image

Miljoenen WordPress-websites kwetsbaar voor hackers

maandag 7 september 2015, 11:26 door Redactie, 15 reacties

WordPress is veruit het populairste contentmanagementsysteem (CMS) op internet, maar veel beheerders vergeten de software te updaten of gebruiken kwetsbare plug-ins, waardoor miljoenen websites het risico lopen om te worden overgenomen. Het Deense beveiligingsbedrijf Heimdal Security waarschuwt dat het een toename ziet van gehackte WordPress-websites die ransomware verspreiden.

Op de websites wordt kwaadaardige code geplaatst die bezoekers ongemerkt doorstuurt naar een pagina met de Neutrino-exploitkit. Deze exploitkit maakt gebruik van bekende beveiligingslekken in Adobe Flash Player, Adobe Reader en Internet Explorer die niet door gebruikers zijn gepatcht. In het geval de aanval succesvol is wordt de Teslacrypt-ransomware op de computer geplaatst, die voornamelijk computergames-gerelateerde data versleutelt. Vervolgens moet er voor het ontsleutelen van de bestanden worden betaald.

Volgens cijfers van W3Techs wordt WordPress door 24,4% van alle websites op internet gebruikt. De meest recente versie is WordPress 4. Deze versie wordt door 79,9% van de WordPress-sites gebruikt. 20,1% draait op WordPress versie 3 of ouder. De laatste versie van WordPress 3 verscheen op 20 november 2014 en verhielp meerdere beveiligingsproblemen. Ook van versie 4 zijn inmiddels verschillende versies verschenen, onder andere vanwege kwetsbaarheden.

In de 79,9% die WordPress 4 gebruikt kunnen dan ook gebruikers zitten die nog steeds een kwetsbare versie draaien. Elke maand worden WordPress-websites door 409 miljoen mensen gelezen. Volgens Heimdal Security is het dan ook belangrijk dat WordPress-beheerders beschikbare updates installeren, zowel voor hun eigen website als de veiligheid van hun bezoekers.

Reacties (15)
07-09-2015, 11:47 door Anoniem
Tja en dan te bedenken dat je Wordpress automatisch kunt laten updaten, je hoeft slechts de plugins met wat klikken bij te brengen.
Volgens mij is het probleem dan ook geen Wordpress, maar de zq beheerders en zeker de verkopers die tegen betaling een site neerzetten, maar ondertussen geen onderhoud doen - mede omdat zijn klant - tevens onze leverancier - te beroerd is om onderhoud te betalen.
07-09-2015, 11:51 door [Account Verwijderd]
[Verwijderd]
07-09-2015, 11:56 door Anoniem
Er zijn constant toenamens in verschillend misbruik van hacked sites, dat is inherent aan het hacken. De ene keer is het populair om een gehackede website te misbruiken voor het versturen van spam, de andere keer om de opslagruimte te gebruiken voor malware, andere keren is het meer populair om de resources te benutten voor een ddos aanval.

Ongeacht waar de criminelen het ook voor misbruiken: sinds iedere null een cms kan opzetten is het gebrek aan onderhoud en beveiliging explosief gestegen. En dat lijkt me de meest belangrijke les uit het hele verhaal. Wie zijn cms niet onderhoud veroorzaakt vaak grote problemen voor duizenden andere internetters.

Gelukkig hebben we dan de marketeers van heimdal nog die daar leuke dure cursussen voor aanbieden om dat probleem in geld om te zetten en geheel vrijblijvend alle cms eigenaren te waarschuwen. En of er een werkelijke toename is in misbruikn van cms voor ransomware laat het verhaal in het midden. Het gaat tenslotte om de knikkers.
07-09-2015, 12:48 door Anoniem
Door Anoniem: Tja en dan te bedenken dat je Wordpress automatisch kunt laten updaten, je hoeft slechts de plugins met wat klikken bij te brengen.
Volgens mij is het probleem dan ook geen Wordpress, maar de zq beheerders en zeker de verkopers die tegen betaling een site neerzetten, maar ondertussen geen onderhoud doen - mede omdat zijn klant - tevens onze leverancier - te beroerd is om onderhoud te betalen.
Aan de andere kant kan je ook een betoog houden over de onkunde van de websitebouwer.
Blijkbaar hebben velen te weinig kennis om iets goeds in elkaar te zetten, en gebruiken ze daarom klik-en-klaar Wordpress.

