WordPress informeert gebruikers week na uitbrengen patch over ernstig lek

WordPress informeerde zijn gebruikers woensdag over een ernstig lek, dat het een week geleden samen met drie andere kwetsbaarheden heeft gedicht. De organisatie zegt gebruikers nu pas in te lichten, omdat de veiligheid van miljoenen websites op het spel stond.

WordPress fpaIn een blogpost schrijft Aaron Campbell van WordPress dat vorige week naast de patch voor drie bekende kwetsbaarheden de update ook een oplossing voor een vierde kwetsbaarheid bevatte. Deze was aanwezig in versies 4.7 en 4.7.1 en maakte het mogelijk om op afstand de inhoud van een WordPress-pagina of -post aan te passen of te verwijderen. Volgens de organisatie zijn er geen pogingen vastgesteld om het lek te misbruiken.

Campbell schrijft dat de melding over de kwetsbaarheid op 20 januari binnenkwam en dat er meer tijd nodig was om aan een oplossing te werken. In de loop van dat proces was er contact met verschillende bedrijven met een web application firewall, zoals Cloudflare en Incapsula. Deze actie moest ervoor zorgen dat minder gebruikers kwetsbaar waren. Vervolgens nam de organisatie contact op met andere WordPress-hosts. Door na het uitbrengen van de patch nog een week te wachten, wilde de organisatie gebruikers de tijd geven om naar versie 4.7.2 te updaten.

Een onderzoeker van het beveiligingsbedrijf Sucuri ontdekte het lek. De onderzoeker, Marc-Alexandre Montpas, schrijft dat het om een ernstig lek gaat dat op afstand privilege escalation mogelijk maakt, waardoor een gebruiker hogere rechten kan verkrijgen. Het lek heeft betrekking op een endpoint van de REST-api. Afhankelijk van de geïnstalleerde plug-ins zou het volgens de onderzoeker niet al te moeilijk zijn om bijvoorbeeld php-code uit te voeren.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 02-02-2017 11:21 98

02-02-2017 • 11:21

98

Lees meer

Meer dan 70.000 WordPress-sites zijn onveilig door lek in plug-in
Meer dan 70.000 WordPress-sites zijn onveilig door lek in plug-in Nieuws van 18 februari 2020
W3Techs: dertig procent van tien miljoen populairste websites draait WordPress
W3Techs: dertig procent van tien miljoen populairste websites draait WordPress Nieuws van 5 maart 2018
WordPress komt met patch voor bug die auto-update uitschakelde
WordPress komt met patch voor bug die auto-update uitschakelde Nieuws van 8 februari 2018
Exploit WordPress opent mogelijkheid wachtwoordreset te onderscheppen - update
Exploit WordPress opent mogelijkheid wachtwoordreset te onderscheppen - update Nieuws van 5 mei 2017
Ontwikkelaars dichten kwetsbaarheid in PHPMailer
Ontwikkelaars dichten kwetsbaarheid in PHPMailer Nieuws van 27 december 2016
Wordpress lost ernstige kwetsbaarheid in updatemechanisme op
Wordpress lost ernstige kwetsbaarheid in updatemechanisme op Nieuws van 24 november 2016
Nederlands hackproject ontdekt kwetsbaarheden in vijf Wordpress-plug-ins
Nederlands hackproject ontdekt kwetsbaarheden in vijf Wordpress-plug-ins Nieuws van 20 juli 2016
Drupal patcht ernstige lekken in modules die overname van site mogelijk maken
Drupal patcht ernstige lekken in modules die overname van site mogelijk maken Nieuws van 14 juli 2016
WordPress 4.4 is uitgebracht met REST-integratie
WordPress 4.4 is uitgebracht met REST-integratie Nieuws van 9 december 2015
'Duizenden WordPress-sites verspreiden malware via VisitorTracker-code'
'Duizenden WordPress-sites verspreiden malware via VisitorTracker-code' Nieuws van 18 september 2015
WordPress kampt voor tweede week op rij met ernstig xss-lek
WordPress kampt voor tweede week op rij met ernstig xss-lek Nieuws van 28 april 2015
Meer producten en artikelen
Netwerk en systeembeheer Security Wordpress

