image

Weer kritieke beveiligingsupdate voor WordPress

donderdag 7 mei 2015, 13:21 door Redactie, 11 reacties

De makers van het zeer populaire contentmanagementsysteem (CMS) WordPress hebben voor de derde keer in twee weken tijd een kritieke beveiligingsupdate uitgebracht. Versie 4.2.2 verhelpt twee lekken, waaronder een kritiek cross-site scriptinglek dat een anonieme gebruiker in staat stelde om websites volledig over te nemen. Dit beveiligingslek was al deels in WordPress 4.2.1 gepatcht, maar is nu helemaal verholpen.

De andere kwetsbaarheid betreft ook een cross-site scriptinglek dat aanwezig in het "generic fonts" pakket was. Dit pakket wordt door allerlei populaire WordPress-themes gebruikt, waaronder het standaard theme "Twenty Fifteen". De kwetsbaarheid werd door de aanwezigheid van een HTML-bestand veroorzaakt. WordPress 4.2.2 verwijdert dan ook dit HTML-bestand. Het lek zou al zijn aangevallen voordat de update van WordPress beschikbaar was, zo meldt beveiligingsbedrijf Sucuri. Naast de twee kwetsbaarheden verhelpt versie 4.2.2 ook verschillende niet-security gerelateerde bugs. Gebruikers krijgen dan ook het advies om de update te installeren.

Reacties (11)
07-05-2015, 14:30 door Anoniem
Wordpress lek? Wat een primeur!
07-05-2015, 16:13 door [Account Verwijderd]
[Verwijderd]
07-05-2015, 17:18 door Anoniem
Door Krakatau:
Het blijft PHP stack gebaseerd. Maar met hun automatische updatesysteem hebben ze het wel goed voor elkaar v.w.b. het veilig houden van Wordpress installaties. Dat werkt nl. perfect.
PHP heeft hier werkelijk helemaal niks mee te maken. Daar zijn prima veilige websites mee te maken.
07-05-2015, 17:20 door Anoniem
Er worden gigantische hoeveelheden WordPress servers gehackt die vaak ook lekke plug-ins draaien.

Laatst nog een kleine leenbank gezien die WordPress draaide en een Paypal phish serveerde. Double whammy.
07-05-2015, 20:11 door karma4
Door Anoniem: [
PHP heeft hier werkelijk helemaal niks mee te maken. Daar zijn prima veilige websites mee te maken.
hmmm... https://www.owasp.org/index.php/PHP_Security_Cheat_Sheet
08-05-2015, 00:28 door Anoniem
Werkelijk, is dit het beste bewijs dat je hebt? Het is achterhaald, niet PHP-specifiek of slechts een waarschuwing naar de programmeur en geen fout in PHP. Geen sterk punt dus.
08-05-2015, 07:23 door [Account Verwijderd] - Bijgewerkt: 08-05-2015, 07:24
[Verwijderd]
08-05-2015, 08:55 door B3am - Bijgewerkt: 08-05-2015, 08:56
Leuk, weer zo'n discussie als er een lek in WordPress is gevonden. Ik kan niet beoordelen of WordPress nu wel of niet beter is dan welk ander CMS dan ook.

Maar de autoupdate werkt zoals hieroven al eerder aangegeven, inderdaad prima. Het probleem is alleen dat niet alle updates (WP-core, thema, plug-ins) via de autoupdate worden geïnstalleerd en er dus een heleboel ongepatchte WordPress sites blijven draaien.

Volgens mij moet WordPress de autoupdate aanzetten voor alles. Als je delen er van of het compleet wilt uitzetten, dan wordt je geacht dat je weet wat je doet en moet je even in de codex kijken. Valt je site door een autoupdate om, jammer dan. Kwestie van goed beheer: testomgeving, backup, etc.

https://codex.wordpress.org/Configuring_Automatic_Background_Updates
08-05-2015, 09:36 door Anoniem
Die auto update heeft één achilleshiel: themes.

Een websitebouwer neemt een Wordpress theme (bestaand) kleeft daar dan een huisstijl over, al dan niet met de nodige code aanpassingen, en dan stopt het meestal. Een eindklant is bang om iets aan te passen of up te daten aan een theme omwille van mogelijke impact naar de layout etc etc etc. En dan blijft dat 'oude' theme met inherente exploits gewoon staan.

Wordpress is zoals dat andere zeer populaire CMS (uit een andere tijdsgeest), PhpNuke, een enorme zooi geworden van 999 third party plugins/themes/custom aanpassingen. Ja er zijn exploits scanners voor WP die beperkte IDS/IPS functionaliteit leveren maar daar is een standaardgebruiker niet mee (en dan heb ik het nog niet over allerhande obfuscation/evasion)
08-05-2015, 14:20 door B3am
Die auto update heeft één achilleshiel: themes.

Met een childtheme heb je geen last van je CSS aanpassingen. Blijven echter wel je PHP aanpassingen over.

Maar er is natuurlijk helemaal niets op tegen om autoupdate uit te zetten en het zelf goed gecontroleerd te doen. Maar voor het gros van de WordPress gebruikers die even snel een website online hebben gezet met een standaard thema zonder aanpassingen, lijkt me een autoupdate voor WP-core, thema en plugins de beste optie.
08-05-2015, 16:40 door karma4
Door Anoniem: Werkelijk, is dit het beste bewijs dat je hebt? Het is achterhaald, niet PHP-specifiek of slechts een waarschuwing naar de programmeur en geen fout in PHP. Geen sterk punt dus.
Natuurlijk is het achterhaal zoals elke malware die van bekende exploits gebruik maakt. De kern waarom het gaat is juist dat het bekende zaken zijn die:
- of the moeilijk voor de programmeurs zijn om het goed te doen,
- of the veel tijd kosten om het goed te doen of
- waar kwaliteit/functionaliteit onder druk staat met kosten/budget.
PHP lijkt gezien het grote aantal fouten in allerlei applicaties waaronder Wordpress niet het juiste tool in die omgevingen te zijn voor dit moment. Waar dat aan ligt zou nader onderzocht kunnen worden.

Je hebt 3 zaken: het moet goed, op tijd (snel), en goedkoop(kosten). Je kan ze niet alle 3 hebben. welke ga je laten vallen?Je zou ook uitstekend alles in assembler C zonder gebruik van libraries kunnen doen. Dat is niet de realistisch
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.