In het land der blinden is een-oog koning...
07-09-2015, 13:27 door [Account Verwijderd] - Bijgewerkt: 07-09-2015, 13:27
[Verwijderd]
07-09-2015, 13:47 door Anoniem
Door Muria:
Echter: Wordpress blijft een op PHP gebaseerde oplossing dus verwacht er niet teveel van qua veiligheid (bv. niet gebruiken wanneer er gevoelige persoonsgegevens op je site worden verwerkt).

Mag ik zeggen dat dit toch echt een zeer domme opmerking is... de taal doet niets af aan veiligheid. Het zijn de programmeurs.

Wordpress is slecht geschreven door de programmeurs, daar ben ik mee eens. Maar dat had net zo goed in Perl, Python, Java, Ruby geweest kunnen zijn. Was het niet beter geweest

TheYOSH
07-09-2015, 14:25 door Anoniem
Door Anoniem:
Door Anoniem: Tja en dan te bedenken dat je Wordpress automatisch kunt laten updaten, je hoeft slechts de plugins met wat klikken bij te brengen.
Volgens mij is het probleem dan ook geen Wordpress, maar de zq beheerders en zeker de verkopers die tegen betaling een site neerzetten, maar ondertussen geen onderhoud doen - mede omdat zijn klant - tevens onze leverancier - te beroerd is om onderhoud te betalen.
Aan de andere kant kan je ook een betoog houden over de onkunde van de websitebouwer.
Blijkbaar hebben velen te weinig kennis om iets goeds in elkaar te zetten, en gebruiken ze daarom klik-en-klaar Wordpress.

In het land der blinden is een-oog koning...

Hallo... zelf-bouw is juist de *oorzaak* van veel beveiligingsproblemen. Zo veel mensen die denken dat ze ook wel even een websiteje kunnen bouwen. En daar dan al slecht in blijken, laat staan dat ze iets van de beveiliging bakken.

Vraag eens aan de ontwikkelaars om je heen of OWASP of SDL ze iets zegt...
07-09-2015, 14:29 door Anoniem
wordpress, amateuristisch tooltje om websites mee te maken..
ik blijf erbij niet gebruiken troep, zo lek als een mandje.
Meestal binnen 10 minuten om zeep te helpen.
07-09-2015, 16:23 door JanAnoniem - Bijgewerkt: 07-09-2015, 16:25
Door Anoniem: Tja en dan te bedenken dat je Wordpress automatisch kunt laten updaten, je hoeft slechts de plugins met wat klikken bij te brengen.
Volgens mij is het probleem dan ook geen Wordpress, maar de zq beheerders en zeker de verkopers die tegen betaling een site neerzetten, maar ondertussen geen onderhoud doen - mede omdat zijn klant - tevens onze leverancier - te beroerd is om onderhoud te betalen.

Maar er zijn al zo ontzettend veel dingen waaraan een mens moet denken, dit geeft daarvan een aardig overzicht: http://www.pc-makkelijk.nl/risicosvanhetinternet.html. Het is niet meer te overzien! En mensen moeten zich ook nog bezighouden met hun werk, kinderen, vrouw/man, hypotheek, verzekeringen enzovoort. Een werkster voor het huishouden vinden velen handig, een werk(st)er voor de PC is misschien ook een goed idee.
07-09-2015, 18:43 door Anoniem
Er worden elke week duizenden sites gehackt. In verreweg de meeste gevallen gaat het om beveiligingslekken in WordPress plugins of WordPress zelf. Daarnaast worden ook wachtwoorden gestolen van panels en FTP vanaf werkstations.

De meeste van die gehackte sites worden gehost door kleine huis,tuin-en-keuken hosters. Als hosters onderhoud aanbieden, wordt dat vaak niet afgenomen door de centenkakkende klant. Hier geldt: goedkoop is duurkoop. Als je alsnog veel geld moet uitgeven om een gehackte site op te schonen, betaal je vele malen meer dan de kosten van normaal onderhoud. Er is vaak ook geen backup geregeld. Dan kost opschonen nog veel meer. Soms gooit men de oude site compleet weg en wordt er vanaf nul gestart.

Na een inbraak mag je ervan uitgaan dat je IP reputatie ver onder het nulpunt is gezakt. Je mail wordt geblokkeerd bij veel ontvangers.

WordPress site eigenaren doen er dus goed aan een provider te kiezen die onderhoud standaard levert. Een auto rij je ook niet zonder olie en banden te controleren.
08-09-2015, 03:01 door Anoniem
Ik heb ook een Wordpress website. En voor een hoop kleine dingen die eigenlijk standaard in Wordpress zouden moeten zitten ben je vaak toch overgeleverd aan third party plugins. En dan mag je gaan gokken welke plugin het veiligst zal zijn en de meeste continuiteit zal bieden. Aan de prijs of het aantal downloads kan je het helaas niet afzien.
08-09-2015, 03:12 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Tja en dan te bedenken dat je Wordpress automatisch kunt laten updaten, je hoeft slechts de plugins met wat klikken bij te brengen.
Volgens mij is het probleem dan ook geen Wordpress, maar de zq beheerders en zeker de verkopers die tegen betaling een site neerzetten, maar ondertussen geen onderhoud doen - mede omdat zijn klant - tevens onze leverancier - te beroerd is om onderhoud te betalen.
Aan de andere kant kan je ook een betoog houden over de onkunde van de websitebouwer.
Blijkbaar hebben velen te weinig kennis om iets goeds in elkaar te zetten, en gebruiken ze daarom klik-en-klaar Wordpress.

In het land der blinden is een-oog koning...

Hallo... zelf-bouw is juist de *oorzaak* van veel beveiligingsproblemen. Zo veel mensen die denken dat ze ook wel even een websiteje kunnen bouwen. En daar dan al slecht in blijken, laat staan dat ze iets van de beveiliging bakken.

Vraag eens aan de ontwikkelaars om je heen of OWASP of SDL ze iets zegt...
Precies. Dat staat er. Te weinig kennis, en dan met wat tooltjes een website bouwen...
08-09-2015, 06:18 door Anoniem
Door Anoniem:
Door Muria:
Echter: Wordpress blijft een op PHP gebaseerde oplossing dus verwacht er niet teveel van qua veiligheid (bv. niet gebruiken wanneer er gevoelige persoonsgegevens op je site worden verwerkt).

Mag ik zeggen dat dit toch echt een zeer domme opmerking is... de taal doet niets af aan veiligheid. Het zijn de programmeurs.

Wordpress is slecht geschreven door de programmeurs, daar ben ik mee eens. Maar dat had net zo goed in Perl, Python, Java, Ruby geweest kunnen zijn. Was het niet beter geweest

TheYOSH

Mag ik zeggen dat dit toch echt zeer naïef is: natuurlijk kan de programmeertaal veel af doen aan de veiligheid!

Natuurlijk kan een slechte programmeur de beste programmeertaal om zeep helpen, echter een goede programmeur kan niet ontkomen aan de ballast van een slechte programmeertaal.
08-09-2015, 16:18 door Anoniem
Mag ik zeggen dat dit toch echt zeer naïef is: natuurlijk kan de programmeertaal veel af doen aan de veiligheid!

Natuurlijk kan een slechte programmeur de beste programmeertaal om zeep helpen, echter een goede programmeur kan niet ontkomen aan de ballast van een slechte programmeertaal.
Dat eeuwige gebash op PHP begint een beetje zielig te worden. PHP is een prima taal om goede, veilige en snelle websites mee te bouwen. Vele websites (waaronder deze) bewijzen dat. En ik kan je zo een lijstje geven van PHP websites waar zelfs de beste hacker niet binnen kan komen.

En wat betreft Wordpress: PHP is niet het probleem, beheerders zijn niet het probleem, Wordpress is het probleem. Kijk voor de gein eens in de broncode. Regelrechte chaotische spaghetticode. Een klassiek voorbeeld van hoe je niet moet programmeren. Tuurlijk kunnen beheerders de boel patchen, maar serieus, die lui hebben echt wel wat beters te doen dan elke week weer een Wordpress patch te moeten installeren.

Doe jezelf gewoon een lol en flikker dat Wordpress overboord. De prullenbak, dat is de enige plek waar het thuishoort. Wordpress installeren is gewoon vragen om problemen. Er zijn genoeg alternatieven om een website mee te maken.
14-09-2015, 12:54 door Anoniem
Als wordpress dan zo`n bagger i, wat is dan wel een goede tool om een website te bouwen voor een HTML leek
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.