WordPress-installaties vatbaar voor hijacking via publieke wifi-netwerken

Kwaadwillenden kunnen via een publiek of onbeveiligd wifi-netwerk een WordPress-installatie overnemen, ook als tweestapsverificatie is ingeschakeld. Dat heeft een hoofdontwikkelaar van het opensource-cms bevestigd. Hij zegt dat er een fix komt.

Een medewerker van de Amerikaanse equivalent van Bits of Freedom, Electronic Frontier Foundation, ontdekte dat alle WordPress-installaties vatbaar zijn voor hijacking, meldt ArsTechnica maandag. Dat komt door een zogeheten key cookie, die de gebruikersnaam en het wachtwoord onversleuteld via de browser verstuurt. Het gaat om de cookie met de tag 'wordpress_logged_in'.

Volgens de medewerker, Yan Zhu, kunnen kwaadwillenden de cookie onderscheppen als gebruikers via een onbeveiligde verbinding inloggen. Ze kon de werkwijze reproduceren en kwam erachter dat ze meteen was ingelogd, zonder daarbij haar inloggegevens te geven. Bovendien bleek tweestapsverificatie via de telefoon zo te kunnen worden gepasseerd, zo maakte ze donderdag al wereldkundig.

Zhu kon door het lek onder de naam van de blogger posts plaatsen, privéberichten lezen en statistieken bekijken. Daarnaast kon ze in zijn naam reacties schrijven. Tenslotte kon ze het e-mailadres dat was gekoppeld aan het account, veranderen. Daardoor kan de eigenaar van de WordPress-installatie zijn wachtwoord niet aanpassen. Tenslotte kon Zhu de tweestapsverificatie inschakelen als dat nog niet het geval was, waarmee de aanvaller de gebruiker feitelijk van de site weert. Het veranderen van het wachtwoord is niet mogelijk; daarvoor is een aparte cookie noodzakelijk, die wel is versleuteld.

WordPress-hoofdontwikkelaar Andrew Nacin bevestigde donderdag al in een tweet de kwetsbaarheid. Hij zei dat er een patch is gepland voor de volgende release, die nog niet is uitgebracht. Tot die tijd zijn alle WordPress-installaties vatbaar, mits er sprake is van de genoemde voorwaarden voor de aanval. Zhu raadt gebruikers dan ook aan niet in te loggen via onbetrouwbare internetverbindingen.

Het is de tweede keer in korte tijd dat aanvallers via cookies kunnen inloggen op WordPress-systemen. Vorige maand pletten de ontwikkelaars nog een bug waardoor het voor kwaadwillenden mogelijk was om via nagemaakte authenticatie-cookies in WordPress te komen. De vroege versie van 3.9, versie 3.8 en 3.7 waren kwetsbaar.

Door Yoeri Nijs

Nieuwsposter

Feedback • 26-05-2014 21:3541

26-05-2014 • 21:35

41 Linkedin

Lees meer

WordPress dicht 'kritiek' xss-lek Nieuws van 23 april 2015
CryptoPHP-malware richt zich op populaire cms via gratis plug-ins Nieuws van 20 november 2014
Onderzoekers maken slimme armband om in en uit te loggen bij computers Nieuws van 24 september 2014
WordPress dicht ernstig beveiligingslek Nieuws van 9 april 2014
Wordpress-installaties misbruikt bij grote ddos-aanval Nieuws van 12 maart 2014
'Steeds meer kwetsbaarheden ontdekt in browsers' Nieuws van 3 juli 2013
Wordpress.com introduceert two-factor-authenticatie Nieuws van 8 april 2013
Meer producten en artikelen
Software Beveiliging en antivirus Internet Cms Content management Wordpress

Reacties (41)

-Moderatie-faq
41
41
18
3
0
15
Wijzig sortering
Niet Henk
26 mei 2014 21:57
Niet echt nieuws naar mijn mening. Als je geen SSL gebruikt om je site te beveiligen, is het inderdaad mogelijk om de login informatie te onderscheppen op een publiek netwerk. Het enige wat hieraan opvallend is, is dat tweestaps authenticatie niet beschermd.

Het is best lastig om tweestapsauthenticatie zo te schrijven dat een login cookie niet alle informatie bevat die nodig is om in te loggen, maar het toch gebruikersvriendelijk blijft. WordPress heeft naar mijn mening een best goede balans tussen veiligheid en gebruiksvriendelijkheid, zolang je SSL gebruikt.
einstein
@Niet Henk26 mei 2014 22:48
Het is alleen erg jammer dat Wordpress al jaren problemen heeft met de certificaten van een groot aantal SSL aanbieders.
Blaise
@einstein26 mei 2014 22:52
Wat heeft Wordpress te maken met SSL aanbieders? SSL regel je op serverniveau, toch?
bbcs
@Blaise26 mei 2014 22:56
Wat heeft Wordpress te maken met SSL aanbieders? SSL regel je op serverniveau, toch?
Correct.
GigaPixels
26 mei 2014 21:38
Het belang van het gebruik van een VPN wordt hiermee mooi bewezen.
ongewoongewoon
@GigaPixels26 mei 2014 21:44
Of juist het gevaar van publieke netwerken :)
Room42
@ongewoongewoon27 mei 2014 00:17
Dat "vertrouwde" WiFi netwerken net zo onbetrouwbaar zijn als publieke netwerken, is inmiddels wel bekend, hoop ik. Deze zijn redelijk makkelijk te kapen via een WiFi Pineapple, bijvoorbeeld. Uiteraard is de kans dat je dat thuis gebeurt een stuk kleiner, maar 100% vertrouwd is een WiFi netwerk dus nooit.
mbb
@Room4227 mei 2014 03:46
geld het dan ook voor het niet-wifi lan geeelte van datzelfde netwerk?
Er wordt namelijk expliciet alleen gesproken over Wifi, maar het lijkt me toch hetzelfde netwerk
ongewoongewoon
@mbb27 mei 2014 08:41
Nou verbeter mij maar als ik er naast zit, maar wat er zo ongeveer met wifi hijacking gebeurt is dat iemand een hotspot opzet met dezelfde naam en al dan niet hetzelfde wachtwoord, en dan zorgen dat de PC dat hotspot prefereert vanwege een sterker signaal. Vervolgens speelt men " Man in the middle ".

Dit is met een bekabeld netwerk natuurlijk wat lastiger uitvoerbaar , hoewel je daar natuurlijk ook letterlijk tussenin zou kunnen gaan zitten. (Dan is fysieke toegang wel vereist dunkt me)
Scraxxy
@ongewoongewoon27 mei 2014 11:05
Je aanname klopt. Het sterkste signaal wint. Overigens kan je mensen met de juiste software ook van de echte router kicken waarna ze de jouwe joinen.
Room42
@mbb27 mei 2014 10:08
Het probleem van draadloos is dat je geen controle hebt over welke kan je op praat. Je schiet het gewoon de ether in. Je weet dus ook niet waar het signaal dat je ontvangt vandaan komt. Een kabeltje is veel beter te controleren. Uiteraard kun je ook daar wel een tap tussen zetten, maar dat is toch meer werk.
demonic
@GigaPixels26 mei 2014 21:41
helaas heeft niet iedereen die gebruik maakt van wordpress genoeg kennis van vpn om het te gebruiken, laat staan om het op te zetten.

En dat is denk ik in veel gevallen met beveiliging zo het geval.
zxcvb
@GigaPixels26 mei 2014 22:14
Iemand tips voor goede en eenvoudige vpn software, bij voorkeur gratis?
mbb
@zxcvb27 mei 2014 03:48
En is daar een wordpress/php plugin van die je op je website kan installeren?
gekkejopie
@mbb27 mei 2014 09:09
Lees dit eens door dan weet je wat VPN voor je kan betekenen:

http://nl.wikipedia.org/wiki/Virtueel_Particulier_Netwerk

"VPN-technieken kunnen ook worden gebruikt om de beveiliging van een eigen netwerk te verbeteren, maar ze zijn in de eerste plaats ontworpen om veilig transport over een onveilig netwerk mogelijk te maken."
zxcvb
@gekkejopie27 mei 2014 15:45
Is inloggen via VPN nu net zo veilig als met een SSL verbinding?
mbb
@gekkejopie27 mei 2014 16:20
Ik weet wat een VPN is, maar toch bedankt voor je link.
Maar veel Wordpress installaties draaien op alleen PHP+mySQL en dan heb je geen toegang tot de server om VPN clients te installeren. Dus vandaar mijn vraag of dit via een PHP tool of wordpress plugin kon?
gekkejopie
@mbb27 mei 2014 16:44
Volgens mij kom je dan eerder uit bij een SSL verbinding dan een VPN verbinding aangezien het je alleen gaat om een directe verbinding naar je eigen website, maar ik durf niet te zeggen of daarmee dit probleem al afgevangen wordt.

Andere optie is om een gratis vpn service te gebruiken dan hoef je niets te installeren op je webserver en kun je via die service internetten op bijvoorbeeld je mobiel.
BelJoost
@mbb28 mei 2014 13:48
Euh? Ik neem aan dat je doelt op vpn. Wat zou die plugin moeten doen? Welke functionaliteit hoop je dat die heeft?
Dutch2007
@zxcvb26 mei 2014 22:26
openvpn
Zeg
26 mei 2014 23:14
Ben benieuwd of er ook plugins geïnstalleerd kunnen worden met deze bug. Dat zou een extra potentieel gevaar kunnen vormen. Hopelijk schiet die patch op!
mozoa
@Zeg27 mei 2014 00:10
Als er inderdaad ingelogd kan worden op een admin account dan is het installeren van plugins zeker mogelijk, aangezien die functie gewoon in het zelfde dashboard zit.
KeRsTmAnNeKe
@mozoa27 mei 2014 09:08
Dan nog niet altijd, hangt van de rechten op de server en/of je wp-config bestand af. Als je installatie mag schrijven in je wp-content map of je ftp gegevens in wp-config hebt ingevuld kan je wel plugins installeren, anders vraagt hij om ftp gegevens.
bbcs
26 mei 2014 22:55
Tenslotte kon Zhu de tweestapsverificatie inschakelen als dat nog niet het geval was, waarmee de aanvaller de gebruiker feitelijk van de site weert. Het veranderen van het wachtwoord is niet mogelijk; daarvoor is een aparte cookie noodzakelijk, die wel is versleuteld.
Dit klopt niet. Het is altijd mogelijk om het wachtwoord aan te passen: namelijk via de database. _/-\o_
idef1x
@bbcs27 mei 2014 08:56
Niet door de gebruiker...wel door de site admin..
jostefa
26 mei 2014 21:47
Waarom zou je een wordpress installatie doen op een openbaar netwerk? Vragen vragen vragen..
26779
@jostefa26 mei 2014 21:52
Er wordt bedoeld: inloggen op een Wordpress instance (=installatie)
jostefa
@2677926 mei 2014 22:33
Ik zie dat het bedtijd voor mij is. Wat een domme post van mij, bedankt voor de correctie!
Niet Henk
@jostefa26 mei 2014 21:53
Dit gaat niet om de handeling "het installeren van WordPress", maar gewoon een plek waar WordPress geïnstalleerd is.
Zeror
@jostefa26 mei 2014 21:53
Even inloggen om een nieuwe blogpost te doen. Dat is wel veelvoorkomend, denk ik. ;)
mphilipp
27 mei 2014 00:24
Dus als ik toevallig op een terras zit en een WP installatie wil doen, ben ik dus vatbaar voor een hack? Is dat het wereldschokkende beveiligingslek dat nu weer ontdekt is? Wow! I'm impressed!
Mmore
@mphilipp27 mei 2014 02:04
Nee. Als je toevallig op terras zit en je logt in om een blogpost te plaatsen over hoe lekker het weer buiten is terwijl je een biertje doet dan ben je vatbaar voor een hack.

Niet heel wereldschokkend inderdaad, met name omdat dit enkel geldt voor niet-beveiligde (middels SSL) verbindingen. Het is niet heel lastig om verbindingen die niet over SSL werken op een open WiFi hotspot af te luisteren en te manipuleren. Dit wordt bijvoorbeeld hier goed beschreven. Wat je allemaal te prijs geeft als je een openbaar WiFi hotspot gebruikt.
mphilipp
@Mmore27 mei 2014 19:37
Waarbij komt dat publieke wifi spots eigenlijk nooit te vertrouwen zijn, want een crimineel kan vlak naast dat café gaan zitten met een open AP met een naam die erg veel op dat café lijkt. Packet sniffer en je kunt alles bekijken. Ik zou geen biertje willen kopen voor iedereen die onbeveiligd surft...daarvoor verdien ik te weinig....per jaar... :+
laurens-b
27 mei 2014 12:10
Er wordt in het artikel gesproken over vroege versies van o.a. 3.9. Weet iemand zo of 3.9.1 daar ook onder valt?
BlackOwl
@laurens-b27 mei 2014 17:10
Volgens het bronartikel komt er een fix in de volgende release pas, dus ga er maar van uit van wel.
In a Tweet made Thursday, Nacin, who contributes to the WordPress open-source project and doesn't work for for Automattic/WordPress.com, confirmed that "cookies can be replayed until expiration." He said a fix is scheduled for the next WordPress release.
dwarfangel
27 mei 2014 12:27
wat ben ik blij dat wij alles zelf ontwikkelen en niet telkens hoeven te stressen als er weer een WP-lek is. :)
rohaantje
@dwarfangel27 mei 2014 14:30
maar hoe veilig is je eigen systeem.
Wat ik het voordeel vindt van algemene CMS systemen.. De community is groot en snel..
Al valt er vaak verder weinig positief over cms systemen te zeggen.. Vooral voor grotere websites.
dwarfangel
@rohaantje28 mei 2014 16:29
Wij weten in ieder geval welke code wij er zelf in hebben gezet. Ik zou nooit durven beweren dat mijn systemen 100% lekdicht zijn, maar ik hoef tenminste niet te wachten tot een volgende update.

Zoals hieronder ook terecht wordt gezegd, veel theme's en add-ons bevatten veiligheidsproblemen. Dus het blijft altijd gokken welke je moet hebben...
ZuzZoo
28 mei 2014 02:06
vergis je niet. Vaak zijn de door piraterij groepen releasde WordPress Themes voorzien van backlinks en weet ik allemaal nog wat.
Anoniem: 599461
30 mei 2014 20:57
Een behoorlijke nuance voor de bron van dit bericht is zojuist door Andrew Nacin gepubliceerd: http://nacin.com/2014/05/30/security-is-nuanced/
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee