Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 90 reacties

Afgelopen week zijn duizenden WordPress-sites gekaapt met als doel via visitorTracker_isMob-code malware te verspreiden, beweert beveiligingsbedrijf Sucuri na onderzoek. Bezoekers van de sites worden naar een site met de Nuclear Exploit Kit doorgesluisd.

Volgens Sucuri begon de malwarecampagne twee weken geleden, maar is sinds dinsdag een enorme stijging van het aantal besmettingen te zien. Niet duidelijk is hoe de WordPress-sites besmet worden, waarschijnlijk verloopt dat via kwetsbare plug-ins, zoals wel vaker.

Criminelen voegen visitorTracker_isMob-code toe aan alle javascript-bestanden op gekaapte sites. Via een backdoor worden browsers van bezoekers van de site vervolgens gedwongen een iframe van een pagina met de Nuclear Exploit Kit te laden.

Sucuri claimt duizenden besmette sites gevonden te hebben, waarvan 95 procent WordPress draait, dus wellicht zijn ook site met een ander cms kwetsbaar. Het beveiligingsbedrijf raadt WordPress-gebruikers aan hun plugins bij te werken naar de laatste versie. Via een sitecheck kunnen beheerders controleren of hun site besmet is.

Sucuri VisitorTracker

Moderatie-faq Wijzig weergave

Reacties (90)

Het probleem met WordPress is, hoe ironisch, het laagdrempelige om er mee te beginnen. Ik beheer met mijn bedrijf ~250 WordPress websites. Klanten betalen voor dienstverlening zoals updates van de core en plugins. Wij maken de selectie van plugins die we vertrouwen en gebruiken.

Doordat we deze sites 'gewoon' bijwerken wanneer nodig, hebben we eigenlijk nooit problemen. In ieder geval niet het probleem zoals hierboven. Simpelweg bijhouden van je WordPress installatie is, net zoals je computer, een taak die je gewoon moet doen. En vooral niet klakkeloos 3th party plugins installeren.

Het core developer team en de contributors doen veel om een veilige omgeving te creŽren, maar als gebruikers vervolgens niets met die updates doen wordt het vrij lastig. Als beheerder van de WordPress NL forums kan ik vervolgens elke dag gaan uitleggen dat die WP versie van vorig jaar toch echt wel de oorzaak is dat je site gehackt is...
Ja, je hebt gelijk dat het bijhouden van je software met behulp van patches noodzakelijk is. Maar aan de andere kant vind ik het ook wel zorgelijk dat we het klaarblijkelijk normaal vinden dat software lek en onveilig is. Iedereen die een beetje verstand heeft van softwareontwikkeling kan zelf concluderen dat, met de huidige opzet en programmerstijl die gebruikt is voor Wordpress, het gebruiken van Wordpress vragen is om problemen.

Wordpress is om het zo maar te zeggen een schoolvoorbeeld van hoe je niet moet programmeren. De enige manier waarop ik Wordpress in het verleden heb ingezet is tijdens mijn cursus Secure Webdevelopment om aan te geven: zo moet het dus niet.

Wil je een website bouwen, dan heb je de keuze uit een CMS of een framework. Een CMS is kant en klaar en eigenlijk niet bedoeld om op code-niveau aanpassingen te maken. Het zijn vaak grote brokke code waar moeilijk lagen in te onderscheiden zijn. Voorbeelden zijn Wordpress, Drupal en Joomla. Een framework is veelal niet meer dan een set van libraries en een eerste opzet waarbinnen je gaat programmeren. Nadeel hierbij is dat veel voorkomende functionaliteit zoals gebruikersbeheer en paginabeheer zelf ontwikkeld moet worden. Voorbeelden zijn CodeIgnitor, Laravel en CakePHP.

Wat ik mis is een CMS waarin duidelijk een onderscheid is gemaakt tussen een onderliggend framework en de interface die daar bovenop ligt. Dus een goed onderliggend framework, waarin goed is nagedacht over beveiliging, authenticatie, routing, rechtenstructuur, authenticatie, etc. Bovenop deze laag worden vervolgens verschillende modules gebouwd, zoals bijvoorbeeld een weblog, forum, gastenboek, agenda of fotoalbum. Om die reden heb ik zelf zo'n, hoe ik het zelf noem, hybride CMS/framework ontwikkeld. En al zeg ik het zelf, het bevat me goed. Ik zet heel snel websites neer, maar hoef me geen zorgen te maken over beveiliging of patches. Nieuwe functionaliteit is makkelijk toe te voegen. Wat ik ontwikkeld heb is naar mijn idee geen rocket science, maar toch verbaas ik me erover dat ik mijn opzet nog nergens anders ben tegengekomen.
Nee. Ook hier zie ik geen duidelijk onderscheid tussen het framework deel en het interface deel. Wellicht kan jij 't me zeggen: welke bestanden vormen het framework en welke de interface?
Dank voor de links, maar ook dit is niet wat ik zoek. Zoals ik al zie, ik heb reeds mijn eigen hybride framework/CMS ontwikkeld en dat voldoet prima.
Helemaal met je eens. Ik ben altijd erg tevreden geweest over http://grabaperch.com. Het is betaald, maar heeft excellente service en - naar mijn mening - de juiste aanpak van een CMS: text aanpassen
Een betaald CMS is voor mij direct al een no-go.
Gratis en voor nop is prima, je krijgt waarvoor je betaalt. Betaal je niets dan krijg je WordPress met alle lekke plug-ins en rommel erbij.

Wanneer je echt een serieus een veilig, professioneel en goed onderhoudbaar systeem wilt dan neem je bijvoorbeeld ExpressionEngine of een vergelijkbaar iets.

Een betaald systeem zit doorgaans beter in elkaar, je hoeft niet om de haverklap patches te installeren. Gebouwd op CodeIgniter framework dus uitermate goed doordacht en met veiligheid hoog in het vaandel. Het scheelt een hoop tijd en dus geld bij de implementatie.
Probeer eens out of the box, Het Django Framework in Python met daarop diverse cms'en is wat je zoekt. Door en door te testen en gefocussed op veiligheid en stabiliteit. Een dikke community en fijne docs maken fouten en security leaks al een stuk minder mogelijk.
(en ja, ik beheer helaas ook enkele wp en drupal sites... ;( )
Ik ben nu 5 jaar full-time webdeveloper en ik heb met slechte frameworks ( zelfgeschreven, die we toen praktisch herschreven hebben) en goede frameworks ( Laravel ) gewerkt. En ik heb een keer door de Wordpress code mogen baggeren.. Ik kan onderschrijven dat dit spaghetti code is en dat het geen wonder is dat er elk jaar nieuwe lekken in gevonden worden.
Je schaart Drupal samen met WordPress onder de noemer CMS. Hier denk ik dat je toch wat meer kennis van Drupal nodig hebt om dit oordeel te vellen. Drupal is namelijk een CMF, en dan zeker Drupal 8 nu Symfony2 geadopteerd is.
Wordpress is om het zo maar te zeggen een schoolvoorbeeld van hoe je niet moet programmeren. De enige manier waarop ik Wordpress in het verleden heb ingezet is tijdens mijn cursus Secure Webdevelopment om aan te geven: zo moet het dus niet.
Dit is natuurlijk onzin. WordPress zelf zit vrij goed in elkaar. Het is niet de bedoeling dat je de core gaat aanpassen. Het is ook niet de bedoeling dat je themes en plugins direct gaat aanpassen. In het geval van thema's kun je child-themes gebruiken zodat je het hoofdthema altijd kunt blijven updaten zonder je eigen wijzigingen te verliezen. In het geval van het aanpassen van plugins is het de bedoeling dat je overrides of hooks en filters gebruikt om functionaliteit te wijzigen of toe te voegen zodat je ook de plugins kunt blijven updaten zonder je eigen wijzigingen te verliezen. Als je je niet houdt aan deze best practices dan loop je inderdaad een groter risico. Maar dat is dan volledig te wijten aan de beheerders/developers van de website en niet aan de makers van WordPress of de WordPress community.
Right... Goed om te weten dat ik nooit bij Fukusa moet aankloppen voor een website. Je hebt duidelijk geen kaas gegeven van goede softwareontwikkeling.
Ik vind het heel zwak van je dat je mij persoonlijk aanvalt en niet in gaat op de inhoud. Heb je wel enig idee waar je het over hebt? WordPress is een goed en veilig systeem als je je gewoon houdt aan de best practices en regelmatig update. Er zijn miljoenen WordPress websites, als er dan duizenden malware verspreiden dan duidt dat op een probleem met die websites, niet met WordPress zelf. De grote internationale grote broers van Tweakers.net, Arstechnica.com en Techcrunch.com gebruiken WordPress. Xda-developers.com gebruikt WordPress. Wired.com en Time.com gebruiken WordPress. Mozilla gebruikt WordPress voor hun blog. Miljoenen websites leunen op WordPress. Hoe kun je dan beweren dat WordPress inherent onveilig is of slecht in elkaar zit?

[Reactie gewijzigd door fukusa op 18 september 2015 22:15]

Ik denk dat beide wel een beide gelijk hebben. Mijn perceptie is dat Wordpress word ontwikkelt vanuit de eindgebruiker: We willen er een functionaliteit bij, hoe kunnen we die in ons framework verwerken? Er is geen sterke filosofie aanwezig over hoe dat precies in een framework omvat moet worden. Dit vergroot de kans op security issues natuurlijk. Aan de andere kant is wordpress hierdoor wel een van de ( zo niet de meest ) gebruikersvriendelijke CMS applicatie die je kunt vinden. Zelf heb ik geen problemen met meer techinsch georiŽnteerde platformen aangezien ik zelf uit de techniek kom. Maar voor onze marketing afdeling was het toch een hele verademing nadat we onze corporate website omgezet hadden naar wordpress. Wordpress doet hier toch wel iets goed. De prijs die je hiervoor betaald is natuurlijk wel dat je netjes je upgrades moet bijhouden en niet te ver buiten de gebaande wegen moet gaan. Maar dit is natuurlijk sowieso een aanbeveling voor alle CMS systemen. Daarnaast is de manier van upgrades doorvoeren in wordpress een erg fijne. Je krijgt simpelweg een mail dat je website is geupdate. En als je je zoals hierboven genoemd een beetje aan de wordpress way of thinking houd gaat dit eigenlijk altijd goed. En het is zeker niet het best gestructureerde CMS systeem. Maar het heeft zeker een bestaansrecht.
> Simpelweg bijhouden van je WordPress installatie is, net zoals je computer, een taak die je gewoon moet doen.

Niet het laagdrempelige is het probleem met WordPress, maar dit. Mensen moeten steeds wat blijven doen om het veilig te houden. Jullie doen dat wel, maar velen, velen doen dat niet. Zijn zich niet bewust of nemen het niet serieus. Daarbovenop komen de laagdrempelige keuzes die WordPress inderdaad ook nog maakt. De usernames voor het beheergedeelte kan je bijvoorbeeld gewoon opvragen. Breuh.
Gelukkig doet de core al automatisch updates... nu nog voor plugins uit de repository (kan trouwens wel al, als een plugin een groot lek bevat zoals een tijdje terug met Yoast SO). Dan zijn veel problemen al opgelost.

Wachtwoorden zijn sinds de laatste update standaard een stuk sterker gegenereerd. Ook een bonus. Neemt niet weg dat het meeste werk inderdaad nog bij de gebruikers ligt (al zie ik dit ook als een verantwoordelijkheid.. het is wel 'jouw' dingetje)
Jullie vergeten hier een groot deel van developmentbedrijven die met WordPress werken; veel custom functionaliteit die in/aan plugins hangen. Updaten is vaak niet 'zomaar' mogelijk, en automatische updates zijn soms rampzalig. Ben het roerend met jullie eens dat het wel zo makkelijk zou moeten zijn, en dat alle code zo geschreven wordt dat het automatisch te updaten valt, maar in de praktijk is het helaas vaak anders.
"Updaten is vaak niet 'zomaar' mogelijk"

Dan is het slecht ingericht, punt. Er is geen enkel geldig excuus dat de core, theme en andere bestanden niet geupdate zouden kunnen worden.
Vreselijk naÔef van je, er zijn meer dan genoeg gevallen waarbij valide, mooie, fijne code op een gegeven moment niet meer werkt na een update. Verwijs ik weer door naar dit artikel van een van de ontwikkelaars van Automattic (WooCommerce, WordPress etc); http://coenjacobs.me/deal...-backwards-compatibility/
Natuurlijk vergen updates van versies in sommige gevallen aanpassingen om het weer compatible te maken. Mijn punt was dat het nooit een reden mag zijn om dan maar niet te updaten - wat in de praktijk helaas nog wel eens voorkomt.

Mede om die reden wil je als webontwikkelaar ook zo min mogelijk afhankelijk zijn van externe plugins - waarbij het altijd de vraag is hoe snel (en uberhaupt of) ze hun zaken aanpassen naar de laatste stand van zaken.
Klopt :) En dat maakt dan weer de balancing act tussen de voordelen van kant en klare software die bijgehouden wordt en de uren die het kost om het zelf te doen.
er word veel op plugins ingehaakt (bijvoorbeeld het genesis thema) ondaks child themes (Wat standaard is bij genesis thema) kunnen er alsnog dingen "breken" doordat bepaalde hooks verwijderd of veranderd worden. Zelf ben ik geen programeur, maar draai wel een hobbywebsite over de vogelhobby

Heb dagen moeten zoeken om sommige dingen voor elkaar te krijgen die allemaal op oudere versies van genesis gebasseerd zijn (toegegeven dat ik ook genesis hooks plugin gebruik voor het gemak :+ )
Daarom moet je child themes gebruiken, en waar mogelijk in plugins hooken. Woocommerce is een goed voorbeeld.
Zeker, maar ook dat is niet altijd een garantie. Zit toevallig nu binnen zo'n "hoofdpijn project" waarbij er wel child-themes en plugin-hooks zijn gebruikt, maar wel al 2,5 jaar geleden.. en dan krijg je dit soort praktijken ;)
Hoofd-thema's en plugins breken (dus) ook met enige regelmaat hun eigen backwards compatibility - het is nooit een garantie dat het blijft werken.
Een van de redenen waarom wij onze klanten tegenwoordig verplicht een onderhouds SLA op hun applicatie verkopen. "Rolling updates" is een stuk overzichtelijker dan "even" 2.5 jaar overbruggen.
Wederom helemaal mee eens ;) Maar ooit belt een bedrijf je op met de vraag "We zijn hier al twee jaar mee bezig, help!"

Bottomline; helemaal ontkomen eraan doe je nooit.
Good point, daar kun je helaas weinig aan doen, denk ik dan.
De meeste problemen zit hem toch echt in lekke plugins.
Wordpress update zichzelf automatisch voor een groot deel.
Voor een aantal zaken is het niet meer dan op een link klikken.

Je hoeft echt niet steeds wat te doen wat moeite vergt, mensen zijn lui en laks.

En inderdaad, de websites zijn voornamelijk lek vanwege de third party plugins.
> Simpelweg bijhouden van je WordPress installatie is, net zoals je computer, een taak die je gewoon moet doen.
Niet het laagdrempelige is het probleem met WordPress, maar dit. Mensen moeten steeds wat blijven doen om het veilig te houden.
Dat klopt precies met wat ik daarnet zei over de algemene vuistregel: meer gemak leidt tot minder veiligheid.
Wil je een huis zonder voordeur (meer gemak, nooit meer sleutels vergeten etc), dan leidt dat tot minder veiligheid (bijv toename van diefstal).
Het probleem met WordPress is, hoe ironisch, het laagdrempelige om er mee te beginnen.
Algemene vuistregel: meer gemak leidt tot minder veiligheid.
Dat ben ik het niet me je eens, meestal duurt het wel veel langer om dan het uiteindelijke doel te bereiken. maar als je de zelfde tijd wilt nemen om iets te bereiken zal je ergens op moeten inleveren. het is een driehoek en je kan er maar 2 hebben
- gemak
- veilig
- snelle ontwikkeling
Dat ben ik het niet me je eens, meestal duurt het wel veel langer om dan het uiteindelijke doel te bereiken. maar als je de zelfde tijd wilt nemen om iets te bereiken zal je ergens op moeten inleveren. het is een driehoek en je kan er maar 2 hebben
- gemak
- veilig
- snelle ontwikkeling
Snelle ontwikkeling? Als je snel een website wilt bouwen en je gaat voor Wordpress, dan doe je dat toch uit gemak? Je had ook de website kunnen bouwen met C, assembleertaal etc, maar Wordpress biedt meer gemak. Dus snelle ontwikkeling valt mijns insziens onder "gemak".
Trouwens, er zijn voorbeelden waar geen sprake is van "snelle ontwikkeling", en dan heb je alleen veiligheid versus gemak. Bijvoorbeeld: een slot op je fiets geeft een klein ongemak, maar grote veiligheid. Terwijl gťťn slot leidt tot meer gemak en minder veiligheid.
snelle ontwikkeling is niet "gemak", sommige mensen (ondergetekende) kunnen niet even een CMS uit de grond stampen met alle mogelijkheden die wordpress bied (door zijn plugin en thema structuur)
snelle ontwikkeling is niet "gemak", sommige mensen (ondergetekende) kunnen niet even een CMS uit de grond stampen met alle mogelijkheden die wordpress bied (door zijn plugin en thema structuur)
Als je niet even snel een CMS uit de grond kunt stampen, wat ga je dan doen: kies je dan voor de gemakkelijke weg (bijv Wordpress) of kies je de moeilijke weg (bijv 4 jaar HBO-opleiding)?
;)
moet je 4 jaar hbo gaan doen om een CMS uit de grond te stampen? :+. Er zijn genoeg grote (nieuws) sites en blogs die op wordpress draaien zonder enige defacing of hacks of iets dergelijks. Zelf heb ik meer het gevoel dat veel php devs meer zoiets hebben als "had ik dat maar voor elkaar kunnen krijgen". Als het zo onveilig zou zijn zoals iedereen beweert, waarom gebruiken sites als MTV.com, sonymusic.com, bbcamerica.com etc dan gewoon wordpress?

Juist omdat het gewoon goed werkt, het is (ge)makkelijk aan te passen, en je kunt er goed op verder borduren door het als basis CMS te gebruiken. Zelf gebruik in inderdaad "gemakkelijk" wordpress gezien ik zelf geen programeur kennis heb (kom niet veel verder dan wat php code knippen en plakken via een guide :+)
moet je 4 jaar hbo gaan doen om een CMS uit de grond te stampen? :+. Er zijn genoeg grote (nieuws) sites en blogs die op wordpress draaien zonder enige defacing of hacks of iets dergelijks. Zelf heb ik meer het gevoel dat veel php devs meer zoiets hebben als "had ik dat maar voor elkaar kunnen krijgen". Als het zo onveilig zou zijn zoals iedereen beweert, waarom gebruiken sites als MTV.com, sonymusic.com, bbcamerica.com etc dan gewoon wordpress?
Ik zeg niet dat Wordpress onveilig is. Die sites die jij opnoemt: hoeveel moeite wordt erin gestoken om die sites veilig te houden? Daar gaat het mij om. Je kunt op 2 manieren omgaan met Wordpress:
  • installatie zonder verdere configuratie (lekker makkelijk)
  • installatie waarbij je op technisch niveau alle instellingen goed zet, bijv niet overal +777 etc (minder makkelijk)
Degene die kiest optie 1 (gemak), zal die volgens jou net zoveel risico lopen als degene die voor optie 2 gaat?

Mijn gevoel vertelt mij dat alles waar je weinig moeite in steekt (= gemak) nooit veiliger kan zijn dan iets waar je met volledige aandacht veel moeite in hebt gestoken (= verdiepen in beveiliging etc). Snappie?

Daarnaast: ik heb in de praktijk vaak genoeg websites gezien die malware hebben opgelopen (Joomla + Wordpress). In geen enkel geval werd die website beheerd door iemand die met volledige aandacht en kennis de website heeft beveiligd. Dus weinig moeite is er besteed aan beveiliging. Weinig moeite = veel gemak.
duidelijk! Ik zelf heb ik inderdaad meerop VPS niveau de bevailiging in orde gemaakt (ook de reden dat ik VPS wilde) Uiteraard is volledig dedi nog "veiliger" gezien er dan niet andere "kwetsbare" dingen op dezelfde hardware (met name geheugen) draaien.

Zelf heb ik geen enkele opleiding in de IT hoek gehad, maar als er gewoon goed gezocht word kan men een heel eind komen;

niet overal 777 gebruiken
(gezien ik alleen centos ervaring heb)
Apache user/group gebruiken waarbij virtual hosts hun eigen user hebben, die alleen de eigen map kan benaderen
Geen FTP gebruiken maar gewoon SFTP (standaard bij veel VPSen al gebruikelijk)
Goede firewall vanuit VPS provider (AWS heeft dit goed voor elkaar hoop ik)

Uiteraard blijft altijd nog het risico dat de beheer omgeving van een VPS gebroken word, dan ben je nergens meer helaas, om die reden ben ik toch langzaam aan het kijken naar zelf hosten van het spul (tegenwoordig met glas goed te doen zolang men geen videodienst went te huisvesten).

Kosten zullen uiteraard hoger zijn, maar het kan gewoon "meedraaien" op het virtualisatie labje.

[Reactie gewijzigd door aadje93 op 18 september 2015 17:42]

Dat is onzin er zijn genoeg grote website's gemaakt op Wordpress. Ik ontwikkel 3x zo snel een simpele website in php/html dan in Wordpress.

Echter had ik het niet zo zeer over wordpress maar gewoon over het ontwikkelen algemeen.
Dat is onzin er zijn genoeg grote website's gemaakt op Wordpress. Ik ontwikkel 3x zo snel een simpele website in php/html dan in Wordpress.
Ik heb niet gezegd dat grote websites niet gebouwd kunnen worden met Wordpress.
Wat je vooral niet moet doen ik klakkeloos WordPress installeren met alle standaardinstellingen. Wil je het veilig houden zul je bepaalde instellingen moeten doen om het buitenstaanders lastig te maken. Geen default Admin, geen standaard databasenaam en ga zo maar door. Er zijn vele site met instructies te vinden.
Wat je vooral niet moet doen ik klakkeloos WordPress installeren met alle standaardinstellingen.
Dat is toch lekker makkelijk? (in de zin van "gemak")
Wil je het veilig houden zul je bepaalde instellingen moeten doen om het buitenstaanders lastig te maken.
Veilig maken kost tijd om je erin te verdiepen. Dat is minder makkelijk dan gewoon de standaardinstellingen gebruiken.

Kortom: gemak gaat ten koste van veiligheid.
Inderdaad, beter kan ik het niet verwoorden!

Daarnaast word er soms voor elk wissewasje een plugin geÔnstalleerd. Geen goed idee want je website word er niet sneller van en je laadt weer een hele berg code in waarvan je niet precies weet wat het doet.

Wij integreren hier zoveel mogelijk in het thema dat we maken. Daarbij hebben we enkele 'ondersteunende' plugins voor bijvoorbeeld wat SEO functionaliteit. Niet voor elke social icon een plugin, niet voor elke lijstje in een sidebar een plugin, niet voor dit-wil-ik-daar-op-die-plek-hebben weer een plugin.

Scheelt een heleboel!
Een groot probleem wat vaak ook meespeeld en ook een oorzaak is in dit verhaal is dat je soms een plugin nodig voor een specifiek iets het soms het gebeurd dat er maar handjevol of minder van beschikbaar wat echt bruikbaar is voor je datgene wat je wilt. De kans dat dit dan een plugin is die 1 of 2 jaar of ouders is dan niet ongebruikelijk. Dat neemt natuurlijk de nodige risico's met zich mee.
Mweh, dat tooltje faalt. FUD all over the place.

Hij zegt dat ik outdated software draai. Op het eerste gezicht lijkt dat inderdaad zo, want ik draai Apache 2.2.22. Maar ik draai de Ubuntu LTS versie ervan. Oftewel, alle security fixes die er zijn, zitten erin. Backporting heet dat. Zie hier de changelog ervan.

Opzicht kan die tool dat niet zien, want de Server header bevat niet de volledige versie-string 2.2.22-1ubuntu1.10 maar enkel Apache/2.2.22 (Ubuntu), dus dat tooltje weet het niet. Of nouja, het bevat wel het woord Ubuntu, maar dat is alles. Dus opzich is een warning wel op z'n plaats. Maar ik bedoel dat een warning. Niet een groot rood uitroepteken met een screeuwende tekst OMG JE SOFTWARE IS OUTDATED!!! die eruit ziet als een gemiddelde commerciŽle virusscanner gericht op gamende pubers (no offense, ik was ook ooit zo). Maar die melding kan dus een stuk subtieler en minder schreeuwend. Zoals het nu is, is puur FUD.

FUD staat voor Fear, Uncertainty en Doubt. Kort gezegd, mensen bang maken en vervolgens jouw product of dienst aanpraten. Precies wat security-verkopers doen. Deels omdat het niet anders kan, want praten over security-zaken gaat al heel snel richting bangmakerij, het is een hele dunne lijn. Maar als er grote rode uitroeptekens en dikgedrukte letters worden gebruikt, terwijl het een duidelijke false positive is (waar de makers van de tool van zouden moeten weten),is toch wel een stukje voorbij mijn tolerantie-grens voor FUD.

Screenshots: http://imgur.com/a/bbJ4l

Zie ook hoe de grote rode knop met hoofdletters meteen naar de "bestel ons product"-pagina gaat. Needankje.
Ik zou bijna zeggen dat je op een malware website zit ;(

Het bevat bijna alles, schreeuwende teksten dat je outdated bent en dat je moet betalen 8)7
Dit dus. Bijzonder waardeloze website.
Ik draai apache 2.4.7 waar ik een aantal WP's op draai, deze zit in Ubuntu Server 14.04 LTS en security fixes worden gewoon gebackport. Zat hij ook over te piepen.
Amateurs.

Edit:
Ik heb contact gezocht met het bedrijf er achter, aangegeven dat wat hun tool zegt over versie nummers min of meer onzin is vanwege backporting.
Er werd me verteld dat er naar gekeken werd bij de volgende versie van hun tool. (betere check of mildere foutmelding)
Voor de goede orde, die tool doet dus daadwerkelijk ook niets meer dan de versienummer opvragen van Apache en maakt op die basis de bepaling of je een probleem hebt of niet.

[Reactie gewijzigd door Alpha Bootis op 18 september 2015 20:33]

Ik vraag mij wel eens af of die bedrijven niet zelf zulke bedreigingen (virussen etc..) maken om vervolgens de juiste bescherming aan te bieden.
Het stukje JavaScript dat wordt gebruikt om mobiele browsers te detecteren (en uit te sluiten) lijkt trouwens afkomstig te zijn van deze website. Securi heeft een stuk weggelaten, maar de reguliere expressie komt verder overeen.

Er is nog een stukje code aan toegevoegd om ook met het resultaat van de test te werken, en een nutteloze omzetting van de user agent naar kleine letters. (Dit is nutteloos omdat de reguliere expressie al de modifier i meekrijgt, waardoor deze de verschillen tussen hoofd- en kleine letters negeert.)

De code die daadwerkelijk verantwoordelijk is voor het inladen van de exploit kit – afgaande op de omschrijving en het screenshot van Fiddler d.m.v. een iframe – wordt helaas niet getoond in de Securi-blogpost.
Loop ik als Mac gebruiker ook risico besmet te raken via deze VisitorTracker-code? Wordpress is niet echt iets waar ik makkelijk bij uit de buurt kan blijven, dus wat in dit artikel staat vind ik zorgelijk.
Het korte antwoord is "ja, windows, mac en linux gebruikers lopen gevaar".

Het langere antwoord is "misschien, afhankelijk hoe up to date je bent enzo". Dit laatste antwoord hangt af of je nog Flash geÔnstalleerd hebt bijvoorbeeld en of je bijvoorbeeld een browser hebt die als Flash weigert zoals Google Chrome of dat je plugins hebt zoals een adblocker en/of noscript. Iets wat je ook op nu.nl kan gebeuren en ook daadwerkelijk gebeurt als een advertentienetwerk weer malware begint te publiceren.

Sucuri lijkt hier iets goeds te doen, maar eigenlijk zijn ze gewoon zijn gewoon op zoek naar nieuwe klanten voor hun cloudbased WAF (Web Application Firewall). Ze doen wat checks tegen versienummers aan en roepen dan of iets lek is of niet, maar zo makkelijk is het niet helaas. Om eerlijk te zijn is dit net zo waardevol als een weerman die vertelt dat het vandaag heeft geregend op veel plaatsen en dat je bij hem een paraplu kan bestellen.
Sucuri lijkt hier iets goeds te doen, maar eigenlijk zijn ze gewoon zijn gewoon op zoek naar nieuwe klanten voor hun cloudbased WAF (Web Application Firewall). Ze doen wat checks tegen versienummers aan en roepen dan of iets lek is of niet, maar zo makkelijk is het niet helaas. Om eerlijk te zijn is dit net zo waardevol als een weerman die vertelt dat het vandaag heeft geregend op veel plaatsen en dat je bij hem een paraplu kan bestellen.
Sterker nog, hoe kan ik als buitenstaander uitsluiten dat Sucuri niet zelf verantwoordelijk is voor die malware? Het fenomeen waarbij bedrijven zelf een situatie veroorzaken om vervolgens met een oplossing te komen is niet nieuw. En het is ook nog lucratief omdat dat bedrijf als eerste een werkende oplossing kan aanbieden.
Dat is zeker niet uitgesloten. Ik begrijp - na 2 minuten googlen - dat de Nuclear Exploit Kit ook gebruik maakt van een Flash lek dat ook op macs aanwezig is/was.

http://krebsonsecurity.com/tag/nuclear-exploit-kit/
Wordpress draait toch niet op je mac?
Kan, maar over het algemeen draait het ergens op internet en meestal op een linux distributie.

@hieronder
Sorry, nog niet wakker

[Reactie gewijzigd door [Roland] op 18 september 2015 11:38]

hij vraagt zich af of hij besmet kan worden als hij met een Mac pc een Wordpress powered site bezoekt.
Je raakt als bezoeker besmet dus zou wel degelijk kunnen op een Mac. Vraag is dus eigenlijk wat doet de malware en is een Mac exploitable middels de NEK? Dat is mij ook niet duidelijk.
Waar de site op draait maakt natuurlijk niet uit om clients te besmetten. ;)
Jammer dat er geen tools is om via SSH te scannen voor mensen met meerdere sites.
Euh, niemand anders dan ikzelf krijgt ssh-toegang tot mijn (web)servers. Als zo'n tooltje wilt scannen, mag hij zich gedragen als http-client. Net als iedereen trouwens.
Je kan wel remote werken / updaten met dit tooltje : http://wp-cli.org/
En je websites kan je ook uitgebreid scannen met WP-scan: http://wpscan.org/

[Reactie gewijzigd door Basszje op 18 september 2015 14:37]

Het is mooi om te zien dat er een tooltje is om je site te controleren. Vooralsnog ben ik veilig met mijn eigen (nickname) site. Het updaten van de plugins blijkt maar weer eens erg belangrijk te zijn.
Een tooltje dat met de conclusie komt dat je site gevaar loopt en dan aanbeveelt om hun eigen product te installeren. 8)7 Zelfs voor sites waar geen WordPress of ander CMS draait. Jaja.
Handige link, mijn site is in ieder niet besmet :-)

Maar begrijp ik dat de site eerst gekaapt moet worden, dus geen lek in de software? Dan lijkt het risico me niet zo heel groot (mits up to date en goede wachtwoorden).
Leuk dat ze een tool aanbieden om je website te scannen, jammer dat het bijna altijd een medium risk zal aangeven op de "website firewall" sectie waar zij "toevallig" een oplossing voor hebben...
Weer erg vervelend dat dit Wordpress betreft. Heb net alle 12 Wordpress websites die ik beheer even nagelopen en ze zijn gelukkig allemaal niet besmet. Maar goed ze zijn ook alle 12 netjes van updates voorzien.
Bij een site waar ik wel eens wat voor doe kreeg ik ook een melding, hoewel deze goed dicht getimmerd is. Het zag er meer uit als reclame voor de genoemde testwebsite.

Vaak kom je al een heel eind met de WordFence plugin, houd de boel up-to-date en blockt mislukte inlog pogingen en stuurt email mocht er een inlog zijn of updates die nodig zijn.

En omjezelf meldingen te besparen, gooi alle niet gebruike templates en plugins weg. Wat er niet is kan ook niet worden misbruikt en hoeft niet te worden geupdated.

[Reactie gewijzigd door randomnumber op 18 september 2015 12:38]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True