'Duizenden WordPress-sites verspreiden malware via VisitorTracker-code'

Afgelopen week zijn duizenden WordPress-sites gekaapt met als doel via visitorTracker_isMob-code malware te verspreiden, beweert beveiligingsbedrijf Sucuri na onderzoek. Bezoekers van de sites worden naar een site met de Nuclear Exploit Kit doorgesluisd.

Volgens Sucuri begon de malwarecampagne twee weken geleden, maar is sinds dinsdag een enorme stijging van het aantal besmettingen te zien. Niet duidelijk is hoe de WordPress-sites besmet worden, waarschijnlijk verloopt dat via kwetsbare plug-ins, zoals wel vaker.

Criminelen voegen visitorTracker_isMob-code toe aan alle javascript-bestanden op gekaapte sites. Via een backdoor worden browsers van bezoekers van de site vervolgens gedwongen een iframe van een pagina met de Nuclear Exploit Kit te laden.

Sucuri claimt duizenden besmette sites gevonden te hebben, waarvan 95 procent WordPress draait, dus wellicht zijn ook site met een ander cms kwetsbaar. Het beveiligingsbedrijf raadt WordPress-gebruikers aan hun plugins bij te werken naar de laatste versie. Via een sitecheck kunnen beheerders controleren of hun site besmet is.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 18-09-2015 11:1090

18-09-2015 • 11:10

90 Linkedin

Lees meer

WordPress informeert gebruikers week na uitbrengen patch over ernstig lek Nieuws van 2 februari 2017
Wordpress lost ernstige kwetsbaarheid in updatemechanisme op Nieuws van 24 november 2016
Nederlands hackproject ontdekt kwetsbaarheden in vijf Wordpress-plug-ins Nieuws van 20 juli 2016
WordPress 4.4 is uitgebracht met REST-integratie Nieuws van 9 december 2015
WordPress kampt voor tweede week op rij met ernstig xss-lek Nieuws van 28 april 2015
WordPress dicht 'kritiek' xss-lek Nieuws van 23 april 2015
'Ruim miljoen WordPress-installaties vatbaar voor xss-kwetsbaarheid plugin' Nieuws van 7 april 2015
Duizenden WordPress-sites serveren nog steeds malware Nieuws van 26 maart 2015
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (90)

-Moderatie-faq
90
85
72
9
0
0
Wijzig sortering
Nielsvr
18 september 2015 11:27
Het probleem met WordPress is, hoe ironisch, het laagdrempelige om er mee te beginnen. Ik beheer met mijn bedrijf ~250 WordPress websites. Klanten betalen voor dienstverlening zoals updates van de core en plugins. Wij maken de selectie van plugins die we vertrouwen en gebruiken.

Doordat we deze sites 'gewoon' bijwerken wanneer nodig, hebben we eigenlijk nooit problemen. In ieder geval niet het probleem zoals hierboven. Simpelweg bijhouden van je WordPress installatie is, net zoals je computer, een taak die je gewoon moet doen. En vooral niet klakkeloos 3th party plugins installeren.

Het core developer team en de contributors doen veel om een veilige omgeving te creëren, maar als gebruikers vervolgens niets met die updates doen wordt het vrij lastig. Als beheerder van de WordPress NL forums kan ik vervolgens elke dag gaan uitleggen dat die WP versie van vorig jaar toch echt wel de oorzaak is dat je site gehackt is...
Faeron
@Nielsvr18 september 2015 12:41
Ja, je hebt gelijk dat het bijhouden van je software met behulp van patches noodzakelijk is. Maar aan de andere kant vind ik het ook wel zorgelijk dat we het klaarblijkelijk normaal vinden dat software lek en onveilig is. Iedereen die een beetje verstand heeft van softwareontwikkeling kan zelf concluderen dat, met de huidige opzet en programmerstijl die gebruikt is voor Wordpress, het gebruiken van Wordpress vragen is om problemen.

Wordpress is om het zo maar te zeggen een schoolvoorbeeld van hoe je niet moet programmeren. De enige manier waarop ik Wordpress in het verleden heb ingezet is tijdens mijn cursus Secure Webdevelopment om aan te geven: zo moet het dus niet.

Wil je een website bouwen, dan heb je de keuze uit een CMS of een framework. Een CMS is kant en klaar en eigenlijk niet bedoeld om op code-niveau aanpassingen te maken. Het zijn vaak grote brokke code waar moeilijk lagen in te onderscheiden zijn. Voorbeelden zijn Wordpress, Drupal en Joomla. Een framework is veelal niet meer dan een set van libraries en een eerste opzet waarbinnen je gaat programmeren. Nadeel hierbij is dat veel voorkomende functionaliteit zoals gebruikersbeheer en paginabeheer zelf ontwikkeld moet worden. Voorbeelden zijn CodeIgnitor, Laravel en CakePHP.

Wat ik mis is een CMS waarin duidelijk een onderscheid is gemaakt tussen een onderliggend framework en de interface die daar bovenop ligt. Dus een goed onderliggend framework, waarin goed is nagedacht over beveiliging, authenticatie, routing, rechtenstructuur, authenticatie, etc. Bovenop deze laag worden vervolgens verschillende modules gebouwd, zoals bijvoorbeeld een weblog, forum, gastenboek, agenda of fotoalbum. Om die reden heb ik zelf zo'n, hoe ik het zelf noem, hybride CMS/framework ontwikkeld. En al zeg ik het zelf, het bevat me goed. Ik zet heel snel websites neer, maar hoef me geen zorgen te maken over beveiliging of patches. Nieuwe functionaliteit is makkelijk toe te voegen. Wat ik ontwikkeld heb is naar mijn idee geen rocket science, maar toch verbaas ik me erover dat ik mijn opzet nog nergens anders ben tegengekomen.
s.stok
@Faeron18 september 2015 12:49
Is dit misschien iets? http://www.pagekit.com/
Faeron
@s.stok18 september 2015 12:54
Nee. Ook hier zie ik geen duidelijk onderscheid tussen het framework deel en het interface deel. Wellicht kan jij 't me zeggen: welke bestanden vormen het framework en welke de interface?
evertalbers
@Faeron18 september 2015 15:21
En deze 2 zijn er ook nog:
- http://buildwithcraft.com/
- https://bolt.cm
Faeron
@evertalbers18 september 2015 22:01
Dank voor de links, maar ook dit is niet wat ik zoek. Zoals ik al zie, ik heb reeds mijn eigen hybride framework/CMS ontwikkeld en dat voldoet prima.
xleeuwx
@Faeron18 september 2015 13:51
Done: https://octobercms.com/
japborst
@Faeron18 september 2015 18:34
Helemaal met je eens. Ik ben altijd erg tevreden geweest over http://grabaperch.com. Het is betaald, maar heeft excellente service en - naar mijn mening - de juiste aanpak van een CMS: text aanpassen
Faeron
@japborst18 september 2015 21:50
Een betaald CMS is voor mij direct al een no-go.
FrankHe
@Faeron20 september 2015 11:11
Gratis en voor nop is prima, je krijgt waarvoor je betaalt. Betaal je niets dan krijg je WordPress met alle lekke plug-ins en rommel erbij.

Wanneer je echt een serieus een veilig, professioneel en goed onderhoudbaar systeem wilt dan neem je bijvoorbeeld ExpressionEngine of een vergelijkbaar iets.

Een betaald systeem zit doorgaans beter in elkaar, je hoeft niet om de haverklap patches te installeren. Gebouwd op CodeIgniter framework dus uitermate goed doordacht en met veiligheid hoog in het vaandel. Het scheelt een hoop tijd en dus geld bij de implementatie.
divvid
@Faeron18 september 2015 20:10
Probeer eens out of the box, Het Django Framework in Python met daarop diverse cms'en is wat je zoekt. Door en door te testen en gefocussed op veiligheid en stabiliteit. Een dikke community en fijne docs maken fouten en security leaks al een stuk minder mogelijk.
(en ja, ik beheer helaas ook enkele wp en drupal sites... ;( )
Oerdond3r
@Faeron20 september 2015 12:53
Ik ben nu 5 jaar full-time webdeveloper en ik heb met slechte frameworks ( zelfgeschreven, die we toen praktisch herschreven hebben) en goede frameworks ( Laravel ) gewerkt. En ik heb een keer door de Wordpress code mogen baggeren.. Ik kan onderschrijven dat dit spaghetti code is en dat het geen wonder is dat er elk jaar nieuwe lekken in gevonden worden.
KVdE
@Faeron20 september 2015 14:01
Je schaart Drupal samen met WordPress onder de noemer CMS. Hier denk ik dat je toch wat meer kennis van Drupal nodig hebt om dit oordeel te vellen. Drupal is namelijk een CMF, en dan zeker Drupal 8 nu Symfony2 geadopteerd is.
Anoniem: 666115
@Faeron18 september 2015 19:55
Wordpress is om het zo maar te zeggen een schoolvoorbeeld van hoe je niet moet programmeren. De enige manier waarop ik Wordpress in het verleden heb ingezet is tijdens mijn cursus Secure Webdevelopment om aan te geven: zo moet het dus niet.
Dit is natuurlijk onzin. WordPress zelf zit vrij goed in elkaar. Het is niet de bedoeling dat je de core gaat aanpassen. Het is ook niet de bedoeling dat je themes en plugins direct gaat aanpassen. In het geval van thema's kun je child-themes gebruiken zodat je het hoofdthema altijd kunt blijven updaten zonder je eigen wijzigingen te verliezen. In het geval van het aanpassen van plugins is het de bedoeling dat je overrides of hooks en filters gebruikt om functionaliteit te wijzigen of toe te voegen zodat je ook de plugins kunt blijven updaten zonder je eigen wijzigingen te verliezen. Als je je niet houdt aan deze best practices dan loop je inderdaad een groter risico. Maar dat is dan volledig te wijten aan de beheerders/developers van de website en niet aan de makers van WordPress of de WordPress community.
Faeron
@Anoniem: 66611518 september 2015 21:58
Right... Goed om te weten dat ik nooit bij Fukusa moet aankloppen voor een website. Je hebt duidelijk geen kaas gegeven van goede softwareontwikkeling.
Anoniem: 666115
@Faeron18 september 2015 22:14
Ik vind het heel zwak van je dat je mij persoonlijk aanvalt en niet in gaat op de inhoud. Heb je wel enig idee waar je het over hebt? WordPress is een goed en veilig systeem als je je gewoon houdt aan de best practices en regelmatig update. Er zijn miljoenen WordPress websites, als er dan duizenden malware verspreiden dan duidt dat op een probleem met die websites, niet met WordPress zelf. De grote internationale grote broers van Tweakers.net, Arstechnica.com en Techcrunch.com gebruiken WordPress. Xda-developers.com gebruikt WordPress. Wired.com en Time.com gebruiken WordPress. Mozilla gebruikt WordPress voor hun blog. Miljoenen websites leunen op WordPress. Hoe kun je dan beweren dat WordPress inherent onveilig is of slecht in elkaar zit?

[Reactie gewijzigd door Anoniem: 666115 op 18 september 2015 22:15]

MoonWatcher
@Faeron20 september 2015 10:44
Ik denk dat beide wel een beide gelijk hebben. Mijn perceptie is dat Wordpress word ontwikkelt vanuit de eindgebruiker: We willen er een functionaliteit bij, hoe kunnen we die in ons framework verwerken? Er is geen sterke filosofie aanwezig over hoe dat precies in een framework omvat moet worden. Dit vergroot de kans op security issues natuurlijk. Aan de andere kant is wordpress hierdoor wel een van de ( zo niet de meest ) gebruikersvriendelijke CMS applicatie die je kunt vinden. Zelf heb ik geen problemen met meer techinsch georiënteerde platformen aangezien ik zelf uit de techniek kom. Maar voor onze marketing afdeling was het toch een hele verademing nadat we onze corporate website omgezet hadden naar wordpress. Wordpress doet hier toch wel iets goed. De prijs die je hiervoor betaald is natuurlijk wel dat je netjes je upgrades moet bijhouden en niet te ver buiten de gebaande wegen moet gaan. Maar dit is natuurlijk sowieso een aanbeveling voor alle CMS systemen. Daarnaast is de manier van upgrades doorvoeren in wordpress een erg fijne. Je krijgt simpelweg een mail dat je website is geupdate. En als je je zoals hierboven genoemd een beetje aan de wordpress way of thinking houd gaat dit eigenlijk altijd goed. En het is zeker niet het best gestructureerde CMS systeem. Maar het heeft zeker een bestaansrecht.
Anoniem: 580000
@Nielsvr18 september 2015 11:40
> Simpelweg bijhouden van je WordPress installatie is, net zoals je computer, een taak die je gewoon moet doen.

Niet het laagdrempelige is het probleem met WordPress, maar dit. Mensen moeten steeds wat blijven doen om het veilig te houden. Jullie doen dat wel, maar velen, velen doen dat niet. Zijn zich niet bewust of nemen het niet serieus. Daarbovenop komen de laagdrempelige keuzes die WordPress inderdaad ook nog maakt. De usernames voor het beheergedeelte kan je bijvoorbeeld gewoon opvragen. Breuh.
Nielsvr
@Anoniem: 58000018 september 2015 11:56
Gelukkig doet de core al automatisch updates... nu nog voor plugins uit de repository (kan trouwens wel al, als een plugin een groot lek bevat zoals een tijdje terug met Yoast SO). Dan zijn veel problemen al opgelost.

Wachtwoorden zijn sinds de laatste update standaard een stuk sterker gegenereerd. Ook een bonus. Neemt niet weg dat het meeste werk inderdaad nog bij de gebruikers ligt (al zie ik dit ook als een verantwoordelijkheid.. het is wel 'jouw' dingetje)
Asitis
@Nielsvr18 september 2015 12:10
Jullie vergeten hier een groot deel van developmentbedrijven die met WordPress werken; veel custom functionaliteit die in/aan plugins hangen. Updaten is vaak niet 'zomaar' mogelijk, en automatische updates zijn soms rampzalig. Ben het roerend met jullie eens dat het wel zo makkelijk zou moeten zijn, en dat alle code zo geschreven wordt dat het automatisch te updaten valt, maar in de praktijk is het helaas vaak anders.
Marko_J
@Asitis18 september 2015 14:50
"Updaten is vaak niet 'zomaar' mogelijk"

Dan is het slecht ingericht, punt. Er is geen enkel geldig excuus dat de core, theme en andere bestanden niet geupdate zouden kunnen worden.
Asitis
@Marko_J18 september 2015 15:47
Vreselijk naïef van je, er zijn meer dan genoeg gevallen waarbij valide, mooie, fijne code op een gegeven moment niet meer werkt na een update. Verwijs ik weer door naar dit artikel van een van de ontwikkelaars van Automattic (WooCommerce, WordPress etc); http://coenjacobs.me/deal...-backwards-compatibility/
Marko_J
@Asitis18 september 2015 17:15
Natuurlijk vergen updates van versies in sommige gevallen aanpassingen om het weer compatible te maken. Mijn punt was dat het nooit een reden mag zijn om dan maar niet te updaten - wat in de praktijk helaas nog wel eens voorkomt.

Mede om die reden wil je als webontwikkelaar ook zo min mogelijk afhankelijk zijn van externe plugins - waarbij het altijd de vraag is hoe snel (en uberhaupt of) ze hun zaken aanpassen naar de laatste stand van zaken.
Asitis
@Marko_J18 september 2015 21:39
Klopt :) En dat maakt dan weer de balancing act tussen de voordelen van kant en klare software die bijgehouden wordt en de uren die het kost om het zelf te doen.
aadje93
@Marko_J18 september 2015 16:23
er word veel op plugins ingehaakt (bijvoorbeeld het genesis thema) ondaks child themes (Wat standaard is bij genesis thema) kunnen er alsnog dingen "breken" doordat bepaalde hooks verwijderd of veranderd worden. Zelf ben ik geen programeur, maar draai wel een hobbywebsite over de vogelhobby

Heb dagen moeten zoeken om sommige dingen voor elkaar te krijgen die allemaal op oudere versies van genesis gebasseerd zijn (toegegeven dat ik ook genesis hooks plugin gebruik voor het gemak :+ )
Mustii_93
@Asitis18 september 2015 13:31
Daarom moet je child themes gebruiken, en waar mogelijk in plugins hooken. Woocommerce is een goed voorbeeld.
Asitis
@Mustii_9318 september 2015 14:35
Zeker, maar ook dat is niet altijd een garantie. Zit toevallig nu binnen zo'n "hoofdpijn project" waarbij er wel child-themes en plugin-hooks zijn gebruikt, maar wel al 2,5 jaar geleden.. en dan krijg je dit soort praktijken ;)
Hoofd-thema's en plugins breken (dus) ook met enige regelmaat hun eigen backwards compatibility - het is nooit een garantie dat het blijft werken.
MoonWatcher
@Asitis20 september 2015 10:50
Een van de redenen waarom wij onze klanten tegenwoordig verplicht een onderhouds SLA op hun applicatie verkopen. "Rolling updates" is een stuk overzichtelijker dan "even" 2.5 jaar overbruggen.
Asitis
@MoonWatcher20 september 2015 11:30
Wederom helemaal mee eens ;) Maar ooit belt een bedrijf je op met de vraag "We zijn hier al twee jaar mee bezig, help!"

Bottomline; helemaal ontkomen eraan doe je nooit.
Mustii_93
@Asitis18 september 2015 15:14
Good point, daar kun je helaas weinig aan doen, denk ik dan.
xleeuwx
@Nielsvr18 september 2015 13:50
De meeste problemen zit hem toch echt in lekke plugins.
Bender
@Anoniem: 58000018 september 2015 11:57
Wordpress update zichzelf automatisch voor een groot deel.
Voor een aantal zaken is het niet meer dan op een link klikken.

Je hoeft echt niet steeds wat te doen wat moeite vergt, mensen zijn lui en laks.