Reacties (98)

-Moderatie-faq
98
75
40
5
0
14
Wijzig sortering
anargeek 2 februari 2017 11:55
Toevallig net gister deze WPscan tool ontdekt, wat ook ondersteund/gemaakt wordt door Sucuri (ontdekkers van dit lek). Geeft een mooi overzicht van bekende vulnerabilities in m'n wordpress sites.
Gister een paar sites gecheckt, de tool raadde direct aan om naar 4.7.1 te upgraden. Vandaag geupdate en opnieuw nagekeken, en hij geeft meteen aan dat er naar 4.7.2 moet worden gegaan. Goede up-to-date tool dus om te scannen naar mogelijke exploits
Rub3s @anargeek2 februari 2017 12:15
Dus die tool raadt eigenlijk altijd aan om naar de nieuwste versie van WP te updaten? Wat verrassend :+
anargeek @Rub3s2 februari 2017 12:27
Wel iets meer dan dat. Hij geeft ook aan welke andere veiligheidsmaatregelen je kan nemen, welke plugins outdated of kwetsbaar zijn (en wat de exploit is en evt. of er een nieuwe versie van is), en kan ook je database testen. De tool vertelt je alles in een paar seconden
En het is altijd een goede reminder om up-to-date te blijven.

[Reactie gewijzigd door anargeek op 23 juli 2024 04:19]

Zoop @anargeek2 februari 2017 16:47
Zou interessant zijn om te weten of hij ook suggesties maakt om sommige plugins juist niet te updaten. Het is al meer dan eens voorgekomen dat een nieuwere versie van een plugin juist exploitable is terwijl een oudere versie dat niet heeft en dus veiliger is. Helaas kan je met 3rd party plugins er niet van uit gaan dat nieuwer ook automatischer beter is ...
totaalgeenhard @anargeek2 februari 2017 14:00
Je dient Wordpress te hardenen, en net als bij elke CMS maatregelen te nemem die structureel is.

Dit soort scantool hebben het zelfde effect als een virusscanner het zal je achteraf informeren en houd geen aanval met zeroday tegen.

Aangezien meeste CMS als statische website worden gebruikt kan je heel effectief alle schrijf/update rechten op databas en files (chattr) weghalen en aan bestaande data kan niets meer via zeroday in CMS worden aangepast.

Je kunt CMS en wat er geparsed naar browser worden scheiden. Simpelste manier door statisch cache te gebruiken, meer technisch reverse proxy met daarin IDS en op requests content te filteren.

Verder indien je een host zoekt. Zoek dan naar een partij die Installatron met cpanel meelevert. Dit zijn geen budget hosters.
Maar Installatron kan volautomatisch backuppen upgraden. En als je als webdesigner 100 WP sites voor klanten moet beheren kost het je hierdoor geen tijd en verdien je wel aan suppport contract.

Ps: als je code van Joomla en WP etc... bekijkt dan zie je dat er amateurs mee bezig zijn geweest.
WP had ineens 128MB nodig omdat programmeur iets had gemaakt voor zijn prive site..... het is verre van efficient en persoonlijke oplossingen als design keuze voor rest van wereld is belachelijk. Maar met hardening kan je wel voorkomen dat je slachtoffer zult worden. Met statische cache voorkom je dat slechte code je sites traag houden.

[Reactie gewijzigd door totaalgeenhard op 23 juli 2024 04:19]

tsjaar @totaalgeenhard3 februari 2017 00:03
En voor hardening adviseer ik iThemes Security.
paradoXical @anargeek2 februari 2017 13:12
Deze tool zit standaard in Kali linux, ik kan je echt aanraden deze linux distributie te installeren (je kunt gewoon een virtual machine image downloaden en starten). Probleem met Wordpress zit het volgens mij met name in het grote aantal hobbyisten (en hier horen ook veel 'professionele' bedrijven bij) die vergaande code changes aanbrengen in Wordpress. Dit maakt updaten een hels proces.

