Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 41 reacties

Kwaadwillenden kunnen via een publiek of onbeveiligd wifi-netwerk een WordPress-installatie overnemen, ook als tweestapsverificatie is ingeschakeld. Dat heeft een hoofdontwikkelaar van het opensource-cms bevestigd. Hij zegt dat er een fix komt.

Een medewerker van de Amerikaanse equivalent van Bits of Freedom, Electronic Frontier Foundation, ontdekte dat alle WordPress-installaties vatbaar zijn voor hijacking, meldt ArsTechnica maandag. Dat komt door een zogeheten key cookie, die de gebruikersnaam en het wachtwoord onversleuteld via de browser verstuurt. Het gaat om de cookie met de tag 'wordpress_logged_in'.

Volgens de medewerker, Yan Zhu, kunnen kwaadwillenden de cookie onderscheppen als gebruikers via een onbeveiligde verbinding inloggen. Ze kon de werkwijze reproduceren en kwam erachter dat ze meteen was ingelogd, zonder daarbij haar inloggegevens te geven. Bovendien bleek tweestapsverificatie via de telefoon zo te kunnen worden gepasseerd, zo maakte ze donderdag al wereldkundig.

Zhu kon door het lek onder de naam van de blogger posts plaatsen, privéberichten lezen en statistieken bekijken. Daarnaast kon ze in zijn naam reacties schrijven. Tenslotte kon ze het e-mailadres dat was gekoppeld aan het account, veranderen. Daardoor kan de eigenaar van de WordPress-installatie zijn wachtwoord niet aanpassen. Tenslotte kon Zhu de tweestapsverificatie inschakelen als dat nog niet het geval was, waarmee de aanvaller de gebruiker feitelijk van de site weert. Het veranderen van het wachtwoord is niet mogelijk; daarvoor is een aparte cookie noodzakelijk, die wel is versleuteld.

WordPress-hoofdontwikkelaar Andrew Nacin bevestigde donderdag al in een tweet de kwetsbaarheid. Hij zei dat er een patch is gepland voor de volgende release, die nog niet is uitgebracht. Tot die tijd zijn alle WordPress-installaties vatbaar, mits er sprake is van de genoemde voorwaarden voor de aanval. Zhu raadt gebruikers dan ook aan niet in te loggen via onbetrouwbare internetverbindingen.

Het is de tweede keer in korte tijd dat aanvallers via cookies kunnen inloggen op WordPress-systemen. Vorige maand pletten de ontwikkelaars nog een bug waardoor het voor kwaadwillenden mogelijk was om via nagemaakte authenticatie-cookies in WordPress te komen. De vroege versie van 3.9, versie 3.8 en 3.7 waren kwetsbaar.

Moderatie-faq Wijzig weergave

Reacties (41)

Niet echt nieuws naar mijn mening. Als je geen SSL gebruikt om je site te beveiligen, is het inderdaad mogelijk om de login informatie te onderscheppen op een publiek netwerk. Het enige wat hieraan opvallend is, is dat tweestaps authenticatie niet beschermd.

Het is best lastig om tweestapsauthenticatie zo te schrijven dat een login cookie niet alle informatie bevat die nodig is om in te loggen, maar het toch gebruikersvriendelijk blijft. WordPress heeft naar mijn mening een best goede balans tussen veiligheid en gebruiksvriendelijkheid, zolang je SSL gebruikt.
Het is alleen erg jammer dat Wordpress al jaren problemen heeft met de certificaten van een groot aantal SSL aanbieders.
Wat heeft Wordpress te maken met SSL aanbieders? SSL regel je op serverniveau, toch?
Wat heeft Wordpress te maken met SSL aanbieders? SSL regel je op serverniveau, toch?
Correct.
Het belang van het gebruik van een VPN wordt hiermee mooi bewezen.
Of juist het gevaar van publieke netwerken :)
Dat "vertrouwde" WiFi netwerken net zo onbetrouwbaar zijn als publieke netwerken, is inmiddels wel bekend, hoop ik. Deze zijn redelijk makkelijk te kapen via een WiFi Pineapple, bijvoorbeeld. Uiteraard is de kans dat je dat thuis gebeurt een stuk kleiner, maar 100% vertrouwd is een WiFi netwerk dus nooit.
geld het dan ook voor het niet-wifi lan geeelte van datzelfde netwerk?
Er wordt namelijk expliciet alleen gesproken over Wifi, maar het lijkt me toch hetzelfde netwerk
Nou verbeter mij maar als ik er naast zit, maar wat er zo ongeveer met wifi hijacking gebeurt is dat iemand een hotspot opzet met dezelfde naam en al dan niet hetzelfde wachtwoord, en dan zorgen dat de PC dat hotspot prefereert vanwege een sterker signaal. Vervolgens speelt men " Man in the middle ".

Dit is met een bekabeld netwerk natuurlijk wat lastiger uitvoerbaar , hoewel je daar natuurlijk ook letterlijk tussenin zou kunnen gaan zitten. (Dan is fysieke toegang wel vereist dunkt me)
Je aanname klopt. Het sterkste signaal wint. Overigens kan je mensen met de juiste software ook van de echte router kicken waarna ze de jouwe joinen.
Het probleem van draadloos is dat je geen controle hebt over welke kan je op praat. Je schiet het gewoon de ether in. Je weet dus ook niet waar het signaal dat je ontvangt vandaan komt. Een kabeltje is veel beter te controleren. Uiteraard kun je ook daar wel een tap tussen zetten, maar dat is toch meer werk.
helaas heeft niet iedereen die gebruik maakt van wordpress genoeg kennis van vpn om het te gebruiken, laat staan om het op te zetten.

En dat is denk ik in veel gevallen met beveiliging zo het geval.
Iemand tips voor goede en eenvoudige vpn software, bij voorkeur gratis?
En is daar een wordpress/php plugin van die je op je website kan installeren?
Lees dit eens door dan weet je wat VPN voor je kan betekenen:

http://nl.wikipedia.org/wiki/Virtueel_Particulier_Netwerk

"VPN-technieken kunnen ook worden gebruikt om de beveiliging van een eigen netwerk te verbeteren, maar ze zijn in de eerste plaats ontworpen om veilig transport over een onveilig netwerk mogelijk te maken."
Is inloggen via VPN nu net zo veilig als met een SSL verbinding?
Ik weet wat een VPN is, maar toch bedankt voor je link.
Maar veel Wordpress installaties draaien op alleen PHP+mySQL en dan heb je geen toegang tot de server om VPN clients te installeren. Dus vandaar mijn vraag of dit via een PHP tool of wordpress plugin kon?
Volgens mij kom je dan eerder uit bij een SSL verbinding dan een VPN verbinding aangezien het je alleen gaat om een directe verbinding naar je eigen website, maar ik durf niet te zeggen of daarmee dit probleem al afgevangen wordt.

Andere optie is om een gratis vpn service te gebruiken dan hoef je niets te installeren op je webserver en kun je via die service internetten op bijvoorbeeld je mobiel.
Euh? Ik neem aan dat je doelt op vpn. Wat zou die plugin moeten doen? Welke functionaliteit hoop je dat die heeft?
Ben benieuwd of er ook plugins geďnstalleerd kunnen worden met deze bug. Dat zou een extra potentieel gevaar kunnen vormen. Hopelijk schiet die patch op!
Als er inderdaad ingelogd kan worden op een admin account dan is het installeren van plugins zeker mogelijk, aangezien die functie gewoon in het zelfde dashboard zit.
Dan nog niet altijd, hangt van de rechten op de server en/of je wp-config bestand af. Als je installatie mag schrijven in je wp-content map of je ftp gegevens in wp-config hebt ingevuld kan je wel plugins installeren, anders vraagt hij om ftp gegevens.
Tenslotte kon Zhu de tweestapsverificatie inschakelen als dat nog niet het geval was, waarmee de aanvaller de gebruiker feitelijk van de site weert. Het veranderen van het wachtwoord is niet mogelijk; daarvoor is een aparte cookie noodzakelijk, die wel is versleuteld.
Dit klopt niet. Het is altijd mogelijk om het wachtwoord aan te passen: namelijk via de database. _/-\o_
Niet door de gebruiker...wel door de site admin..
Waarom zou je een wordpress installatie doen op een openbaar netwerk? Vragen vragen vragen..
Er wordt bedoeld: inloggen op een Wordpress instance (=installatie)
Ik zie dat het bedtijd voor mij is. Wat een domme post van mij, bedankt voor de correctie!
Dit gaat niet om de handeling "het installeren van WordPress", maar gewoon een plek waar WordPress geďnstalleerd is.
Even inloggen om een nieuwe blogpost te doen. Dat is wel veelvoorkomend, denk ik. ;)
Dus als ik toevallig op een terras zit en een WP installatie wil doen, ben ik dus vatbaar voor een hack? Is dat het wereldschokkende beveiligingslek dat nu weer ontdekt is? Wow! I'm impressed!
Nee. Als je toevallig op terras zit en je logt in om een blogpost te plaatsen over hoe lekker het weer buiten is terwijl je een biertje doet dan ben je vatbaar voor een hack.

Niet heel wereldschokkend inderdaad, met name omdat dit enkel geldt voor niet-beveiligde (middels SSL) verbindingen. Het is niet heel lastig om verbindingen die niet over SSL werken op een open WiFi hotspot af te luisteren en te manipuleren. Dit wordt bijvoorbeeld hier goed beschreven. Wat je allemaal te prijs geeft als je een openbaar WiFi hotspot gebruikt.
Waarbij komt dat publieke wifi spots eigenlijk nooit te vertrouwen zijn, want een crimineel kan vlak naast dat café gaan zitten met een open AP met een naam die erg veel op dat café lijkt. Packet sniffer en je kunt alles bekijken. Ik zou geen biertje willen kopen voor iedereen die onbeveiligd surft...daarvoor verdien ik te weinig....per jaar... :+
Er wordt in het artikel gesproken over vroege versies van o.a. 3.9. Weet iemand zo of 3.9.1 daar ook onder valt?
Volgens het bronartikel komt er een fix in de volgende release pas, dus ga er maar van uit van wel.
In a Tweet made Thursday, Nacin, who contributes to the WordPress open-source project and doesn't work for for Automattic/WordPress.com, confirmed that "cookies can be replayed until expiration." He said a fix is scheduled for the next WordPress release.
wat ben ik blij dat wij alles zelf ontwikkelen en niet telkens hoeven te stressen als er weer een WP-lek is. :)
maar hoe veilig is je eigen systeem.
Wat ik het voordeel vindt van algemene CMS systemen.. De community is groot en snel..
Al valt er vaak verder weinig positief over cms systemen te zeggen.. Vooral voor grotere websites.
Wij weten in ieder geval welke code wij er zelf in hebben gezet. Ik zou nooit durven beweren dat mijn systemen 100% lekdicht zijn, maar ik hoef tenminste niet te wachten tot een volgende update.

Zoals hieronder ook terecht wordt gezegd, veel theme's en add-ons bevatten veiligheidsproblemen. Dus het blijft altijd gokken welke je moet hebben...
vergis je niet. Vaak zijn de door piraterij groepen releasde WordPress Themes voorzien van backlinks en weet ik allemaal nog wat.
Een behoorlijke nuance voor de bron van dit bericht is zojuist door Andrew Nacin gepubliceerd: http://nacin.com/2014/05/30/security-is-nuanced/

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True