En inderdaad, de websites zijn voornamelijk lek vanwege de third party plugins.
Jael_Jablabla
@Anoniem: 58000018 september 2015 12:13
> Simpelweg bijhouden van je WordPress installatie is, net zoals je computer, een taak die je gewoon moet doen.
Niet het laagdrempelige is het probleem met WordPress, maar dit. Mensen moeten steeds wat blijven doen om het veilig te houden.
Dat klopt precies met wat ik daarnet zei over de algemene vuistregel: meer gemak leidt tot minder veiligheid.
Wil je een huis zonder voordeur (meer gemak, nooit meer sleutels vergeten etc), dan leidt dat tot minder veiligheid (bijv toename van diefstal).
Jael_Jablabla
@Nielsvr18 september 2015 12:09
Het probleem met WordPress is, hoe ironisch, het laagdrempelige om er mee te beginnen.
Algemene vuistregel: meer gemak leidt tot minder veiligheid.
xleeuwx
@Jael_Jablabla18 september 2015 13:53
Dat ben ik het niet me je eens, meestal duurt het wel veel langer om dan het uiteindelijke doel te bereiken. maar als je de zelfde tijd wilt nemen om iets te bereiken zal je ergens op moeten inleveren. het is een driehoek en je kan er maar 2 hebben
- gemak
- veilig
- snelle ontwikkeling
Jael_Jablabla
@xleeuwx18 september 2015 14:20
Dat ben ik het niet me je eens, meestal duurt het wel veel langer om dan het uiteindelijke doel te bereiken. maar als je de zelfde tijd wilt nemen om iets te bereiken zal je ergens op moeten inleveren. het is een driehoek en je kan er maar 2 hebben
- gemak
- veilig
- snelle ontwikkeling
Snelle ontwikkeling? Als je snel een website wilt bouwen en je gaat voor Wordpress, dan doe je dat toch uit gemak? Je had ook de website kunnen bouwen met C, assembleertaal etc, maar Wordpress biedt meer gemak. Dus snelle ontwikkeling valt mijns insziens onder "gemak".
Trouwens, er zijn voorbeelden waar geen sprake is van "snelle ontwikkeling", en dan heb je alleen veiligheid versus gemak. Bijvoorbeeld: een slot op je fiets geeft een klein ongemak, maar grote veiligheid. Terwijl géén slot leidt tot meer gemak en minder veiligheid.
aadje93
@Jael_Jablabla18 september 2015 16:25
snelle ontwikkeling is niet "gemak", sommige mensen (ondergetekende) kunnen niet even een CMS uit de grond stampen met alle mogelijkheden die wordpress bied (door zijn plugin en thema structuur)
Jael_Jablabla
@aadje9318 september 2015 16:36
snelle ontwikkeling is niet "gemak", sommige mensen (ondergetekende) kunnen niet even een CMS uit de grond stampen met alle mogelijkheden die wordpress bied (door zijn plugin en thema structuur)
Als je niet even snel een CMS uit de grond kunt stampen, wat ga je dan doen: kies je dan voor de gemakkelijke weg (bijv Wordpress) of kies je de moeilijke weg (bijv 4 jaar HBO-opleiding)?
;)
aadje93
@Jael_Jablabla18 september 2015 17:11
moet je 4 jaar hbo gaan doen om een CMS uit de grond te stampen? :+. Er zijn genoeg grote (nieuws) sites en blogs die op wordpress draaien zonder enige defacing of hacks of iets dergelijks. Zelf heb ik meer het gevoel dat veel php devs meer zoiets hebben als "had ik dat maar voor elkaar kunnen krijgen". Als het zo onveilig zou zijn zoals iedereen beweert, waarom gebruiken sites als MTV.com, sonymusic.com, bbcamerica.com etc dan gewoon wordpress?

Juist omdat het gewoon goed werkt, het is (ge)makkelijk aan te passen, en je kunt er goed op verder borduren door het als basis CMS te gebruiken. Zelf gebruik in inderdaad "gemakkelijk" wordpress gezien ik zelf geen programeur kennis heb (kom niet veel verder dan wat php code knippen en plakken via een guide :+)
Jael_Jablabla
@aadje9318 september 2015 17:33
moet je 4 jaar hbo gaan doen om een CMS uit de grond te stampen? :+. Er zijn genoeg grote (nieuws) sites en blogs die op wordpress draaien zonder enige defacing of hacks of iets dergelijks. Zelf heb ik meer het gevoel dat veel php devs meer zoiets hebben als "had ik dat maar voor elkaar kunnen krijgen". Als het zo onveilig zou zijn zoals iedereen beweert, waarom gebruiken sites als MTV.com, sonymusic.com, bbcamerica.com etc dan gewoon wordpress?
Ik zeg niet dat Wordpress onveilig is. Die sites die jij opnoemt: hoeveel moeite wordt erin gestoken om die sites veilig te houden? Daar gaat het mij om. Je kunt op 2 manieren omgaan met Wordpress:
  • installatie zonder verdere configuratie (lekker makkelijk)
  • installatie waarbij je op technisch niveau alle instellingen goed zet, bijv niet overal +777 etc (minder makkelijk)
Degene die kiest optie 1 (gemak), zal die volgens jou net zoveel risico lopen als degene die voor optie 2 gaat?

Mijn gevoel vertelt mij dat alles waar je weinig moeite in steekt (= gemak) nooit veiliger kan zijn dan iets waar je met volledige aandacht veel moeite in hebt gestoken (= verdiepen in beveiliging etc). Snappie?

Daarnaast: ik heb in de praktijk vaak genoeg websites gezien die malware hebben opgelopen (Joomla + Wordpress). In geen enkel geval werd die website beheerd door iemand die met volledige aandacht en kennis de website heeft beveiligd. Dus weinig moeite is er besteed aan beveiliging. Weinig moeite = veel gemak.
aadje93
@Jael_Jablabla18 september 2015 17:42
duidelijk! Ik zelf heb ik inderdaad meerop VPS niveau de bevailiging in orde gemaakt (ook de reden dat ik VPS wilde) Uiteraard is volledig dedi nog "veiliger" gezien er dan niet andere "kwetsbare" dingen op dezelfde hardware (met name geheugen) draaien.

Zelf heb ik geen enkele opleiding in de IT hoek gehad, maar als er gewoon goed gezocht word kan men een heel eind komen;

niet overal 777 gebruiken
(gezien ik alleen centos ervaring heb)
Apache user/group gebruiken waarbij virtual hosts hun eigen user hebben, die alleen de eigen map kan benaderen
Geen FTP gebruiken maar gewoon SFTP (standaard bij veel VPSen al gebruikelijk)
Goede firewall vanuit VPS provider (AWS heeft dit goed voor elkaar hoop ik)

Uiteraard blijft altijd nog het risico dat de beheer omgeving van een VPS gebroken word, dan ben je nergens meer helaas, om die reden ben ik toch langzaam aan het kijken naar zelf hosten van het spul (tegenwoordig met glas goed te doen zolang men geen videodienst went te huisvesten).

Kosten zullen uiteraard hoger zijn, maar het kan gewoon "meedraaien" op het virtualisatie labje.

[Reactie gewijzigd door aadje93 op 18 september 2015 17:42]

xleeuwx
@Jael_Jablabla18 september 2015 14:57
Dat is onzin er zijn genoeg grote website's gemaakt op Wordpress. Ik ontwikkel 3x zo snel een simpele website in php/html dan in Wordpress.

Echter had ik het niet zo zeer over wordpress maar gewoon over het ontwikkelen algemeen.
Jael_Jablabla
@xleeuwx18 september 2015 15:00
Dat is onzin er zijn genoeg grote website's gemaakt op Wordpress. Ik ontwikkel 3x zo snel een simpele website in php/html dan in Wordpress.
Ik heb niet gezegd dat grote websites niet gebouwd kunnen worden met Wordpress.
Anoniem: 463321
@Nielsvr18 september 2015 15:09
Wat je vooral niet moet doen ik klakkeloos WordPress installeren met alle standaardinstellingen. Wil je het veilig houden zul je bepaalde instellingen moeten doen om het buitenstaanders lastig te maken. Geen default Admin, geen standaard databasenaam en ga zo maar door. Er zijn vele site met instructies te vinden.
Jael_Jablabla
@Anoniem: 46332118 september 2015 16:41
Wat je vooral niet moet doen ik klakkeloos WordPress installeren met alle standaardinstellingen.
Dat is toch lekker makkelijk? (in de zin van "gemak")
Wil je het veilig houden zul je bepaalde instellingen moeten doen om het buitenstaanders lastig te maken.
Veilig maken kost tijd om je erin te verdiepen. Dat is minder makkelijk dan gewoon de standaardinstellingen gebruiken.

Kortom: gemak gaat ten koste van veiligheid.
TheNephilim
@Nielsvr18 september 2015 15:21
Inderdaad, beter kan ik het niet verwoorden!

Daarnaast word er soms voor elk wissewasje een plugin geïnstalleerd. Geen goed idee want je website word er niet sneller van en je laadt weer een hele berg code in waarvan je niet precies weet wat het doet.

Wij integreren hier zoveel mogelijk in het thema dat we maken. Daarbij hebben we enkele 'ondersteunende' plugins voor bijvoorbeeld wat SEO functionaliteit. Niet voor elke social icon een plugin, niet voor elke lijstje in een sidebar een plugin, niet voor dit-wil-ik-daar-op-die-plek-hebben weer een plugin.

Scheelt een heleboel!
Zeror
@Nielsvr18 september 2015 15:53
Een groot probleem wat vaak ook meespeeld en ook een oorzaak is in dit verhaal is dat je soms een plugin nodig voor een specifiek iets het soms het gebeurd dat er maar handjevol of minder van beschikbaar wat echt bruikbaar is voor je datgene wat je wilt. De kans dat dit dan een plugin is die 1 of 2 jaar of ouders is dan niet ongebruikelijk. Dat neemt natuurlijk de nodige risico's met zich mee.
Peetz0r
18 september 2015 11:35
Mweh, dat tooltje faalt. FUD all over the place.

Hij zegt dat ik outdated software draai. Op het eerste gezicht lijkt dat inderdaad zo, want ik draai Apache 2.2.22. Maar ik draai de Ubuntu LTS versie ervan. Oftewel, alle security fixes die er zijn, zitten erin. Backporting heet dat. Zie hier de changelog ervan.

Opzicht kan die tool dat niet zien, want de Server header bevat niet de volledige versie-string 2.2.22-1ubuntu1.10 maar enkel Apache/2.2.22 (Ubuntu), dus dat tooltje weet het niet. Of nouja, het bevat wel het woord Ubuntu, maar dat is alles. Dus opzich is een warning wel op z'n plaats. Maar ik bedoel dat een warning. Niet een groot rood uitroepteken met een screeuwende tekst OMG JE SOFTWARE IS OUTDATED!!! die eruit ziet als een gemiddelde commerciële virusscanner gericht op gamende pubers (no offense, ik was ook ooit zo). Maar die melding kan dus een stuk subtieler en minder schreeuwend. Zoals het nu is, is puur FUD.

FUD staat voor Fear, Uncertainty en Doubt. Kort gezegd, mensen bang maken en vervolgens jouw product of dienst aanpraten. Precies wat security-verkopers doen. Deels omdat het niet anders kan, want praten over security-zaken gaat al heel snel richting bangmakerij, het is een hele dunne lijn. Maar als er grote rode uitroeptekens en dikgedrukte letters worden gebruikt, terwijl het een duidelijke false positive is (waar de makers van de tool van zouden moeten weten),is toch wel een stukje voorbij mijn tolerantie-grens voor FUD.

Screenshots: http://imgur.com/a/bbJ4l

Zie ook hoe de grote rode knop met hoofdletters meteen naar de "bestel ons product"-pagina gaat. Needankje.
xleeuwx
@Peetz0r18 september 2015 15:00
Ik zou bijna zeggen dat je op een malware website zit ;(

Het bevat bijna alles, schreeuwende teksten dat je outdated bent en dat je moet betalen 8)7
Anoniem: 80487
@Peetz0r18 september 2015 17:36
Dit dus. Bijzonder waardeloze website.
Ik draai apache 2.4.7 waar ik een aantal WP's op draai, deze zit in Ubuntu Server 14.04 LTS en security fixes worden gewoon gebackport. Zat hij ook over te piepen.
Amateurs.

Edit:
Ik heb contact gezocht met het bedrijf er achter, aangegeven dat wat hun tool zegt over versie nummers min of meer onzin is vanwege backporting.
Er werd me verteld dat er naar gekeken werd bij de volgende versie van hun tool. (betere check of mildere foutmelding)
Voor de goede orde, die tool doet dus daadwerkelijk ook niets meer dan de versienummer opvragen van Apache en maakt op die basis de bepaling of je een probleem hebt of niet.

[Reactie gewijzigd door Anoniem: 80487 op 18 september 2015 20:33]

FicoF
@Peetz0r18 september 2015 11:55
Ik vraag mij wel eens af of die bedrijven niet zelf zulke bedreigingen (virussen etc..) maken om vervolgens de juiste bescherming aan te bieden.
xrf
18 september 2015 18:29
Het stukje JavaScript dat wordt gebruikt om mobiele browsers te detecteren (en uit te sluiten) lijkt trouwens afkomstig te zijn van deze website. Securi heeft een stuk weggelaten, maar de reguliere expressie komt verder overeen.

Er is nog een stukje code aan toegevoegd om ook met het resultaat van de test te werken, en een nutteloze omzetting van de user agent naar kleine letters. (Dit is nutteloos omdat de reguliere expressie al de modifier i meekrijgt, waardoor deze de verschillen tussen hoofd- en kleine letters negeert.)

De code die daadwerkelijk verantwoordelijk is voor het inladen van de exploit kit – afgaande op de omschrijving en het screenshot van Fiddler d.m.v. een iframe – wordt helaas niet getoond in de Securi-blogpost.
klonic
18 september 2015 11:17
Loop ik als Mac gebruiker ook risico besmet te raken via deze VisitorTracker-code? Wordpress is niet echt iets waar ik makkelijk bij uit de buurt kan blijven, dus wat in dit artikel staat vind ik zorgelijk.
army
@klonic18 september 2015 11:55
Het korte antwoord is "ja, windows, mac en linux gebruikers lopen gevaar".

Het langere antwoord is "misschien, afhankelijk hoe up to date je bent enzo". Dit laatste antwoord hangt af of je nog Flash geïnstalleerd hebt bijvoorbeeld en of je bijvoorbeeld een browser hebt die als Flash weigert zoals Google Chrome of dat je plugins hebt zoals een adblocker en/of noscript. Iets wat je ook op nu.nl kan gebeuren en ook daadwerkelijk gebeurt als een advertentienetwerk weer malware begint te publiceren.

Sucuri lijkt hier iets goeds te doen, maar eigenlijk zijn ze gewoon zijn gewoon op zoek naar nieuwe klanten voor hun cloudbased WAF (Web Application Firewall). Ze doen wat checks tegen versienummers aan en roepen dan of iets lek is of niet, maar zo makkelijk is het niet helaas. Om eerlijk te zijn is dit net zo waardevol als een weerman die vertelt dat het vandaag heeft geregend op veel plaatsen en dat je bij hem een paraplu kan bestellen.
Jael_Jablabla
@army18 september 2015 12:21
Sucuri lijkt hier iets goeds te doen, maar eigenlijk zijn ze gewoon zijn gewoon op zoek naar nieuwe klanten voor hun cloudbased WAF (Web Application Firewall). Ze doen wat checks tegen versienummers aan en roepen dan of iets lek is of niet, maar zo makkelijk is het niet helaas. Om eerlijk te zijn is dit net zo waardevol als een weerman die vertelt dat het vandaag heeft geregend op veel plaatsen en dat je bij hem een paraplu kan bestellen.
Sterker nog, hoe kan ik als buitenstaander uitsluiten dat Sucuri niet zelf verantwoordelijk is voor die malware? Het fenomeen waarbij bedrijven zelf een situatie veroorzaken om vervolgens met een oplossing te komen is niet nieuw. En het is ook nog lucratief omdat dat bedrijf als eerste een werkende oplossing kan aanbieden.
pietje63
@klonic18 september 2015 11:32
Dat is zeker niet uitgesloten. Ik begrijp - na 2 minuten googlen - dat de Nuclear Exploit Kit ook gebruik maakt van een Flash lek dat ook op macs aanwezig is/was.

http://krebsonsecurity.com/tag/nuclear-exploit-kit/
[Roland]
@klonic18 september 2015 11:20
Wordpress draait toch niet op je mac?
Kan, maar over het algemeen draait het ergens op internet en meestal op een linux distributie.

@hieronder
Sorry, nog niet wakker

[Reactie gewijzigd door [Roland] op 18 september 2015 11:38]

Yucko
@[Roland]18 september 2015 11:28
hij vraagt zich af of hij besmet kan worden als hij met een Mac pc een Wordpress powered site bezoekt.
weijte000
@[Roland]18 september 2015 11:31
Je raakt als bezoeker besmet dus zou wel degelijk kunnen op een Mac. Vraag is dus eigenlijk wat doet de malware en is een Mac exploitable middels de NEK? Dat is mij ook niet duidelijk.
CH4OS
@[Roland]18 september 2015 11:35
Waar de site op draait maakt natuurlijk niet uit om clients te besmetten. ;)
walkstyle
18 september 2015 12:05
Jammer dat er geen tools is om via SSH te scannen voor mensen met meerdere sites.
Peetz0r
@walkstyle18 september 2015 12:15
Euh, niemand anders dan ikzelf krijgt ssh-toegang tot mijn (web)servers. Als zo'n tooltje wilt scannen, mag hij zich gedragen als http-client. Net als iedereen trouwens.
Basszje
@walkstyle18 september 2015 14:36
Je kan wel remote werken / updaten met dit tooltje : http://wp-cli.org/
En je websites kan je ook uitgebreid scannen met WP-scan: http://wpscan.org/

[Reactie gewijzigd door Basszje op 18 september 2015 14:37]

matvp
@walkstyle18 september 2015 18:47
Probeer anders dit eens: https://github.com/patrolserver/bashscanner
Kiswum
18 september 2015 11:17
Het is mooi om te zien dat er een tooltje is om je site te controleren. Vooralsnog ben ik veilig met mijn eigen (nickname) site. Het updaten van de plugins blijkt maar weer eens erg belangrijk te zijn.
Anoniem: 463321
@Kiswum18 september 2015 14:24
Een tooltje dat met de conclusie komt dat je site gevaar loopt en dan aanbeveelt om hun eigen product te installeren. 8)7 Zelfs voor sites waar geen WordPress of ander CMS draait. Jaja.
[Roland]
18 september 2015 11:17
Handige link, mijn site is in ieder niet besmet :-)

Maar begrijp ik dat de site eerst gekaapt moet worden, dus geen lek in de software? Dan lijkt het risico me niet zo heel groot (mits up to date en goede wachtwoorden).
Creesch
18 september 2015 11:25
Leuk dat ze een tool aanbieden om je website te scannen, jammer dat het bijna altijd een medium risk zal aangeven op de "website firewall" sectie waar zij "toevallig" een oplossing voor hebben...
rens-br
18 september 2015 11:34
Weer erg vervelend dat dit Wordpress betreft. Heb net alle 12 Wordpress websites die ik beheer even nagelopen en ze zijn gelukkig allemaal niet besmet. Maar goed ze zijn ook alle 12 netjes van updates voorzien.
randomnumber
18 september 2015 12:36
Bij een site waar ik wel eens wat voor doe kreeg ik ook een melding, hoewel deze goed dicht getimmerd is. Het zag er meer uit als reclame voor de genoemde testwebsite.

Vaak kom je al een heel eind met de WordFence plugin, houd de boel up-to-date en blockt mislukte inlog pogingen en stuurt email mocht er een inlog zijn of updates die nodig zijn.

En omjezelf meldingen te besparen, gooi alle niet gebruike templates en plugins weg. Wat er niet is kan ook niet worden misbruikt en hoeft niet te worden geupdated.

[Reactie gewijzigd door randomnumber op 18 september 2015 12:38]

1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee