Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 48 reacties

Hackers hebben op root-niveau toegang gekregen tot de servers van Automattic, het bedrijf achter de populaire weblogsoftware WordPress. Het is onduidelijk of er gevoelige gegevens zijn buitgemaakt en of de hackers schade hebben aangericht.

WordpressVolgens WordPress-oprichter Matt Mullenweg hebben de hackers op root-niveau toegang gekregen tot diverse servers van Automattic. "In theorie kan alle informatie op die servers zijn bekeken", schrijft Mullenweg. Of er daadwerkelijk gegevens zijn buitgemaakt en om welke gegevens het dan zou gaan, is onduidelijk. Mullenweg stelt dat het er niet op lijkt dat er veel informatie is buitgemaakt.

Hoewel de WordPress-software zelf opensource is, heeft WordPress ook een hosted-blogdienst, waarbij persoonsgegevens van gebruikers zijn opgeslagen. Daarbij gaat het niet alleen om e-mailadressen, namen en wachtwoord-hashes; van betalende gebruikers worden ook creditcard- of PayPal-gegevens opgeslagen. Het is onduidelijk of dergelijke informatie toegankelijk is geweest; Automattic is nog bezig met een onderzoek.

Als de hackers inderdaad root-toegang tot de servers hebben gekregen, hadden ze ook gegevens kunnen manipuleren. Of dat is gebeurd, moet eveneens nog blijken. De hackers zouden bijvoorbeeld het updatemechanisme van WordPress hebben kunnen kraken om backdoors te installeren. Extern gehoste WordPress-installaties zoeken contact met de WordPress-servers om software-updates te downloaden.

Het is niet de eerste keer dat WordPress kampt met een beveiligingsprobleem. In 2009 bleek er een kwetsbaarheid in de software te zitten, waardoor aanvallers een backdoor konden installeren. Vorige maand kampten de WordPress.com-servers met een ddos-aanval, waardoor 10 procent van de gehoste weblogs offline was.

Update, vrijdag 14:05: In reactie op bezorgde gebruikers geeft Mullenweg aan dat de aanval geen gevolgen heeft voor extern gehoste WordPress-weblogs.

Moderatie-faq Wijzig weergave

Reacties (48)

Ai, ben blij dat ik mijn Wordpress zelf host. Moet er niet aan denken dat ze mijn Paypal/creditcard gegevens jatten.
Ik weet niet of je daar ook zo blij mee moet zijn
Als de hackers inderdaad root-toegang tot de servers hebben gekregen, hadden ze ook gegevens kunnen manipuleren. Of dat is gebeurd, moet eveneens nog blijken. De hackers zouden bijvoorbeeld het updatemechanisme van WordPress hebben kunnen kraken om backdoors te installeren. Extern gehoste WordPress-installaties zoeken contact met de WordPress-servers om software-updates te downloaden.
Misschien hebben ze het update mechanisme aangepast waardoor jouw zelfgehoste wordpress site nu een backdoor heeft geÔnstaleerd.
die updates worden niet automatisch gedownload dus dat valt wel mee denk ik.
de updates zelf niet, maar op hoe worden de update-notificatie zelf opgehaald?
Uuuh niet? Als je de automatische updates uitzet doen zet je toch heel de update check uit :S
Worpress geeft je een waarschuwing als er een update beschikbaar is, maar vermoedelijk is dat niet meer en niet minder dan het ophalen van een string op een publieke pagina.
Zoals ik al zeg... bij mij doet hij heel die update check niet meer ;)
je zal toch een naar de code moeten kijken. het zit heel raar in elkaar

2 jaar terug zag ik hele rare request in het log van de webserver. ik ben toen gaan zoeken en kwam er achter dat wordpress zelf requests stuurt naar zichzelf, ja ook lokaal. en er zat nog meer shit achter,
Nee, mijn zelfgehoste site update niet automatisch en er zijn op het moment geen updates.
Nou, nou, Word press is best een mooi programma, maar de code base is nou niet dat je denkt "wow wat groot". Controleren of wijzigingen zijn aangebracht, lijkt me derhalve niet al te moeilijk.
voor de code hebben we subversion compare :)

maar wijzigingen in tekst, of linkjes is veel moeilijker te achterhalen.
Als hackers toegang kunnen krijgen tot de servers van WordPress dan zullen ze dat ook wel kunnen tot de server van jouw hosting provider of tot jouw huiscomputer.
Natuurlijk niet... Root access tot het besturing systeem staat eigenlijk los van WordPress zelf naar mijn mening
Ja en nee.

als je het onder een account draait die niks mag dan alleen ja
en als mensen de server zelf gepachted hebben en chmod 777 niet kennen.

meeste mensen draaien teveel onder root dan ja
Het chmod argument gaat alleen op voor Wordpress servers die een Unix afgeleid OS draaien als Linux. Wordpress draait ook vaak op Windows hosts.
Dan heeft het toch alsnog weinig met WordPress te maken? Als je Linux niet snapt moet je naar mijn mening ook geen productie servers op Linux opzetten. Als je de fout maakt die jij beschrijft is het toch mogelijk dat je met elk type CMS of zelf gemaakte website later problemen kan krijgen? Of zie ik dit dan weer compleet verkeerd (ik ken alleen de basics van linux en zet dus alleen test servers op ;))
Dus als je zelf al je wordpress bestanden host op je eigen server, kunnen ze er niet bij?
Waarschijnlijk zullen ze er wel bij kunnen als ze moeite doen, maar jij bent niet zo'n interessant doelwit, dus je hoeft je niet druk te maken. :)
ze hebben met de hack niet bij jou lokale data gekomen.

echter hebben ze wel een manier gevonden om wordpress te hacken, misschien passen ze die later ook bij jou toe.
Erg vervelend natuurlijk, maar is het misschien handig om Wordpress gebruikers aan te raden om hun wachtwoorden te wijzigen? (Als er backdoors geÔnstalleerd zijn dan heeft dan minder nut natuurlijk :))
Hmm denk wel dat dat slim is aangezien de wachtwoordhashes nu bekend zijn, dus theoretisch te kraken. :)
Goed om te weten. De komende week maar even geen updates draaien. Ook aangezien de MD5 hashes op de zelfde server staan als de installatie pakketten.
Ik hoop dat ze een bericht publiceren na het controleren van de packages waarin vermeld wordt dat je weer veilig kan downloaden. Op deze manier blijft het meer een kwestie van 'hopen dat het goed gaat'.
Grappig dat creditcard gegevens opgeslagen worden. De PCI standaard laat dat niet toe op een Tier 1 oplossing. Dus hadden die gasten Łberhaupt geen creditcards mogen voeren.
Define opgeslagen creditcard gegevens....
er is een mogelijkheid tot automatisch afschrijven op hun blogpagina, hiervoor zal toch echt het eea opgeslagen moeten worden aan hun kant(al is het maar de CC-nummer ;) )
Wordpress maakt toch ook gebuik van openid ?
is dit dan ook een probleem of wordt dat weer door andere servers afgehandeld ? anders kan dit best grote gevolgen hebben.
nee hoor dit is geen probleem: http://www.clickpass.com/docs/howopenidworks
tenzij ze de link hebben vervangen naar een phishing-site, maar dat denk ik haast niet anders hadden we dat wel gehoord......(toch?).
"In theorie kan alle informatie op die servers zijn bekeken", schrijft Mullenweg
In ieder geval wel prettig dat ze niet proberen het probleem minder erg voor te doen en de omvang erkennen. Dat je gehackt wordt kan (bijna?) iedereen overkomen. Ik vind het een stuk belangrijker hoe een bedrijf ermee omgaat.
Ben ik blij dat ik zelf host. Vind het toch wat lekkerder als ik het op m'n eigen site host. Ik vraag me af hoelang het duurt voor dat Automatic zijn beveiliging aanpast.
Voordeel van je eigen site beheren: Je bent zelf verantwoordelijk.
Nadeel van je eigen site beheren: Je bent zelf verantwoordelijk.

Hoe lang duurt het voordat jij de beveiliging aanpast?
Wat als je een dag weg bent en er een kritische securitybug wordt ontdekt?
Heb je van alle packages die je gebruikt alle security bulletins gelezen?
Wanneer heb je het OS voor het laatst van updates voorzien...?
Sites worden gekraakt, dat is een gegeven. Uiteraard moet het risico daartoe altijd geminimaliseerd worden. Ook moet het netjes gemeld worden zodat je actie kunt ondernemen, maar om elke keer weer helemaal verbaasd en bezorgd te reageren is toch wel wat naief.
Jammer dat ik hieruit niet kan opmaken of de Wordpress-software zelf de mogelijkheid creŽerde.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True