image

70% WordPress-installaties bevat meerdere lekken

zaterdag 28 september 2013, 06:57 door Redactie, 22 reacties

Meer dan 70% van de ruim 40.000 populairste WordPress-sites op internet bevat één of meerdere beveiligingslekken waardoor een aanvaller de website kan overnemen. WordPress is gratis weblog-software die wereldwijd door een groot aantal websites wordt gebruikt.

Beveiligingsbedrijf WP White Hat Security onderzocht 42.000 WordPres-installaties en ontdekte op bijna 31.000 (73,2%) sites bekende kwetsbaarheden. De meeste kwetsbare WordPress-sites draaien versie 3.6, waar vijf bekende beveiligingslekken in aanwezig zijn. "Ooit afgevraagd waarom WordPress zo'n geliefd doelwit voor kwaadwillende hackers is? Waarom er in 2012 meer dan 117.000 WordPress-installaties werden gehackt? Deze statistieken verklaren waarom", aldus WordPress-beveiligingsexpert Robert Abela.

Image

Reacties (22)
28-09-2013, 08:43 door Anoniem
Het vervelende is dat veel mensen tot de conclusie komen dat Wordpress, of zelfs open source software in het algemeen, slecht zou zijn. Uiteraard is dat niet zo; veel mensen updaten hun site niet.
28-09-2013, 10:24 door [Account Verwijderd] - Bijgewerkt: 28-09-2013, 11:59
[Verwijderd]
28-09-2013, 13:01 door [Account Verwijderd] - Bijgewerkt: 28-09-2013, 13:02
[Verwijderd]
28-09-2013, 13:33 door Anoniem
Door Viognier:
Door Anoniem: Het vervelende is dat veel mensen tot de conclusie komen dat Wordpress slecht zou zijn. Uiteraard is dat niet zo; veel mensen updaten hun site niet.
Als je de broncode van Wordpress bekijkt, dan kan je niet anders concluderen dat Wordpress een bijzonder slecht product. De enige plek waar ik Wordpress in het verleden gebruikt heb is bij mijn cursus Secure Webdevelopment. Als voorbeeld van hoe je niet moet programmeren.

Wat zijn de veilige alternatieven die net zo eenvoudig in gebruik zijn voor de nitwits onder ons die geen secure webdevelopment cursus hebben gevolgd?
Klagen is 1 ding, een verbetering aandragen laten mensen vaak na of verliezen het realtische business perspectief uit het oog.
28-09-2013, 16:19 door Anoniem
Simpel: laat wordpress zichzelf updaten (in te stellen in de configuratie).
28-09-2013, 20:35 door [Account Verwijderd] - Bijgewerkt: 28-09-2013, 20:38
[Verwijderd]
28-09-2013, 21:19 door Anoniem
Door Anoniem:
Wat zijn de veilige alternatieven die net zo eenvoudig in gebruik zijn voor de nitwits onder ons die geen secure webdevelopment cursus hebben gevolgd?
Klagen is 1 ding, een verbetering aandragen laten mensen vaak na of verliezen het realtische business perspectief uit het oog.
Waarom zou iemand die constateert dat een product slecht is geen recht van spreken hebben als hij geen beter
alternatief noemt?
Er is veel slechte PHP software. Heel veel. Dat komt zowel omdat PHP een slechte programmeertaal is, als omdat
veel mensen denken dat ze kunnen programmeren na het lezen van een boekje "PHP voor dummies".
Viognier heeft gelijk, maar dat betekent nog niet dat hij dan meteen verantwoordelijk is voor het verbeteren van de
wereld.
29-09-2013, 11:45 door [Account Verwijderd] - Bijgewerkt: 29-09-2013, 11:46
[Verwijderd]
30-09-2013, 09:29 door [Account Verwijderd] - Bijgewerkt: 30-09-2013, 09:29
[Verwijderd]
30-09-2013, 18:51 door Anoniem
Door Viognier:
Java is een (hele) slechte programmeertaal
Grapje hoop ik? Bij iedere programmeertaal heb je mensen die de betreffende taal afzeiken.
30-09-2013, 21:05 door [Account Verwijderd] - Bijgewerkt: 30-09-2013, 21:07
[Verwijderd]
30-09-2013, 21:24 door [Account Verwijderd] - Bijgewerkt: 30-09-2013, 21:30
[Verwijderd]
30-09-2013, 22:02 door [Account Verwijderd]
[Verwijderd]
01-10-2013, 09:58 door Anoniem
Door Viognier: @Krakatau: wat je maar niet wil inzien is dat een taal maar een taal is. Frans is niet beter dan Duits, Spaans niet beter dan Italiaans. Hoe goed de taal gesproken wordt hangt af van wie de taal spreekt.
Frans is wel degelijk beter dan Duits, hoewel Duits net zo goed beter is dan Frans... alleen voor verschillende doeleinden.

Dat geldt nog veel sterker voor programmeertalen. Maargoed, als je dat niet weten wil, dan wil je het volgende zeker ook niet lezen:

http://me.veekun.com/blog/2012/04/09/php-a-fractal-of-bad-design/


Hoewel de ene taal wat meer geschikt is voor een bepaalde toepassing dan een andere hangt de kwaliteit van het eindprodukt vooral af van de programmeur. Een slechte PHP programmeur levert waarschijnlijk een slechte PHP applicatie op.
De kunde en het inzicht van de programmeur spelen zeker een rol. Laat PHP nou een laagdrempelige taal zijn met een hele grote aanhang van overwegend slechte tot zeer slechte programmeurs. Want zij die wel andere talen gezien hebben en weten dat het beter kan, kiezen vlug voor wat anders. Het zijn dan ook de beginners, de ongeinformeerde knutselaars, en de chronisch nietbeterweters die achterblijven. Tot bij de "ontwerpers" van de taal toe, en dat is goed te zien voor zij die wel het verschil kennen.


De keuze voor de taal waarin een applicatie gemaakt wordt moet afhangen van je infrastructuur. Heb je een Windows/IIS serveromgeving, kies dan vooral voor .NET omdat de applicatie dan makkelijker pas in je omgeving wat het beheer makkelijk maakt. Heb je daarentegen een Linux/Apache serveromgeving, kies dan vooral voor PHP omdat je ook dan een applicatie krijgt die makkelijk in je omgeving past en dus beter te beheren is dan een .NET applicatie. Maar kies hoe dan ook voor een goede ontwikkelaar en staar je niet blind op de taal.
Goede ontwikkelaars kunnen goed uit de voeten met meerdere talen, dus als dat het criterium is dan is "kan alleen wat met $TAAL" indicatie dat we hier niet met een goede ontwikkelaar te maken hebben.

Hoewel je gelijk hebt dat infrastructuur voor beheer en onderhoud liefst niet al te heterogeen moet zijn (hoewel compleet homogeen zo zijn eigen problemen met zich meebrengt), bestaat infrastructuur slechts voor het bereiken van een doel, namelijk het opserveren van een dienst.

De bestaande infrastructuur heeft dan ook zeker invloed op keuzes bij niewe toevoegingen, maar de te verwachten ontwikkelingen ook, en gewenste veranderingen kunnen zo geleidelijk ingezet worden. De bestaande infrastructuur is derhalve niet per definitie leidend.

Persoonlijk zou ik infrastructuur die aan publieke netwerken hangt niet aan redmond toevertrouwen. Daarbij is met het beschikbare aanbod geen reden behalve masochisme om nog talen met maar een enkele proprietare fabrikant te gebruiken. Maar zelfs met unix (linux, freebsd, iets anders) zou ik liever geen PHP gebruiken--en zeker niet voor nieuwe projecten.

Is het voor een grootbedrijf, dan is de kans groot dat er al het een en ander in java gebeurt en is het vrij natuurlijk dat te blijven doen. Anders, ach, er zijn genoeg alternatieven. python is populair, perl wordt ook nog veel gebruikt, ruby(-on-rails) heeft zo zijn aanhang maar tegenwoordig schijnt scala (voor op de jvm) toch nog net iets hipper te zijn, maar als je heel erg graag alles in javascript wil doen is er node.js, en zelfs lisp is terug in de vorm van clojure (voor op de java runtime of de dotnet runtime).

Keuze genoeg, dus waarom je nou bij de meest brakke optie (uitgezonderd wellicht iets als "vb.net") wil blijven ontgaat me een beetje. Vandaar ook die eerdere pro tip: Gebruik geen PHP voor nieuwe projecten.
01-10-2013, 10:31 door [Account Verwijderd] - Bijgewerkt: 01-10-2013, 10:57
[Verwijderd]
01-10-2013, 16:17 door Anoniem
Door Viognier:
Door Anoniem:
Frans is wel degelijk beter dan Duits, hoewel Duits net zo goed beter is dan Frans... alleen voor verschillende doeleinden. Dat geldt nog veel sterker voor programmeertalen.
Omdat een taal geschikter is voor bepaalde toepassing dan een andere taal, maakt dat de gekozen taal niet beter dan die andere.
In context is het semantisch zout op niet ter zaken doende slakken leggen--het is niet moeilijk om de bedoeling erachter te lezen, waarbij duidelijk "beter" ingezet werd in de betekenis van "geschikter". Maar als je er toch moeilijk over wil doen, leg dan even netjes uit waarom dat echt niet kan en hoe het dan wel had moeten gebeuren.


Maar goed, als je dat niet weten wil, dan wil je het volgende zeker ook niet lezen:
http://me.veekun.com/blog/2012/04/09/php-a-fractal-of-bad-design/
Ik ben bekend met dit flame-artikel. En als je in staat bent deze met een neutrale blik te lezen dan ontdek je vele fouten, verwijten die niet PHP-specifiek zijn en punten die dusdanig verdraaid of eenzijdig besproken zijn waardoor ze negatief overkomen terwijl er in feite niks aan de hand is.
Schrijf maar een weerlegging. Nee echt, doe dat maar een keertje. Punt voor punt met voorbeelden. Hier of ergens anders, maar doe het maar.

Want ook verder, meer dan slingeren met wat "goedkope flame"-poep en wat "neehee het is niet zohoo, dus jij bent een fanbohoy"-gejengel doe je niet, en daarna denk je jezelf ervan af te kunnen maken door mij uit te nodigen mijzelf te overtuigen. Zo werkt discussieren niet.

Jij wil overtuigen, dus kom jij maar met argumenten. Staan mijn argumenten je niet aan, weerleg ze dan. En dat omhelst toch net even iets meer dan "staat me niet aan, dus is het niet zo". Bijvoorbeeld een leesbare, en wellicht zelfs factuele en objectieve weerlegging.
01-10-2013, 17:15 door [Account Verwijderd] - Bijgewerkt: 01-10-2013, 19:50
[Verwijderd]
01-10-2013, 22:19 door [Account Verwijderd]
[Verwijderd]
01-10-2013, 22:26 door [Account Verwijderd]
[Verwijderd]
01-10-2013, 22:35 door [Account Verwijderd] - Bijgewerkt: 01-10-2013, 22:37
[Verwijderd]
01-10-2013, 22:47 door [Account Verwijderd]
[Verwijderd]
11-12-2013, 12:09 door Anoniem
Door Krakatau:
Door Viognier:Ik daag je hierbij uit: bekijk mijn PHP framework (http://www.banshee-php.org/) en geef je professionele mening. Dus geen geflame op het feit dat het PHP is, geef je mening over de opzet en de structuur.

Als Anoniem geen tijd heeft op hierop in te gaan dan wil ik hier wel wat over zeggen: door het gebruik van PHP is het totaal ondoenlijk om door de code te gaan (die in een lachwekkend aantal bestanden in diepe directorybomen staat).

In Java kan je in je IDE met bv. CTRL-muisklik eenvoudig naar de declaratie van hetgeen je aanklikt gaan. Bij PHP is dat onmogelijk omdat die 'programmertaal' geen meta-informatie ondersteunt waarmee een IDE dit soort handige dingen kan verzorgen. Soms wordt er gerommeld met op string searches gebaseerde oplossingen hiervoor, maar dat werkt natuurlijk nooit 100%.

En om nou terug te gaan naar het stenen tijdperk, naar de tijd waarin je je met enkel een teksteditor door bergen source files moet gaan worstelen, nee dank je, die tijd heb ik gehad en ben ik ontgroeid.

Het zal best een mooi stuk PHP code zijn maar het is jammer van de moeite.

Met Aptana kun je ook door middel va CTRL-muisklik eenvoudig naar de declaratie van hetgeen je aanklikt navigeren. Dus blijkbaar niet genoeg verdiept in de materie ;-)

Ik programmeer zelf in verschillende talen: C++, C, C#, PHP, Java... Elke taal heeft zo zijn voor- en nadelen. Dat PHP zo slecht ervaren wordt heeft ook grotendeels te maken met de eerdere versies < 5.3. De huidige versie mag echt wel een serieuze programmeertaal genoemd worden ook al heeft deze ook nog wel zijn nadelen ten opzichte van andere talen.

Ook omdat PHP laagdrempelig is (gratis te gebruiken) zijn veel hobbyisten hiermee aan de slag gegaan en hebben slechte "scripts" de wereld in geholpen waardoor door veel programmeurs PHP niet als een serieuze taal ervaren wordt. Toch moet ik zeggen dat met de komst van PHP 5.3/5.4 de taal zeer verbeterd is en meer gericht op OOP.

Kortom, deze discussie is zinloos. Ga programmeren in de taal die JIJ het beste vindt en respecteer iemand anders zijn keuze zonder de taal an sich af te kraken want elke taal heeft wel pros en cons ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.