Ik draai zelf een aantal installaties sinds kort, en updaten kan een fluitje van een cent zijn. Ik maak geen enkele wijziging in de code, en als dat wel moet dan verkoop ik 'nee'.

[Reactie gewijzigd door paradoXical op 23 juli 2024 04:19]

zaltgaan @paradoXical2 februari 2017 14:10
Ik zie het nut niet in van een heel groot operating system te installeren als het een minuutje duurt met een docker container:

docker run --rm wpscanteam/wpscan -u website

Zoals aangeraden wordt op de github pagina: https://github.com/wpscanteam/wpscan
anargeek @paradoXical2 februari 2017 13:51
Ja ik heb het inderdaad uit Kali. Ik ben langzaamaan alle meegeleverde tools aan het uitproberen om het zo rustig te leren, en geheel toevallig was het gister de beurt aan wpscan :)
WhatsappHack
@anargeek2 februari 2017 14:11
Die tool is inderdaad geniaal. :) Kwam hem ook tegen in Kali, en vroeg me meteen af waarom ik die tool in hemelsnaam niet kende of er ook maar van gehoord had.
Het is een erg mooi extra'tje om snel sites en plugins door te lichten, scheelt vaak wat tijd qua onderzoek als je ergens bijgeroepen wordt omdat er steeds inbraken worden gepleegd. :P
WPbeveiligen @anargeek2 februari 2017 17:10
Moet je wel met linux en de terminal om kunnen gaan. Dat kan niet iedereen. Ik moest me er ook in verdiepen voordat ik ermee kon werken.
Barryvdh 2 februari 2017 11:35
Maar dan gaan ze er dus vanuit dat niemand het lek kan reproduceren, door enkel naar de commits te kijken? Bijv. op 3.7 branch, gebeurt verder weinig, maar nu ineens weer 3 commits waaronder https://github.com/WordPr...862de36eb6901e9c8b1f63991
Dan zou je toch denken dat een ervaren Wordpress hacker hieruit wel kan raden waar ergens de exploit zit toch (Geen idee wat $post_type is, maar wel duidelijk dat die dus eerst niet escaped was..)

Edit; Oke na de disclosure te lezen gaat het dus om deze commit; https://github.com/WordPr...4064ca884fa9f30f48b69655e
(Die alleen op 4.7 staat, want daarvoor was het dus anders). Die waarschijnlijk iets lastiger te reproduceren is zonder specifieke kennis). Maar alsnog zou je zeggen dat het van belang is dat iedereen zo snel mogelijk update..

[Reactie gewijzigd door Barryvdh op 23 juli 2024 04:19]

svennd @Barryvdh2 februari 2017 12:37
Meeh, WP update automatisch, maar ook dat vergt wat tijd ... door nu pas te rapporteren zijn de meeste installaties al fixed en de manuele krijgen alsnog een kans.
WhatsappHack
@svennd2 februari 2017 14:07
Automatische updates zijn het slechtste idee ooit imho. Als er ergens kwetsbaarheden zitten is het daar wel. Zie bijv. MyBB een tijdje terug waar de updates gemanipuleerd konden worden, met autoupdate exploit je dan direct een heel groot aantal users. Daarnaast is het beter en redelijk doeltreffend om de permissies op het bestandssysteem en de database helemaal dicht te timmeren, dat gaat niet samen met automagische updates. Mede omdat WP dbupgrade errors niet lijkt te tonen. :')

Ik snap het ideaal achter automagische updates, maar het is een flink risico dat je er mee neemt naar mijn mening. Hoe mooi je het systeem ook bouwt.
totaalgeenhard @WhatsappHack2 februari 2017 14:45
Dus auto update van je windows/android of whatever vind je slecht idee?

Ja ook windows update servers zijn eens gehacked. Als ook vele anderen.

Maar die risico is altijd veel kleiner dan dat je miljoenen sites ongepachted laat draaien omdat nooit geupdate zal worden.

Bovendien als een update server gehacked is (of url naar update server aangepast) is de kans dat ze data van een site van MKB bedrijf stelen en misbruiken nog steeds nihil.
WhatsappHack
@totaalgeenhard2 februari 2017 17:34
Ja (en nee), alleen is dat naar mijn mening niet te vergelijken met een websiteje; maar om het punt te entertainen: niet alleen vanwege risico, maar ook vanwege irritatie - zeker gezien in beide gevallen het apparaat perse gereboot moet worden. (Dat pakt Linux een heel stuk beter aan.) En dat is ook waarom veel mensen op "skip" blijven klikken, want niemand die zin heeft om te rebooten als je juist achter je PC stapt om er op te werken; in plaats van naar een schermje "Installing update x out of x" te staren. Ik kan het dus prima begrijpen dat mensen die updates uitstellen. (Bij Android kan ik me dat minder voorstellen, maar volgens mij update bijna iedereen heel netjes Android - het probleem is meer dat fabrikanten gewoon helemaal geen update pushen. :')) De updates automatisch installeren als je de PC afsluit: okee, dat is nog te doen. :) En daar heb ik voor consumenten nog niet eens zo'n bezwaar tegen dat het door hun strot wordt geramd.
Maar dat niet alleen, bij auto-updates heb je ook niet de kans om te controleren of de nieuwe updates niets slopen. :X

Okee, dat laatste is voor de consumententak misschien wat minder boeiend dan bedrijfsmatig; maar toch. Mensen die updates constant uitstellen/nooit uitvoeren moeten trouwens ook niet zeuren dat ze gehacked/geïnfecteerd worden. Het enige dat je met automatische updates oplost, is dat die egoïstische luie mensen (of de noobs, die eigenlijk absoluut hun eigen site niet zouden moeten onderhouden...) het niet kunnen verzieken voor anderen. (eg: geïnfecteerde troep op de site, phpmailer die spam verstuurt (aldanniet met virii), etc.)
De balans daar in vinden is echter redelijk lastig.

Ik ben dan ook meer een voorstander van veel agressievere update meldingen (ipv 1tje die je met 1 klikje permanent verbergt), maar niet van automatische updates vanwege meerdere problemen. In een ideale wereld update iedereen zo snel mogelijk, en tussen updates in passen ze permissies op het bestandssysteem en de database aan. Maarja, helaas. :) En in zo'n opstelling werken automatische updates ook gewoonweg niet.

Het is dus maar hoe je ernaar kijkt. Om automatische updates van wordpress en plugins mogelijk te maken, moet je de bestandspermissies en database rechten onveilig laten. Terwijl juist daar toch ook een behoorlijke winst behaald kan worden! Hoe wil je dat opvangen? Want de software zelf mag nooit die rechten zelf aanpassen om de update uit te voeren natuurlijk.
Okee, nu past bijna niemand die rechten aan - maar als je wordpress installeert of kijkt op de site moet je ook gewoon specifiek gaan zoeken hoe dat moet en wat het voor nut heeft... Tja, dan doet bijna niemand het nee!

Er worden hier en daar al voortgangen geboekt om daar een balans in te zoeken, bijvoorbeeld met auto-installers die op de server draaien - die controleren een update, keuren die goed en pushen dan pas de informatie dat er een nieuwe update is (die rechtstreeks bij de vendor vandaan komt, overigens. Dus niet vanaf hun servers. Dat zou even onveilig zijn.) naar de useraccounts toe. De server heeft wel de optie om permissies te overriden, dus heeft geen last van de problemen.

Dan heb je én automagische updates (met een extra controle) én betere permissies. Het is niet 100% waterdicht, maar het is een stuk beter dan dat de maker van de software vanaf hun eigen servers direct naar alle gebruikers een update stuurt die meteen geïnstalleerd wordt - en waarvoor zaken open moeten blijven staan.
Voor de eind-gebruiker maakt het geen hol uit hoe die automatische updates geïnstalleerd worden, dus dat scheelt ook... Je moet ze alleen nog wijzen op de mogelijkheden om die systemen te gebruiken, en die taak ligt bij de hosting providers.

Ik weet dat het heel lastig is een balans te voeren, maar puur automatische updates vind ik inderdaad geen goede oplossing. Ik zou liever een boete zien voor mensen die hun systeem niet up to date houden en vervolgens in een botnet komen te hangen of virussen gaan versturen, maar er is me verteld dat dat net iets te radicaal is. ;)
Maar die risico is altijd veel kleiner dan dat je miljoenen sites ongepachted laat draaien omdat nooit geupdate zal worden.
Ja en nee. Ja het is mooi dat die sites gepatched zijn (ondanks de nadelen met permissies die ik hierboven heb neergezet), maar nee; ALS het misgaat: wordpress draait inderdaad op tientallen miljoenen websites. Die allemaal auto-updates doen. Als die allemaal een malware update krijgen (die natuurlijk slim genoeg ook even het auto-update mechanisme sloopt zodat Wordpress het niet kan oplossen door simpelweg een nieuwe update te pushen): dan heb je echt een heel *heel* erg veel groter probleem.

Vandaar dat ik het allebei slechte situaties vindt: zowel auto-updates als helemaal niet updaten (door achterlijke/onwetende gebruikers.).
Er moeten betere opties ingezet worden voor optimaal resultaat.

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 04:19]

svennd @WhatsappHack2 februari 2017 17:37
Automatische updates > niet update

En dat laatste gebeurt sowieso kijk maar naar elk ander software pakket.

Overigens kunnen manuele pakketten ook comprimised zijn
WhatsappHack
@svennd2 februari 2017 17:49
Daar zullen we het over oneens moeten zijn, ik vind automatische updates direct vanuit de vendor gewoon een tikkende tijdbom - en de vereiste om andere zaken daarvoor open te laten staan is nog een bonus probleem.
Overigens kunnen manuele pakketten ook comprimised zijn
Ik heb ook niet anders beweerd. Er zit alleen, bij gerenommeerde software van bekende en betrouwbare vendors, een verschilletje in "Shit, onze update pakketten zijn compromised. We hebben ze offline gehaald, NIET meer installeren!" en "Shit, onze update pakketten zijn compromised - en de miljoenen installaties die we hebben zijn hier automatisch mee geüpdatet.".

In welk geval is de impact lager denk je?
En daar zit dan ook de crux. Automatische updates zijn niet perse veiliger dan helemaal geen update - dat is enkel zo zolang het goed gaat. Waarom zoeken we altijd het ene of het andere uiterste?
OF helemaal niet updaten (slecht) OF automatische updates (ook slecht en verre van zonder risico's).

Waarom niet gewoon een balans zoeken...? :)
Ik heb nog liever dat er een grote waarschuwing komt voor admins (of als ze te lang updates uitstellen: ook aan hun bezoekers ;)) dat ze moeten updaten met 1 klikje (want dat heeft Wordpress prima voor elkaar) - dan dat het echt geheel automagisch gaat zonder enige input. Als de admins het negeren: daar doe je niets tegen, net als dat je er nu niets tegen kan doen dat er zat mensen zijn die automatische updates uitzetten. (Net als ik. Alleen ik update het wel semi-handmatig. (Lees: promptje goedkeuren na permissie wijzigingen, de rest gaat automatisch....))

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 04:19]

xleeuwx @Barryvdh2 februari 2017 11:52
Het probleem bij reproduceren is dat als een iemand de exploit op internet gooit hoe het gedaan kan worden dat de automatische aanvalsscripts beginnen met spammen. Diegene die dit soort dingen maken om te kijken of je site vatbaar is die helpen de script kiddies weer met een kant en klare script.
Stranger__NL 2 februari 2017 11:49
Ik had bij alle sites de REST-API eruit gehaald toen deze geintroduceerd werd.
Mijn sites gebruiken het niet en het zag eruit als een perfecte plek om te gaan hacken...

Niet fijn; maar snel en responsible opgepakt. Tsja. Dit risico loop je met een wereldwijd gebruikt pakket.
Nog steeds wegen de nadelen niet op tegen de voordelen dus ik blijf nog wel even bij WP.
Verwijderd 2 februari 2017 14:13
Als je website op basis van wordpress alleen een zooi pagina's moet weergeven zonder enige interactie, zoals het plaatsen van berichten, contact formulieren en dergelijk, dan is het een aanrader om elke POST naar je domein toe in z'n geheel te blokkeren:
# deny all POST requests
<IfModule mod_rewrite.c>
RewriteCond %{REQUEST_METHOD} POST
RewriteRule .* - [F,L]
</IfModule>
Je kunt natuurlijk werken met satisfy om bijv. de login pagina nog werkend te behouden :+

Dat gaat natuurlijk op voor alleen apache. Als je website live is dan kan je kijken met o.a Wordpress firewall - deze plugin is jaren niet bijgewerkt maar doet in de lijnen hetzelfde. Deze blokkeert elke inkomende POST en kan je bepaalde queries zoals een contact formulier en dergelijk whitelisten.

Een goed alternatief is Wordfence welk enorm goed is in het opruimen van een gehackte site maar ook het detecteren van bepaalde activiteit, zoals een aanval enz. Je kunt het redelijk finetunen en het werkt als een blok als het eenmaal goed is ingesteld. Als er iemand met admin rights ineens inlogt kan je hier mailing van krijgen. Erg handige features ook.

Persoonlijk ben ik geen voorstander van wordpress omwille bovenstaand artikel. Ieder kwartaal is er wel iets aan de hand en met beheer van een site of 250 wordt het wel een beetje gekkenwerk alles handmatig bij te gaan houden.

Op serverniveau draait bij mij in ieder geval verschillende scripts wat POSTS naar wp-login, wp-admin-ajax.php en dergelijk checked, en alles wat binnen 5 seconden meer dan 5 POSTS maakt automatisch een dikke ban in CSF. Deze telt inmiddels meer dan 8000 IP adressen wereldwijd wat wordt gebruikt in een botnet om wordpress sites te hacken.

Maar het kan nog steeds voorkomen dat met alle beste security en plugins, je site nog steeds gehacked kan worden. Zelfs premium templates zijn zo groot, bevatten zoveel programmatuur zoals JS en PHP dat het onmogelijk is om op alles een fatsoenlijke audit te kunnen doen. Bijv. de revolution slider, of het Avada theme, beide premium maar toch zo lek als een mandje geweest.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 04:19]

WPbeveiligen @Verwijderd2 februari 2017 17:12
Ik heb een verbeterde en vertaalde versie van iThemes beschikbaar op de site. Die werkt stukken fijner. Ik heb hem in al mijn sites. Ps: de hack verwijder functie van WordFence wordt enorm overschat.
xiphoid 2 februari 2017 15:15
Heel fijn dat WP het even stil heeft gehouden, en positieve actie heeft ondernomen om schade te beperken. Ze hebben hele goede ervaring met security bugs en duidelijk van hun fouten geleerd.

Nu nog eventjes een jaar niet aan nieuwe features werken maar een jaartje quality control doen, en dan hebben ze minder van dit soort nieuws in hun google search staan.

Gelukkig waren alle sites waar we er gebruik van maken al netjes gepatched en tonen geen misbruik.

Tevens mooi moment om wat maintenance te doen, plugins bij te werken die nog in de queue stonden en natuurlijk online, offline, en offsite backup te maken.
Timoo.vanEsch 2 februari 2017 17:08
Ik weet niet welk lek het betrof, maar afgelopen weekend werd ik idd te hulp gevraagd voor een WordPress.org site die uit de lucht was gehaald, presumably door een hack. Looked like a malicious code-injection.

[Reactie gewijzigd door Timoo.vanEsch op 23 juli 2024 04:19]

DarkShaDows 2 februari 2017 19:16
Een andere opmerking off topic, bij versie 4.7.1 en 4.7.2 kan je geen PPT, DOC, DOCX enzovoort meer uploaden. Wordt opgelost in versie 4.7.3, een tijdelijke work-around is een plug-in genaamd "Disable Real MIME check".
Maurits van Baerle 2 februari 2017 11:28
Ah, laat de aanvallen maar weer beginnen. Ik beheer een aantal WP sites en er zijn duidelijk golven waar te nemen in de aanvallen. Soms dagen vrijwel niets, soms hele dagen lang een constante stroom van aanvallen. Ik vermoed dat de golven te maken hebben met de ontdekking of publicatie van een nieuwe exploit.

Ik overweeg soms wel eens om al het verkeer van buiten de EU te blokkeren omdat verreweg het grootste deel van de aanvallen van verder weg komt.

[Reactie gewijzigd door Maurits van Baerle op 23 juli 2024 04:19]

Rubixd @Maurits van Baerle2 februari 2017 11:42
Een goede spam filter helpt ook enorm, had er een maand geleden ook last van. Stonden er 18000 spam berichten in de database door een form plugin die nooit geupdate werd. Vorige maand een spam filter erop gezet en blokkeert al het inkomend verkeer van spambots (afgelopen maand waren dat er 750 nu 0). Wordpress is gebruiksvriendelijk vooral voor de klant, maar om al die plugins te updaten en de site te onderhouden is om gek van te worden.
Maurits van Baerle @Rubixd2 februari 2017 11:48
Mijn beleid is sowieso om alleen plugins te installeren die een actieve updategeschiedenis hebben. Als een plugin al een jaar niet is geupdate komt hij er bij mij niet op.

Verder, less is more, hoe minder plugins hoe beter.

Ik ben overigens verder ook tevreden over Wordfence als veiligheidsmaatregel. Het geeft je een aardig inzicht in wat deze week in de mode is om binnen te dringen.
Rubixd @Maurits van Baerle2 februari 2017 12:02
Thanks voor het linkje die kende ik nog niet.
Ik gebruik nu vooral Avada Theme, daar zit in principe alles in en is ook nog eens klantvriendelijk. Dan hoeft er alleen nog een spam stopper op. Geen extra plugins, alleen de core theme plugins. Tot nu toe zijn er geen problemen geweest met de sites die online staan.
WPbeveiligen @Maurits van Baerle2 februari 2017 17:14
Of minimaal rusland enz te blokkeren. Op de wp-admin map is het zoal niet verkeerd om een ip beperking te zetten.
Maurits van Baerle @Aaargh!2 februari 2017 11:40
Voor een aantal dingen heb ik dat ook al gedaan. Ik heb bijvoorbeeld twee nieuwe sites opgezet in Bolt, eentje in Joomla en ben sowieso het CMS landschap een beetje aan het verkennen. Dit wordt misschien wel mijn volgende stap.

Het grootste struikelblok zijn in mijn geval de gebruikers. Iemand die met veel pijn en moeite de Wordpress interface onder de knie heeft gekregen om zaken te posten zal migratie niet erg makkelijk vinden.

[Reactie gewijzigd door Maurits van Baerle op 23 juli 2024 04:19]

Euronitwit @Maurits van Baerle2 februari 2017 13:18
Is Drupal misschien wat?
ArcticLight @Aaargh!2 februari 2017 11:50
Ja, want PHP is natuurlijk per definitie onveilig?
Aaargh! @ArcticLight2 februari 2017 11:54
Nee, maar PHP maakt het HEEL erg makkelijk om fouten te maken. Een goede taal maakt het juist moeilijk om fouten te maken.
phochs @Aaargh!2 februari 2017 11:56
Oke, eens. Ik heb een paar websites met Wordpress draaien en het is inderdaad een wandelend beveiligingslek. PHP is ook niet de meest veilige taal in de wereld. Als je naar de nieuwsgeschiedenis kijken, komen er meer dan voldoende lekken in Wordpress en PHP voor.

Maar genoeg over PHP gezeurd, wat stel je voor als alternatieven? Java is evengoed een groot beveiligingslek en JavaScript doet het zo mogelijk nog slechter.

Daarnaast, PHP is een van de meest populaire talen om websites in te schrijven en als iets veel gebruikt wordt komen er nou eenmaal ook veel problemen naar boven.
Aaargh! @phochs2 februari 2017 12:02
Java is evengoed een groot beveiligingslek
Server-side Java (J2EE) is goed beveiligd.

Server-side Swift is ook erg interessant.
Daarnaast, PHP is een van de meest populaire talen om websites in te schrijven en als iets veel gebruikt wordt komen er nou eenmaal ook veel problemen naar boven.
PHP wordt heel veel gebruikt door beginners, en die zien niet in dat 'het werkt' != 'het is veilig' .
Toff @Aaargh!2 februari 2017 15:44
[...]
PHP wordt heel veel gebruikt door beginners, en die zien niet in dat 'het werkt' != 'het is veilig' .
Ach, door schade en schande wordt men wijs. Ik zie het probleem niet zo, wanneer Henks hobbysite over postduiven een keer gehackt wordt. Na een vijfde keer een back up terugzetten (indien aanwezig), zal zelfs Henk zich wel eens achter de oren gaan krabben toch?

Of je professionele sites moet willen bouwen met WP o.i.d, is een andere vraag.
Tielenaar @Aaargh!2 februari 2017 14:05
Niet mee eens. Elke taal heeft best practices en regels en als je je daar als PHP programmeur niet aan houdt, of als opdrachtgever een PHP programmeur inhuurt die niet ervaren genoeg is, dan vraag je er om. Dat PHP daar gevoeliger voor is komt alleen maar omdat het een lage instapdrempel heeft en beginners aantrekt. Dat zie ik juist als een voordeel, het is een goede leerschool voor goede developers. Waarom je als beginner zou verwachten dat je een waterdicht en kritiek systeem zou kunnen beprogrammeren is mij een raadsel.
Java lekt net zo goed. En C# ook. En server software ook. En router software. En firewalls. En slimme koelkasten. Bluetooth. Infuusapparaten. Pacemakers.
theobril @dylan1111112 februari 2017 12:35
Beste Dylan,

Je reactie komt nogal neerbuigend over, misschien dat je daarom gedownmod wordt? Iets van 24% van de sites is gebaseerd op wordPress dacht ik. En ongeacht of het hobby-isten zijn, het is goed als daar wat aan veiligheid gedaan wordt. Vind je het erg stoer om te laten merken dat wordpress-gebruikers hobbyprutsers zijn of zo? Maar good for you dat jij je hobby-sites wel met een professionele beveliging hebt draaien. Dat is blijkbaar niet voor iedereen weggelegd. Voor mij niet tenminste.
Tielenaar @Nha2 februari 2017 14:37
Ondanks dat ik geen groot fan ben van de techniek achter Wordpress is het zeker niet voor prutsers. Voor een gratis pakket is het zeer uitgebreid doorontwikkeld en inmiddels best volwassen. Het is het grootste CMS ter wereld BY FAR en heeft een enorme userbase. Veel grote sites met veel bezoekers gebruiken het fanatiek en met succes.

Wat een haters hier zeg, ongelofelijk. En dat allemaal zonder feiten.
WPbeveiligen @Tielenaar2 februari 2017 17:16
Als je niet te veel plugins in de site zet, alle premium plugins netjes koopt en de beveiligingsplugin goed insteld heb je een goed Open source CMS. Alles is mogelijk met WordPress, van webshop tot grote zakelijke websites.
Tielenaar @WPbeveiligen2 februari 2017 17:28
Exact. Bugs heb je overal, lekken heb je overal. Vooral als het populair is. Het valt en staat bij de kennis van de persoon die er mee werkt.
Het slaat nergens op om Wordpress af te rekenen op kwaliteit, want daar zitten net zoals bij elk ander groot project gewoon hartstikke goede coders op.
Tielenaar @Nha2 februari 2017 15:00
Overigens zeg ik nergens dat het niet slecht is. Hoe je bij die conclusie komt ontgaat mij.
Het is niet voor prutsers zei ik.
Tielenaar @Nha2 februari 2017 14:49
Niet alleen veel, ook veel professionele, zeer actief bezochte grote gerenomeerde websites.
Tielenaar @Nha2 februari 2017 17:26
Haha, dus dan is Intel volgens jouw logica ook voor prutsers :)
En MS is voor prutsers. Alle bedrijven zijn voor prutsers!
Manmanman.
theobril @Tielenaar3 februari 2017 15:06
Je mag als bedrijf in je handen wrijven als je Nha binnen haalt. De enige niet-prutsende werknemer ter wereld!

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq