost.

Door Joost Schellevis

Redacteur

Feedback • 28-04-2015 08:0373

28-04-2015 • 08:03

73 Linkedin

Lees meer

WordPress informeert gebruikers week na uitbrengen patch over ernstig lek Nieuws van 2 februari 2017
Wordpress lost ernstige kwetsbaarheid in updatemechanisme op Nieuws van 24 november 2016
Onderzoeker vindt opnieuw xss-kwetsbaarheden bij drie Nederlandse banken Nieuws van 26 augustus 2016
Nederlands hackproject ontdekt kwetsbaarheden in vijf Wordpress-plug-ins Nieuws van 20 juli 2016
WordPress 4.4 is uitgebracht met REST-integratie Nieuws van 9 december 2015
'Duizenden WordPress-sites verspreiden malware via VisitorTracker-code' Nieuws van 18 september 2015
WordPress dicht 'kritiek' xss-lek Nieuws van 23 april 2015
'Ruim miljoen WordPress-installaties vatbaar voor xss-kwetsbaarheid plugin' Nieuws van 7 april 2015
Duizenden WordPress-sites serveren nog steeds malware Nieuws van 26 maart 2015
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (73)

-Moderatie-faq
73
70
50
4
0
11
Wijzig sortering
redryder
28 april 2015 08:15
Ben zelf jaren geleden van CMS (joomla / wordpress) afgestapt, de lekken bleven maar komen en je hebt er zelf bijna geen controle over
mvds
@redryder28 april 2015 08:37
Je hebt zelf juist heel veel controle. Het is namelijk open source, en alle code is dus gewoon te bekijken en aan te passen.

En ja, er zijn veel berichten geweest over lekker, maar van hoeveel heb jij er nou werkelijk last gehad, voordat het lek werd gepatcht?
Sinnergy
@mvds28 april 2015 11:12
Zie http://en.wikipedia.org/wiki/Bystander_effect

"Iemand anders zal het wel controleren voor me"

Kunnen en doen is iets totaal anders..

Ik ben 'fan' van open source omdat het toelaat bepaalde beperkingen zelf op te lossen, of missende features zelf toe te voegen, maar ik zal nooit voor 'open source' gaan puur omdat het 'veiliger' moet zijn omdat ikzelf de code kan controleren: ikzelf (en grootste deel van de wereld) heeft hiervoor de tijd/kennis niet voor.
3raser
@Sinnergy28 april 2015 13:55
De andere optie is je eigen CMS schrijven. De vraag is in hoeverre dat veiliger is dan gebruik maken van WordPress. Ja, je hebt er volledige controle over maar in die duizenden regels code is de kans op bugs ook enorm. Die kunnen dus ook prima misbruikt worden.

Ik vind de snelheid waarmee de bugs worden opgelost heel goed. De impact is daarmee in principe zeer klein. WordPress onveilig noemen is daarom ook overdreven. Dan zou je Linux ook onveilig moeten noemen.
downcom
@3raser28 april 2015 15:59
Wat je zegt is niet helemaal waar, juist omdat je eigen cms gesloten is heb je er veel meer grip op en zijn lekken uberhaupt niet / lastig voor andere aan het licht te brengen.

Natuurlijk springt de stichting wordpress er snel op in maar eigenlijk is het nog veel te traag! niet omdat het voor de beheerders te traag is maar als zon 20% op wordpress draait is het voor mensen met slechte bedoelingen dus interessant om er even in te duiken.

Daarnaast moet het maar mogelijk zijn je wordpress installatie te updaten zonder dat dit conflicten met ander plugins veroorzaakt. Dus zo makkelijk ligt dit helemaal niet.

Dus er blijft een deel hangen omdat ze dus niet even kunnen upgrade. Natuurlijk is dat als beheerder niet zo'n punt zijn zat oplossingen maar als je een website of 100 hebt draaien dan word het toch een behoorlijke taak.

Linux is dan een totaal verkeerd voorbeeld omdat dit vrijwel niet gebruikt word door de mainstraim markt muv webservers (die ook overigens wekelijks worden gepatcht)
Rataplan_
@redryder28 april 2015 08:35
Klopt. Maar je hebt nu je eigen CMS geschreven? If so denk je dat die veilig is? Elke applicatie / code (in de breedste zin, OS, applicatie, CMS) bevat bugs. De meest gebruikte worden meer aangevallen dan de minder gebruikte. Dat wil niet zeggen dat een minder gebruikt systeem bugfree is. Ik denk zelfs dat omdat bv WP zo'n enorme community heeft dat wanneer bugs gevonden worden deze eerder geplet zullen worden dan in een zelfgeschreven systeem :)
Dingen
@Rataplan_28 april 2015 08:55
De meeste hacks vinden echter niet plaats door iemand die zich specifiek op jouw site richt, maar door iemand die geautomatiseerd naar bekende gaten zoekt en daar standaard exploits op toepast.

Voor zulke aanvallen (en dat is verreweg het merendeel) ben je vrijwel volledig veilig met een maatwerk CMS.
galena
@Dingen28 april 2015 12:56
Natuurlijk niet. Ik beheer zelf ook een eigen maatwerk CMS, daarop komen ook hackers langs die de boel geautomatiseerd scannen op gebruikelijke beveiligingslekken. Daarbij heb je ook nog de kans dat je het zelf niet eens door hebt als er een probleem is, want niet elke hacker gaat jou informeren als de hack gelukt is.

Met open source heb je zeker minder kans op beveiligingslekken, maar als je er dan één hebt weet de hele wereld dat en moet je snel updaten. Alleen als je dat niet doet blijf je erg kwetsbaar. Daarbij zijn er vaak nog zelfgeschreven of weinig gebruikte modules, die kunnen ook problemen veroorzaken.

Een goede beveiliging omvat ook veel meer dan de keuze tussen open of closed source.
434365
@galena28 april 2015 20:09
Maar gebruikelijke beveiligingslekken weet jij ook, of kun je anders vrij makkelijk vinden, het is inderdaad nou ook niet zo dat een eigen cms per definitie super veilig is, maar als je het bouwt en een beetje over de veiligheid nadenkt dan ben je uiteindelijk toch veiliger uit met jouw unieke systeem met zn unieke structuur en functie namen dan met een algemeen bekend systeem waarvan iedereen in de broncode kan kijken.

En als je commercieel bezig bent met een eigen CMS dan hoor je eigenlijk ook gebruik te maken van services zoals HackerSafe, die natuurlijk ook niet alles weten, maar in ieder geval wel je CMS aan een serieuze test kunnen onderwerpen, heb je dat gehad dan is je CMS echt wel een stuk veiliger geworden dan een Wordpress of Joomla.
mxcreep
@Rataplan_28 april 2015 08:55
Voordeel is dat jouw cms onbekend is, dus de kans dat men lekken vind in jouw eigen cms is niet zo groot, je bent ook als doel minder interessant.

[Reactie gewijzigd door mxcreep op 28 april 2015 08:56]

Rataplan_
@mxcreep28 april 2015 09:10
Ben ik er niet mee eens; een 'interessante' club, noem eens Philips, Tweakers of bijoorbeeld een ziekenhuis zal niet op WP draaien. Wel degelijk interessant :)
Anoniem: 145867
@Rataplan_28 april 2015 09:22
Maar niet interessant op de exploit black market. Een wordpress of Joomla exploit is zeer waardevol. En kan je veel meer dingen mee.

[Reactie gewijzigd door Anoniem: 145867 op 28 april 2015 09:23]

Quacka
@Anoniem: 14586728 april 2015 15:35
Niet waar. Je website kan bijv misbruikt worden om spam te versturen. Je merkt er niets van en niemand zal het lek voor jou vinden.
Mocht dit bij wordpress/joomla/etc gebeuren, dan is de kans dat het opgemerkt wordt vele malen groter, omdat meer websites getroffen worden door het probleem. Daarna komt er een oplossing voor het lek, waardoor jouw website met een beetje geluk alleen kwetsbaar is geweest (maar nog niet misbruikt is).
Ook kan een zelfgeschreven cms interessant zijn als de website veel bezoekers trekt. Men kan dan niet putten uit kwetsbaarheden in joomla/wordpress, waardoor je scriptkiddies tegenhoudt, maar voor mensen die kennis van zaken hebben is het waarschijnlijk een fluitje van een cent om jouw website te kraken
mxcreep
@Rataplan_28 april 2015 09:22
Ik bedoelde meer dat je qua cms keuze niet interessant bent omdat met het hacken van jouw cms maar 1 doel gehacked kan worden. Uiteraard kun je dan nog steeds als website interessant zijn.
svenslootweg
@mxcreep28 april 2015 12:01
Dat is security through obscurity, en is geen daadwerkelijke veiligheid. Je kunt er dan ook niet op vertrouwen.
carlo
@svenslootweg28 april 2015 12:38
Security through obscurity moet geen doel op zich zijn, maar dat zal ook zeker niet zijn enige beveiliging zijn. Het is aan de andere kant goed om te realiseren dat het gebruik van Wordpress onverwachte risico's introduceert waar je geen controle over hebt. Wordpress is zo wijd verspreid dat het alleen daarom al een interessant doelwit wordt voor hackers. Mijn eigen kleine website zou voor hackers niet snel een doelwit zijn, maar nu kunnen scriptkiddies automatisch het hele internet afgrazen.

Zonder meer details kan ik niet oordelen of Redryder de juiste keuze heeft gemaakt, maar ik waardeer het wel als iemand niet zomaar achter de meute aanloopt.
svenslootweg
@carlo28 april 2015 15:14
Ik snap je redenering, maar die gaat over het algemeen niet op - het "low hanging fruit" van beveilingslekken is over het algemeen geautomatiseerd te vinden. Het is dus zeer waarschijnlijk dat ook jouw "eigen kleine website" op een gegeven moment met een vulnerability scanner te maken heeft - en op dat moment ben je toch echt gewoon de pisang.

De dader hoeft niet eens te weten wat voor site het is, waar het over gaat, of wie die site draait.
YopY
@mxcreep28 april 2015 10:15
Klinkt als security through obscurity; als je met persoonlijke gegevens van gebruikers omgaat of met andere belangrijke data zou ik daar goed mee oppassen.
Anoniem: 145867
@Rataplan_28 april 2015 09:22
Zelf een CMS schrijven is inderdaad schijnveiligheid wat meestal wel beter werkt. Want met een CMS exploit kan je echt heel veel website aanvallen. Met zo'n simpele exploit voor een custom made website maar 1 website en is dus niet zo relevant. Tenzij de website enorm belangrijk is zoals die van banken.
svenslootweg
@Rataplan_28 april 2015 11:59
Helaas is de code-kwaliteit van Wordpress ver onder de maat. Als je een ervaren en security-minded ontwikkelaar bent, is het niet heel moeilijk om iets te bouwen dat veiliger is dan Wordpress.

Dat overal bugs in zitten is in de meest strikte opvatting niet correct; het is mogelijk om aantoonbaar 'correcte' (dus veilige) code te schrijven - dit is echter voor de gemiddelde software niet haalbaar.

Dat gezegd zijnde, zelfs áls vrijwel overal bugs in zitten, dan wil dat niet zeggen dat er geen gradaties in zitten - de kans op lekken in Wordpress is bijvoorbeeld vele malen groter dan in een softwarepakket met code van betere kwaliteit.
aadje93
@redryder28 april 2015 11:48
je WP login/admin gedeelte via htacces beveiligen met een aparte login schrikt al heel veel script kiddies af. Daarnaast gewoon goede passwords, een plugin die automatisch ip's blokkeerd die verkeerde gebruikersnamen doen, of 5-6x een verkeerd wachtwoord doen (wordfence) en je bent al 99% van je "hackers" kwijt. De gene die dan echt gericht aanvallen hou je toch nooit tegen, het is altijd 1 persoon zijn kennis tegenover de ander die het probeert te breken.
rob12424
28 april 2015 08:19
ik moet zeggen dat ik dit artikel een beetje agressief geschreven vindt?
Er wordt heel veel nadruk gelegd op het feit dat er voor de 2de x een lek is in cross site scripting in korte tijd terwijl dat toeval kan zijn op een zeer negatieve manier.

Terwijl er weinig bedrijven zo snel het lek patchen. (En dat wordt weer weg gerelativeerd)

Niet dat ik goed ben in het schrijven van een stuk hoor. ;)

Edit:

ik heb liever kritisch geschreven nieuws dan geen nieuws het is niet mijn intententie om de schrijver monddood te maken!

Is deze reactie imformatief +2 (nee)
voegt hij iets essenrieels toe aan het artikel? +3 zeker niet!!
de reactie is +1 of 0 of zelfs -1 ;) 8)7

[Reactie gewijzigd door rob12424 op 28 april 2015 09:45]

Cinemaniak
@rob1242428 april 2015 08:36
Ik schrijf regelmatig voor blogs en je hebt gelijk hoor. Vooral door die laatste alinea krijg je de indruk dat het wat overdreven kritische en 'gekleurd' geschreven is. Nu heb ik daar persoonlijk geen problemen mee, want als blog heb je daar wel wat speling in. Maar het liefst zie ik dat terug met een bepaalde luchtigheid en humor. Niet met overdreven kritische stukken.
Anoniem: 463321
@Cinemaniak28 april 2015 11:47
Juist. Ook het woord 'ironisch' wordt weer eens verkeerd toegepast. Dat komt helaas vaak voor.
bbob
@rob1242428 april 2015 08:47
Toeval, volgens mij is wordpress redelijk lek. dit is niet de eerste keer dat er een lek is. Zou niet willen weten hoe vaak er de afgelopen 2 jaar een probleem geweest is.
DaanR.
@bbob28 april 2015 10:34
Dat er veel lekken worden ontdekt, betekent niet dat een stuk software 'lekker' is dan software waarbij dat niet gebeurt. Het is best reëel om te denken dat in elke software grote en kleine lekken zitten, maar bij Wordpress wordt door het vele gebruik en de grote actieve community zulke lekken gewoon snel ontdekt. Ik citeer een andere internetgebruiker: "Het aantal ontdekte lekken zegt niks over de veiligheid, het aantal gedichte lekken wel."
Anoniem: 500749
@rob1242428 april 2015 08:28
commercieel nieuws draait al jaren minder om een werkelijke presentatie van de realiteit geven en meer om smakelijke uitspraken en sensatie maken

het is wel een serieus exploit verder
je ziet grote namen niet zo heel vaak meer naar voren komen en wanneer dat wel eens het geval is, springt iedereen er op als vliegen op hete poep
vooral omdat wordpress zoveel gebruikt word was/is de impact mogelijk groot
maar zoals je misschien al hebt gelezen was er al snel een patch uitgerold
svenslootweg
@rob1242428 april 2015 11:55
Mja. Wordpress staat er (terecht) om bekend dat het behoorlijk wat problemen met beveiliging heeft. De kwaliteit van de code is (nog steeds) onder de maat, en dit soort lekken zouden echt absoluut niet mogen bestaan - dit is geen gevalletje "oversight", maar gewoon overduidelijk slecht geschreven code.

Ik kan me dan ook voorstellen dat de schrijver van het artikel bijvoorbeeld zojuist zijn eigen Wordpress-installatie heeft moeten patchen, en het inmiddels al wel een beetje zat is. Dan schrijf je al snel een dergelijke kritische noot. Of misschien gebruikt de schrijver zelfs geen Wordpress, maar ergert hij zij gewoon aan de constante problemen. Ook een realistische optie.

En als je doorklikt naar het originele artikel, dan kom je dit tegen:
WordPress has refused all communication attempts about our ongoing security vulnerability cases since November 2014. We have tried to reach them by email, via the national authority (CERT-FI), and via HackerOne. No answer of any kind has been received since November 20, 2014. According to our knowledge, their security response team have also refused to respond to the Finnish communications regulatory authority who has tried to coordinate resolving the issues we have reported, and to staff of HackerOne, which has tried to clarify the status our open bug tickets.
Dan begrijp ik een dergelijke opmerking zeker wel.
FREAKJAM
28 april 2015 08:11
Linkje met extra info.

Een xss lek komt trouwens ook voor in Wordpress plugins & themes. (Drie dagen geleden een mail gehad van Envato)
This is a general community announcement for all buyers of WordPress items to bring your attention to an XSS vulnerability affecting multiple WordPress plugins and themes. The vulnerability is caused by a common code pattern used in WordPress plugins and themes available from ThemeForest and CodeCanyon, the wordpress.org website and other sources.

[Reactie gewijzigd door FREAKJAM op 28 april 2015 08:39]

MAX3400
@FREAKJAM28 april 2015 08:14
Opvallend dat deze update niet automatisch wordt geinstalleerd. Kreeg er gisteren een notificatie van van mijn site maar was te druk met andere zaken om direct op te springen.

Vraag me af of de fix dus wel zo "netjes" is dat er wel een announce is naar alle sites maar de installatie niet automatisch werd geinitieerd.
Basszje
@MAX340028 april 2015 08:15
De patch wordt wel automatisch geinstalleerd, maar WP upgraded nooit naar een nieuwe versie. Als je dus een andere versie draait ( 4.1 bv ) dan is deze naar 4.1.2 gegaan, zo ook met alle versies die nog ondersteund worden qua security.
Nakebod
@MAX340028 april 2015 08:16
Schijnbaar wel automatisch, log net in op mijn site en zag dat hij 4.2.1 was.
Zie dat hij dat gisteravond 20:50 gedaan heeft. Misschien load spreiding, en niet alles in 1x zodat het update mechanisme blijft werken.
Dannisi
@MAX340028 april 2015 08:19
Hier wel :S
Howdy! Your site at http://.......... has been updated automatically to WordPress 4.2.1.
FREAKJAM
@MAX340028 april 2015 08:23
Bij mij wel! Ik kreeg gisteravond 21:33 een mail dat mijn wordpress automatisch was bijgewerkt.
Howdy! Your site has been updated automatically to WordPress 4.2.1.
Loller1
@MAX340028 april 2015 17:04
Dan zit jij waarschijnlijk nog op WordPress 4.1, en minor updates worden niet automatisch geïnstalleerd, maar je zal wel WordPress 4.1.4 hebben ontvangen.
rb338
28 april 2015 08:22
Wordpress 4.2.1 is inmiddels uit, die lost het lek (hopelijk) op.

https://wordpress.org/news/2015/04/wordpress-4-2-1/
Anoniem: 145867
@rb33828 april 2015 09:20
Het blijft wel een algemeen probleem net als veelgebruikte standaard forum software, dat als er een exploit is. De hackers heel veel websites aan kunnen vallen.

Dit krijg je met CMS / Forums en andere gestandaardiseerde pakketen.
dops
28 april 2015 10:26
Het is ironisch dat WordPress 4.2 ook kwetsbaar is: die update van WordPress werd vorige week juist uitgebracht om een ander xss-lek te patchen. Met WordPress 4.2 werden ook drie kleinere beveiligingsproblemen opgelost.

Dit is niet correct, 4.1.2 kwam vorige week uit om een ander lek te patchen in 4.1 en lager.
4.2 is een feature release welke afgelopen weekend uit is gekomen.
4.2.1 fixed een nieuw ontdekt lek.
nextware
28 april 2015 10:43
Ter info:

Bij sommige sites wordt er een Wordpress versie 4.1.4 aangegeven (via DirectAdmin bijvoorbeeld).
Hierin lijkt ook het probleem opgelost te zijn.

Ik heb vanmorgen ook al enkele websites geüpdate. De laatste tijd zijn er nogal veel Wordpress updates te verwerken.
sj31
28 april 2015 08:10
Lekker dan, nu maar hopen dat ze dit snel gaan fixen
MAX3400
@sj3128 april 2015 08:11
Uit het artikel:
WordPress heeft in allerijl een beveiligingsupdate uitgebracht.
Ach, ik kan me er niet heel druk over maken; heb Comments uit staan op een Wordpress-site en maak alleen maar gebruik van bbPress om een overzichtelijker & fijner hoeveelheid content te krijgen van mijn users.

[Reactie gewijzigd door MAX3400 op 28 april 2015 08:11]

evertalbers
@MAX340028 april 2015 09:03
Ik gebruik meestal http://Bolt.cm in combinatie met Disqus als er commentaar-mogelijkheid gewenst is, bbpress heb ik nooit geprobeerd.

Disqus werkt goed, maar sommige doelgroepen hebben moeite met het aanmaken van een account. Heeft iemand bbpress en Disqus wel eens vergeleken?
noopie
@evertalbers28 april 2015 17:59
Hey bedankt, Bolt lijkt me een briljant alternatief voor WordPress!
TheMak
28 april 2015 13:11
Even voor de leek, over wat voor lek hebben we het? Heb ik het goed dat het over (html)-code gaat die door een "gebruiker" in het comment-veld achtergelaten wordt, en dat dan vervolgens door de server of browser geparsed wordt?
Anoniem: 670522
29 april 2015 14:12
Wordpress is wel vaak de sjaak.
mvds
@Faeron28 april 2015 08:34
Je hoeft helemaal geen fanboy te zijn om jouw post overdreven te vinden hoor ;)

Ik draai twee sites op Wordpress, en die draaien al jaren naar volle tevredenheid. En ja, het lijkt zeker zo lek als een mandje, maar het is best veilig (genoeg) te krijgen hoor. Daar zijn genoeg plugins voor. En het uitzetten van comments voor niet geregistreerde leden is al een goed begin. (en dan ook de registratie niet open zetten voor zomaar iedereen) Wat mensen vaak vergeten is dat het gratis is. Als je een grote site draait (zoals Tweakers) dan weet je wel beter dan voor een gratis cms te gaan. Dan geef je geld uit om een pakket te kopen, of te laten ontwikkelen.

[edit @ Faeron] Ik zeg niet dat ik beveiligingsfouten normaal vind hoor. Ik zeg dat IK ze acceptabel vind aangezien ikzelf heb gekozen voor een gratis CMS. Voor de normale gebruiker zal het zelden een probleem vormen. Niemand gaat dood of loopt gevaar als mijn site gehackt word, dus ga ik me er ook niet druk over maken als het niet waterdicht is. Wat mensen vaak vergeten is dat het gratis is. Welk recht heb je om te klagen als je er niet voor hoeft te betalen? Als je er een probleem mee hebt, dan stap je toch over naar een betaalde variant? Dan heb je het recht om te klagen. Jouw vergelijking met de autoindustrie vind ik dan ook onzin. Je moet de auto kopen, en mag je daar dus eisen aan stellen.

[Reactie gewijzigd door mvds op 28 april 2015 09:19]

Faeron
@mvds28 april 2015 08:39
Ik snap je punt en geef je (deels) gelijk. Maar aan de andere kant is je reactie wel bizar en typisch. We zijn met z'n allen aangekomen op het punt dat we beveiligingsfouten de normaalste zaak van de wereld vinden.

Wat als de autoindustrie op deze manier zou werken. Ach, een fout in het remsysteem waardoor deze op de snelweg spontaan vol in de rem kan gaan. Ik ga gewoon nooit meer met mijn auto de snelweg op dus het is geen probleem. WTF!?!?

Serieus, dit kan niet de manier zijn hoe ICT moet werken. Beveiligingsproblemen als SQLi, XSS, CSRF, etc zijn zo oud als de weg naar Rome. Deze hoeven niet meer te gebeuren. De technieken om ze tegen te gaan zijn net zo oud. Waarom bagatelliseren we continue dit soort fouten??
Anoniem: 463321
@Faeron28 april 2015 11:59
Dat is iets algemeens in de IT industrie, niet alleen Wordpress gerelateerd. Er wordt veel minder goed gecontroleerd omdat er vaak niet veel vanaf hangt. Producten worden op de markt gebracht en de updates volgen later wel.
Aan de andere kant (om bij je voorbeeld van auto's te blijven) komt het ook vaak genoeg voor dat auto's terug geroepen worden omdat er iets mis is met een onderdeel. Hetzelfde geldt voor diverse andere producten. Allemaal fouten zo oud als de weg naar Rome (ook al hadden ze toen nog geen auto's).
Bij auto's gaat het meestal om veiligheid van mensen en het voorkomen van letsel. Bij software gaat het weer om een ander soort veiligheid, meestal niet levensbedreigend. Beveiligingsfouten worden inderdaad geaccepteerd in die zin dat ze er zijn. Dat fouten zelf zo maar geaccepteerd worden is toch niet het geval. Als dat zo zou zijn dan zouden er geen patches en updates uitkomen.
Dat mvds een andere grens legt bij wat hij acceptabel vindt aan veiligheidsniveau is toch prima. Elke situatie zijn eigen niveau van beveiliging; een niveau dat je afweegt tegen de potentiële schade die het kan aanbrengen. De koning wordt nu ook eenmaal beter bewaakt dan een BN'er, laat staan ikzelf.
Jism
@mvds28 april 2015 08:40
Je plug-ins voor security zijn waardeloos als een Shell geüpload kan worden. Dat is het probleem. Die checken alleen op site niveau en niet op apache niveau. Maakt niet uit hoeveel plug-ins voor security installeerd, ze zijn allemaal waardeloos bij minst geringste exploit.
sdk1985
@Jism28 april 2015 16:29
Maar op server niveau heb je software draaien die jou een mail stuurt zodra md5 hashes niet meer kloppen. Dat gaat buiten de scope van de wordpress gebruiker en valt onder de verantwoordelijkheid van de hoster lijkt me. Probleem is natuurlijk dat er ook velen zijn waarbij dit overlapt.
Rataplan_
@Faeron28 april 2015 08:37
Mooi betoog maar je geeft geen enkel tegenargument danwel alternatief. Wat gebruik jij / jullie en waarom is dat zoveel beter dan Wordpress?
Faeron
@Rataplan_28 april 2015 08:43
Oh nee. Die kant ga ik niet meer op. Dat eindigt weer in een flamewar en zeikpuntjes over zaken die niets met beveiliging te maken hebben en er alleen maar toe dienen om het framework dat ik gebruik af te kraken. Mijn framework is namelijk niet 100% perfect. Dat kan ook niet, want zaken als gebruiksvriendelijkheid en 'hoe mooi het de interface is' zijn zwaar subjectief. De beveiliging is echter wel top en daar gaat het mij om.

Daarbij, wat ik gebruik boeit niet. Het gaat om het proces van CMS selectie. En het CMS dat voor mij goed werkt hoeft niet goed te werken voor jou of jouw situatie. Ga zelf eens kritisch kijken naar de Wordpress alternatieven, die zijn er genoeg. Stel zelf eens een criteriumlijst op en ga daar mee rondzoeken op internet. Het moet uiteindelijk jouw keuze zijn, niet de mijne.

[Reactie gewijzigd door Faeron op 28 april 2015 08:48]

Rataplan_
@Faeron28 april 2015 08:53
Idd dat boeit ook niet, echter daarmee lok je wel eea uit. Wel zeiken maar geen alternatief aandragen. Je stelt namelijk wel duideiljk dat WP k#t is, en dat mensen maar naar wat anders moeten overstappen en stel je zelfs min of meer dat mensen die wellicht uit gemak WP gebruiken 'domme poepers' zijn. M.a.w. je bent zelf aan het flamen hier.
Mijn keue is al lang gemaakt. Ik ben een domme poeper.
Stranger__NL
@Rataplan_28 april 2015 09:09
Faeron's keuze is al lang gemaakt voor zijn eigen systeem. Ik heb deze kort bekeken, maar deze is niet te vergelijken met de bekende open source systemen. De veiligheid vs functionaliteit is voor mij onvoldoende en zou de functionaliteit wel even groot zijn dan zitter er _zoveel_ regels code meer in dat er vast ook weer een lek is...

Faeron is echter standvastig in het feit dat hij safe is en verder weinig hoeft te doen.

Ik weet dat Wordpress (of ... vul hier _ieder_ ander systeem in...) lekken bevat en dat is jammer maar helaas. De functionaliteit en de belangrijkheid van de webseite (niet belangrijk - geen core business) wint het van de security.

De website is voor veel mensen redelijk belangrijk, maar geen top-prio die duizenden euro's aan ge-auditte supersoftware, hoog-opgeleide beheerders en dure firewalloplossingen mag kosten. Een bakker op de hoek wil gewoon een shared server met een templatevooprkantje voor een paar honderd euro die dochterlief af-en-toe kan bijwerken. En graag iets uitwisselbaars (geen vendor-lock in). Morgen klaar. Met honderden functies.

Ik adviseer V&D, KLM, Marktplaats, E-bay en Bol.com inderdaad niet om WordPress te gebruiken. ;) Maar de webshop van armbandjes die je thuis maakt ... of de kapper, ... of...

[Reactie gewijzigd door Stranger__NL op 28 april 2015 09:13]

webcamjan
@Faeron28 april 2015 11:57
Dus je geeft toe dat jou eigen CMS ook lekken heeft en niet deugt.?

ik vraag het even omdat je elke keer aangaande Wordpress met vooral je eigen CMS aankomt en nu zit daar ook 30 jaar ict bij lees ik.

Maar goed we zij eruit ook jou CMS is dus niet veilig in gebruik en gelijk aan Wordpress. Ook weer opgelost, je ziet samen met zijn allen komen we er wel.
Faeron
@webcamjan28 april 2015 12:04
Nee. Je leest blijkbaar wat je wil lezen en niet wat er staat. HIJ beweert zonder onderbouwing dat mijn CMS 'ook vast wel lek zou zijn' zonder enige onderbouwing en bewijs. Ik heb websites op mijn framework / CMS draaien die al jaren zonder enige update draaien zonder gehackt te zijn. De vorige versie van security.nl draaite op mijn CMS en ik neem aan dat je begrijpt dat die elke dag vele hackpogingen te verwerken krijgt.

Mijn CMS is niet 100% perfect op het vlak van gebruiksvriendelijkheid en 'hoe mooi hij is', omdat dat zwaar subjectieve zaken zijn. Daar kan je dus ook niet perfect in zijn. Waar hij wel goed in is, is in beveiliging. Stranger_NL's kritiekpunten waren uitsluitend op het 'subjectieve vlak'.
Anoniem: 463321
@Faeron28 april 2015 12:04
Wat bedoel je? Dat je inziet dat je eigen code ook lek kan zijn? Daarmee trap je wel meteen je hele betoog onderuit.

Als jij echt zo'n wonder bent in het schrijven van foutloze code moet je misschien je kennis eens wereldkundig maken zodat iedereen daar van kan leren. Misschien zijn we dan over een paar jaar allemaal van de beveiligingsfouten af.
Faeron
@Anoniem: 46332128 april 2015 12:07
Nee, ook jij leest wat je wilt lezen en niet wat er staat. Zie verder in mijn reactie op webcamjan hierboven.

En wat betreft dat wereldkundig maken, je ziet hier waar het toe leidt. Daar stop ik dus maar mee en houd mijn framework lekker voor mezelf.
Anoniem: 463321
@Faeron28 april 2015 12:14
Oh wat een zwaktebod. Zegt wel genoeg. Er gaan een paar tweakers tegen je in en meteen gaan de armpjes over elkaar.

Ik heb al je reacties wel gelezen en daaruit blijkt dat je geen reëel zelfbeeld hebt als het gaat om het werk dat je aflevert.
Faeron
@Anoniem: 46332128 april 2015 12:54
Wat je wil. Ik heb vele websites die jarenlang zonder update hackvrij draaien als bewijs van het tegendeel.

En ik kan prima omgaan met mensen die tegen me in gaan. Maar dan moeten ze wel met goede argumenten komen. Dat gebeurt niet en dat is waar ik me tegen verzet. Laat die Stranger_NL nou eens met concrete kwetsbaarheden komen, maar dat doet hij niet. Alleen maar vage, niet-security gerelateerde, subjectieve punten.
Stranger__NL
@Faeron28 april 2015 16:38
Hoi Faeron,

Zoals ik al tegen je zei in een vorig security topic ben ik geen hacker/auditor en de niet-vage, wel security-gerelateerde, objectieve punten die ik vond in je systeem _heb_ ik open en eerlijk bij je onder de aandacht gebracht en deze heb je allemaal weerlegd met een verklaring of workaround.

Ik heb _geen_ concrete dingen gevonden in je framework :Y) en dat komt omdat _ik_ ze niet _kan_ vinden omdat ik niet goed genoeg ben daarvoor. Ik ken mijzelf, mijn kwaliteiten en mijn limieten (Cursusje zelfreflectie anyone?). Schilder me niet af als iets wat ik niet ben. :+ Ik neem uitgebreid te tijd om te reageren op iets wat ik interessant vind. Ik verdien geen gekat terug van je.

Hetgeen wat de mensen volgens mij bedoelen die hier tegen je in gaan (en jij ook weer op reageert) is dat een 100% foutloos systeem niet kan bestaan. Jij zegt het te hebben. Ik geloof prima dat je al tientallen jaren systemen hebt die niet zijn gehacked en die je niet hoeft te updaten. Prima toch.

Maar ik zie dat je mijn en andere argumenten met het grootste gemak wegwuift. Ik en anderen verbazen zich daarover omdat ik niet geloof in een 100% waterdicht systeem.

Dat is niet omdat ik je niet wil geloven(!). Ik heb goud en diamanten over voor een feilloos systeem(!). Maar als ik even de lekkages bekijk van het afgelopen jaar op servergebied, PHPgebied, SSL, .... dan is niets off-limits. Ook jouw systeem niet. Zonder een concreet gat aan te wijzen moet ik statistisch concluderen dat ook jouw setup ergens een gat heeft. Je gelooft me niet en dat is prima.

[Reactie gewijzigd door Stranger__NL op 28 april 2015 18:38]

Faeron
@Stranger__NL28 april 2015 19:41
Och gut, wat reageer je weer lekker als de gebeten hond. Ik bekritiseer een systeem dat aan de lopende band lek is, jij vraagt of ik het beter kan doen, ik geef je aan (met bewijs) dat ik dat kan en je komt vervolgens aanzetten met kritiekpunten op zaken anders dan beveiliging en kan geen concrete kwetsbaarheid aantonen. Als ik daar dan mij verweer opgeef ben ik degene die geen zelfreflectie heeft en verwaand bezig is.

Mijn originele punt staat nog steeds: Wordpress gebruiken is onverstandig en niet nodig omdat er prima veilige alternatieven zijn. Dat het prima mogelijk is om een veilig(er) CMS te hebben heb ik aangetoond. Bevalt het je niet, prima, kies dan een ander systeem. Ik heb namelijk ook nooit beweerd dat je per se mijn systeem moet gebruiken of dat mijn systeem 100% perfect is, alleen maar 100x veiliger. Een keuze voor elk ander systeem dat veilig is, is prima, maar neem geen Wordpress. Dan vraag je gewoon om problemen.

[Reactie gewijzigd door Faeron op 28 april 2015 19:44]

Stranger__NL
@Faeron28 april 2015 21:21
Ik ben nog steeds op zoek naar een veilig systeem.

Graag vergelijkbaar met de (gebruiksvriendelijke)functies van een Wordpress/Drupal. Maar met de stevigheid van een rots, en redelijk prijs/onderhouds vriendelijk.

Alle tips zijn zeer welkom.

</little offtopic>
Als WP nu offline stond, maar de cache zou online komen na elke edit.... (dus eigenlijk gewoon een html site :) )

Hoe moeilijk zou dat te maken worden... de basis is er al...
Ik snap dat de database achtige zaken zoals zoeken, comments etc niet werken, maar dat is misschien beter te beveiligen?
</offtopic>

[Reactie gewijzigd door Stranger__NL op 28 april 2015 21:23]

Faeron
@Stranger__NL29 april 2015 00:11
Nee hoor. Jij wil helemaal geen veilig systeem. Jij wil Wordpress. Dat heb je allang duidelijk gemaakt.
Sn0wblind
@Faeron28 april 2015 10:28
SOrry maar als je zo;n statement maakt moe tje het ook wel kunnen waarmaken en bewijzen.

Wordpress is een aardig goed onderhouden CMS die door de grote populairiteit constant onder een vergrootglas gehouden wordt qua beveiliging. Er worden dus relatief snel problemen gevonden maar ook heel snel gepatched vanwege de grote hoeveelheid mankracht hierachter. Windows vs OSX betreft veiligheid is een zelfde soort verhaal waarbij Windows als onveilig werd afgeschilderd en OSX als veilig. Terwijl OSX alleen maar veilig was vanwege de security trough obscurity concept. Daarnaast meot een CMS toegepitst zijn op de functie van de site. Wordpress is prima voor een kleine tot middelgrote site die makkelijk beheerd moet kunnen worden en voor bedrijven die geen eigen developing afdeling hebben.

Ik heb met taloze CMS systemen gewerkt. Onderhand 10 jaar design en developing ervaring. Heb mijn credibility in de web wereld wel verdiend :)

[Reactie gewijzigd door Sn0wblind op 28 april 2015 10:29]

Jo-W
@Sn0wblind28 april 2015 12:44
Wordpress zelf is nu wel redelijk veilig. Maar ik maak me altijd veel zorgen over plugins en thema's. De API van wordpress speelt een groote rol hierin. Het is makkelijk om een fout te maken.

Aantal voorbeelden:
Prepared statements worden pas recentelijk gebruikt, daarvoor gebruikte iedere plugin concatenation van queries. Wordpress heeft magic quotes opnieuw uitgevonden (e.g. GET en POST query variabelen), sommige functies verwachten variables met gescaped slashes, sommige functies niet. Een deel van de functies geeft escaped entities, een ander deel weer niet. Zelfde verhaal met url encoding. Er kan html ingevoerd worden in comments en posts waarbij javascript eruit gefilterd wordt, er zijn echter enorm veel mogelijkheden om zo'n filter te omzeilen.

Ik zie liever dat er technieken gebruikt worden waarbij je als gebruiker van de API zulk soort fouten niet snel kan maken. Prepared statements, escaping onderdeel van de template taal zoals in handlebars, geen html in comments, etc.

Overigens is het een goed idee om CSP in te stellen op je server, nadeel is dat het onderhoud kost en dat je workarounds moet gebruiken voor de inline javascript van thema's/plugins.
Sn0wblind
@Faeron28 april 2015 10:40
In elk stukje software zitten lekken. Je wilt niet weten hoeveel exploits ik voorbij heb zien komen in de hack scene voor letterlijk elk stukje software. Daarbij is WOrdpress echt niet minder veilig. Integendeel zelfs.
Anoniem: 463321
@Faeron28 april 2015 12:09
Ik heb namelijk al 30 jaar ervaring in ICT beveiliging, maar dat betekent niet dat alles wat ik zeg automatisch waar is.
Dat blijkt.

Natuurlijk worden lekken enkel gevonden als ze er in zitten. Maar als een systeem niet veel aandacht krijgt is de kans op het vinden van een fout natuurlijk wel kleiner.
Zitten er geen fouten in een CMS of framework dan zal er zeker nooit iets worden gevonden. Je zal er tijdens je 30-jarige loopbaan echter ook wel zijn achtergekomen dat foutloze software niet bestaat. Kortom, overal zitten fouten in en dan is het dus maar goed dat er heel veel mensen naar kijken zodat die fouten snel aan het licht komen en opgelost kunnen worden.
Faeron
@Anoniem: 46332128 april 2015 13:29
Ik daag je uit om een security bug in mijn framework aan te wijzen.
Anoniem: 463321
@Faeron28 april 2015 14:59
Gaat wat lastig hè als je er voor kiest om het framework "lekker voor je zelf te houden".
Maar goed, wees stoer en maak het publiek. Ik voorzie wel een lek of twee.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee