Linux Mint gestopt met WordPress voor website
De populaire Linuxdistributie Linux Mint is gestopt met het gebruik van WordPress voor de officiële website. De software, waar een kwart van alle websites op internet op draait, zal alleen nog voor het blog worden gebruikt. Dat heeft projectleider Clement Lefebvre via het Linux Mint-blog laten weten.
Onlangs wist een aanvaller de WordPress-site van Linux Mint te hacken en verving daar de links naar verschillende iso-bestanden door links die naar een versie met een backdoor wezen. Via de backdoor had de aanvaller toegang tot de systemen van gebruikers die deze iso-bestanden hadden gedownload en geïnstalleerd. "Het is onze verantwoordelijkheid om op deze aanval te reageren en te beseffen dat onze security onvoldoende was. Sinds de aanval zijn we non-stop bezig geweest", aldus Lefebvre.
Naast de website werden ook het forum en de Cinnamon-website gecompromitteerd. De aanvaller wist zo van alle forumgebruikers de e-mailadressen, gebruikersnaam, versleutelde wachtwoorden en privéberichten die via het forum zijn verstuurd in handen te krijgen. Na de aanval is de beveiliging aangescherpt. Zo is er een globale firewall neergezet alsmede nieuwe servers en wordt er nu voor de community, website en fora https gebruikt. Hoe de aanvaller via WordPress toegang wist te krijgen is niet bekendgemaakt, maar er is wel besloten om de software alleen nog voor het blog te gebruiken.
Daarnaast is er een ssl-certificaat aangeschaft om de verbindingen met bezoekers te versleutelen. Lefebvre merkt op dat dit weinig had uitgemaakt in het geval van de hack, aangezien de malafide links dan via https zouden zijn aangeboden. Het gebruik van https is dan ook vooral bedoeld om gebruikers tegen man-in-the-middle-aanvallen te beschermen, zo merkt hij op. Gebruikers krijgen echter het advies om altijd de sha256-hash van een gedownload iso-bestand te controleren tegen de hashwaarde die op de officiële website wordt vermeld.
Reacties (24)
Het is ook zonder dat ze dit dan niet beter beveiligen. Gewoon met drie simpele trucks.
1. Alleen bepaalde ip adressen toestaan voor /wp-admin/
2. Eerst inloggen met apache met een unieke gebruiekrsnaam en wachtwoord.
3. Als tweede inloggen op wordperss zelf met een unieke gebruikersnaam en wachtwoord.
1. Alleen bepaalde ip adressen toestaan voor /wp-admin/
2. Eerst inloggen met apache met een unieke gebruiekrsnaam en wachtwoord.
3. Als tweede inloggen op wordperss zelf met een unieke gebruikersnaam en wachtwoord.
Door Anoniem: Het is ook zonder dat ze dit dan niet beter beveiligen. Gewoon met drie simpele trucks.
1. Alleen bepaalde ip adressen toestaan voor /wp-admin/
2. Eerst inloggen met apache met een unieke gebruiekrsnaam en wachtwoord.
3. Als tweede inloggen op wordperss zelf met een unieke gebruikersnaam en wachtwoord.
1. Alleen bepaalde ip adressen toestaan voor /wp-admin/
2. Eerst inloggen met apache met een unieke gebruiekrsnaam en wachtwoord.
3. Als tweede inloggen op wordperss zelf met een unieke gebruikersnaam en wachtwoord.
Ook met dit soort maatregelen kan je een zwak fundament (PHP) niet compenseren.
Dus verstandige van Linux Mint dat ze Wordpress alleen voor hun blog blijven gebruiken.
Door Anoniem: Het is ook zonder dat ze dit dan niet beter beveiligen. Gewoon met drie simpele trucks.
1. Alleen bepaalde ip adressen toestaan voor /wp-admin/
2. Eerst inloggen met apache met een unieke gebruiekrsnaam en wachtwoord.
3. Als tweede inloggen op wordperss zelf met een unieke gebruikersnaam en wachtwoord.
1. Alleen bepaalde ip adressen toestaan voor /wp-admin/
2. Eerst inloggen met apache met een unieke gebruiekrsnaam en wachtwoord.
3. Als tweede inloggen op wordperss zelf met een unieke gebruikersnaam en wachtwoord.
Wie zegt dat de hack via het admin kant gegaan is ???
Door Anoniem: Het is ook zonder dat ze dit dan niet beter beveiligen. Gewoon met drie simpele trucks.
Vind je? Ik heb het altijd bizar gevonden dat webapplicaties, wat CMS'en zijn, worden gebruikt voor statische inhoud (in de zin dat een willekeurige bezoeker niet iets in de website aanpast). Stel dat je een CMS zo maakt of inricht dat alle HTML die het uitspuugt naar elkaar linkt via de traditionele middelen van het web: hyperlinks, img-tags en dergelijke, alle componenten zijn bereikbaar zonder JavaScript (wat niet uitsluit dat JavaScript vervolgens de afhandeling van hyperlinks overneemt, dat kan nog steeds). Dan kan je je CMS in een goed van het grote boze internet afgeschermde omgeving hebben draaien (toegankelijk via een VPN of SSH als dat nodig is om het bereikbaar te maken voor alle medewerkers), en met bijvoorbeeld wget een statische mirror ervan maken, en die zet je in produktie.
Dan heb je een live CMS aan het internet alleen nog nodig voor de zaken die door niet-medewerkers gewijzigd kunnen worden, zoals commentaren bij blogs (niet eens de blog-posts zelf). Dat kan op een aparte server worden ondergebracht zodat de statische inhoud niet met eventuele kwetsbaarheden van het CMS wordt belast.
Maar goed, dan gebruik je een CMS grotendeels als generator voor statische sites, en dat soort hulpmiddelen bestond al voor CMS'en in opkomst kwamen. Kennelijk vindt de grote massa het lekkerder om webpagina's direct te kunnen bewerken en zijn omwegen lastig, ongeacht eventuele voordelen die ze bieden. En vervolgens gaan partijen die wel baat zouden hebben bij de voordelen van die omwegen mee in oplossingen die op het grootste gemak zijn gericht. Dat is jammer.
"Daarnaast is er een ssl-certificaat aangeschaft om de verbindingen met bezoekers te versleutelen."
Er bestaan geen SSL certificaten. Er bestaan wel X.509 certificaten die onder meer kunnen worden gebruikt om HTTPS verbindingen te kunnen opzetten. SSL is tevens de oude benaming voor de (nu verouderde een zwakke) protocollen, die al geruime tijd zijn vervangen door TLS. De IETF heeft vorig jaar juni middels RFC 7568 aangeven dat zij het gebruik van de meest recente SSL versie 3.0 afraden en een beroep doet op partijen om over te stappen naar TLS (het liefest de meest recente versie 1.2). TLS 1.3 is sinds Januari een IETF draft.
Er bestaan geen SSL certificaten. Er bestaan wel X.509 certificaten die onder meer kunnen worden gebruikt om HTTPS verbindingen te kunnen opzetten. SSL is tevens de oude benaming voor de (nu verouderde een zwakke) protocollen, die al geruime tijd zijn vervangen door TLS. De IETF heeft vorig jaar juni middels RFC 7568 aangeven dat zij het gebruik van de meest recente SSL versie 3.0 afraden en een beroep doet op partijen om over te stappen naar TLS (het liefest de meest recente versie 1.2). TLS 1.3 is sinds Januari een IETF draft.
De vraag is hier wat het slechte security bewustzijn bij Linux Mint betekend voor het besturingsysteem zelf.
Mint is/was de ideale distributie voor overstappers vanaf windhoos. Nu blijkt dat het team achter Mint een clubje roze-wolk-denkers is. Is dat niet in het voordeel van Microsoft?
Mint is/was de ideale distributie voor overstappers vanaf windhoos. Nu blijkt dat het team achter Mint een clubje roze-wolk-denkers is. Is dat niet in het voordeel van Microsoft?
CMS-en worden niet alleen gemaakt voor 'statische' websites te genereren maar ook om 100+ man aan de website te laten werken. Die export die jij bedoelt werkt niet echt handig als er 100+ editors zijn maar hoogtens met 3 tot 5 editors.
Verder zullen ongetwijfeld de plugins en de website naar goed voorbeeld dichtgetimmerd zijn, anders was LInux Mint website al jaren geleden gepakt.
Wordpress is gewoon een bagger product en nooit bedoeld voor security-by-design. het is bedoeld voor 'hoe meer zinloze toeters en bellen en plugins hoe beter'... en dat werkte in 2003 al niet meer op internet (toen WP uitgebracht werd).
Verder zullen ongetwijfeld de plugins en de website naar goed voorbeeld dichtgetimmerd zijn, anders was LInux Mint website al jaren geleden gepakt.
Wordpress is gewoon een bagger product en nooit bedoeld voor security-by-design. het is bedoeld voor 'hoe meer zinloze toeters en bellen en plugins hoe beter'... en dat werkte in 2003 al niet meer op internet (toen WP uitgebracht werd).
29-02-2016, 14:19 door
Briolet
Door Anoniem: "Er bestaan geen SSL certificaten. Er bestaan wel X.509 certificaten ….
Dat is dan onkunde bij het citeren door deze website, want de verantwoordelijke in het Linux-Mint blog schrijft alleen (Post nr 750):
The main website is now under HTTPS
Ook met dit soort maatregelen kan je een zwak fundament (PHP) niet compenseren.
Dus verstandige van Linux Mint dat ze Wordpress alleen voor hun blog blijven gebruiken.
PHP heeft niet direct wat met security te maken. Je kunt veilige applicaties maken als je maar veilig ontwikkelt en nadenkt waar je mee bezig bent. Bij complexiteit komt het gevaar om de hoek zetten.
Door Anoniem:
Ook met dit soort maatregelen kan je een zwak fundament (PHP) niet compenseren.
Dus verstandige van Linux Mint dat ze Wordpress alleen voor hun blog blijven gebruiken.
PHP heeft niet direct wat met security te maken. Je kunt veilige applicaties maken als je maar veilig ontwikkelt en nadenkt waar je mee bezig bent. Bij complexiteit komt het gevaar om de hoek zetten.
Ook met dit soort maatregelen kan je een zwak fundament (PHP) niet compenseren.
Dus verstandige van Linux Mint dat ze Wordpress alleen voor hun blog blijven gebruiken.
PHP heeft niet direct wat met security te maken. Je kunt veilige applicaties maken als je maar veilig ontwikkelt en nadenkt waar je mee bezig bent. Bij complexiteit komt het gevaar om de hoek zetten.
Naïeve overwegingen van de amateur: bij grote bedrijven wordt je uitgelachen wanneer je PHP zou voorstellen.
29-02-2016, 18:58 door
[Account Verwijderd]
[Verwijderd]
29-02-2016, 19:01 door
[Account Verwijderd]
[Verwijderd]
Door Anoniem: De vraag is hier wat het slechte security bewustzijn bij Linux Mint betekend voor het besturingssysteem zelf.
Mint is/was de ideale distributie voor overstappers vanaf windhoos. Nu blijkt dat het team achter Mint een clubje roze-wolk-denkers is. Is dat niet in het voordeel van Microsoft?
Mint is/was de ideale distributie voor overstappers vanaf windhoos. Nu blijkt dat het team achter Mint een clubje roze-wolk-denkers is. Is dat niet in het voordeel van Microsoft?
Nee, het eerstvolgende stapje wordt dan een andere Linux distributie, die zijn er genoeg.
En als je dat te complex vindt worden lijkt het een logische mooie eenvoudige en dus niet on-slimme stap naar Apple's Mac OS X dat ook weer meer familie is van.
Echt gemotiveerde overstappers zijn besluitvast genoeg om niet weer (geheel) terug over te stappen.
Dat is geen kwestie van voor of tegen maar van een mindset kwestie, durven knopen door te hakken.
Alles moet je even leren, daarna wordt je ruim beloond want het scheelt een hoop tijd aan security troubles, iets dat in deze tijden zeker mooi meegenomen is.
Gebruikers krijgen echter het advies om altijd de sha256-hash van een gedownload iso-bestand te controleren tegen de hashwaarde die op de officiële website wordt vermeld.
Het lijkt me vooral belangrijk dat die hashwaarde op allerlei andere plaatsen geplaatst wordt zodat als je een download binnen hebt je deze met hashwaarden niet van dezelfde website maar van een paar andere websites kan vergelijken.
Om de boel dan voor de gek te houden zullen immers dan ook die andere plekken moeten worden gehackt en aangepast.
De hashwaarde op hetzelfde domein aanbieden als waar je de download aanbiedt is m.i. dus niet veilig genoeg omdat een slimme aanvaller de hashwaarden zal aanpassen aan de aangepaste software.
Simpel op te lossen dus door die hashwaarden ook op andere ('officiële) plaatsen (naar keuze) te laten vermelden.
Door Muria:
Die complexiteit kan je met een echte programmeertaal veel beter het hoofd bieden dan met PHP. (Dat weet toch een kind.)
Je begrijpt dat je stierenstront praat he? Dat allemaal kindjes zonder ervaring PHP gebruiken omdat het zo laagdrempelig is, betekent niet dat iemand die weet wat ie doet het niet veilig kan maken. Plus dat er ook voor PHP echte frameworks te krijgen (of fabriceren) zijn waarmee het gewoon veilig kan.Door Anoniem:
PHP heeft niet direct wat met security te maken. Je kunt veilige applicaties maken als je maar veilig ontwikkelt en nadenkt waar je mee bezig bent. Bij complexiteit komt het gevaar om de hoek zetten.
PHP heeft niet direct wat met security te maken. Je kunt veilige applicaties maken als je maar veilig ontwikkelt en nadenkt waar je mee bezig bent. Bij complexiteit komt het gevaar om de hoek zetten.
Die complexiteit kan je met een echte programmeertaal veel beter het hoofd bieden dan met PHP. (Dat weet toch een kind.)
Website was gehacked, zo ook de iso downloads, gebruikers daarvoor lopen geen gevaar. Linux Mint blijft een goede OS
Door Anoniem: CMS-en worden niet alleen gemaakt voor 'statische' websites te genereren maar ook om 100+ man aan de website te laten werken. Die export die jij bedoelt werkt niet echt handig als er 100+ editors zijn maar hoogtens met 3 tot 5 editors.
Natuurlijk, ik had het woord 'alleen' niet gebruikt. Als ik zeg dat supermarkten voorverpakte voedingsmiddelen verkopen dan zeg ik daarmee ook niet dat ze alleen voorverpakte voedingsmiddelen verkopen.Er zullen heel wat meer websites met een of enkele redacteuren zijn dan websites met meer dan honderd. Mint zal geen honderd redacteuren hebben die de hele dag door artikelen toevoegen.
Met statische inhoud bedoelde ik, zoals ik aangaf, inhoud die niet door de bezoekers wordt gewijzigd. Ook bij grote websites die veel veranderen denk ik dat een exportmechanisme, maar dan selectiever dan een wget-mirror van het geheel, helemaal geen slecht idee hoeft te zijn. Er is geen enkele principiële reden waarom dat niet snel en efficiënt zou kunnen werken, en het vermijden van een shitload aan extra software die op je webserver draait, inclusief een dbms, heeft wel degelijk voordelen.
WordPress, of moeten we zeggen "WeirdPress" , is inherent onveilig gebleken. Doe maar eens een scan hier voor de gemiddelde WordPress website: https://hackertarget.com/wordpress-security-scan/ en zie wat er zoal aangetroffen wordt.
Met een duizelinkwekkend aantal van 33,621 plugins die in totaal zo'n 749,138,518 keer werden gedownload in het geval van WordPress vorig jaar, kan de impact van exploiteerbare veiligheidskwetsbaarheden heel groot zijn
Quote bron: Mark Wilson.Als iedereen denkt dat alleen MInt bestookt wordt? Ga dan maar gauw weer over op Windoze.Ik gebruik Mint al jaren en zelfs nu geen problemen. Handel zelf veilig. Bovendien wat hebben de krakers gevonden? Een paar adressen, ja leuk maar die hadden ze ook wel ergens ander kunnen vinden. Waardeloos dus. Paswoorden? Die zijn encrypted. En als je zelf so stom bent om hetzelfde paswoord voor alles te gebruiken dan ja, bank dan niet via de computer en ga wandelen.
Geen paniek mensen dit is gewoon een amateuristisch geval.
Geen paniek mensen dit is gewoon een amateuristisch geval.
Ik heb mijn familie, vrienden en kennissen die MS beu waren, altijd geadviseerd om Mint eens te bekijken. Al jaren.
Daar ben ik nu dus mee gestopt, aangezien zelfs XP per definitie veiliger is, dan een OS-leverancier die van WordPress gebruik maakt (e voor distributie van het OS). Had ik dat maar eerder geweten...
De ondernomen actie na deze onvergeeflijke fail, te weten "we gebruiken voortaan alleen nog WP voor het blog," onderschrijft mijn visie. En daar baal ik als een stekker van!
Ik kan mijn oma, die net Skype zelfstandig aan de praat krijgt, toch niet adviseren om eens naar Ubuntu te gaan kijken? WTF?
Daar ben ik nu dus mee gestopt, aangezien zelfs XP per definitie veiliger is, dan een OS-leverancier die van WordPress gebruik maakt (e voor distributie van het OS). Had ik dat maar eerder geweten...
De ondernomen actie na deze onvergeeflijke fail, te weten "we gebruiken voortaan alleen nog WP voor het blog," onderschrijft mijn visie. En daar baal ik als een stekker van!
Ik kan mijn oma, die net Skype zelfstandig aan de praat krijgt, toch niet adviseren om eens naar Ubuntu te gaan kijken? WTF?
01-03-2016, 11:49 door
[Account Verwijderd]
[Verwijderd]
01-03-2016, 13:58 door
[Account Verwijderd]
[Verwijderd]
Door Anoniem: WordPress, of moeten we zeggen "WeirdPress" , is inherent onveilig gebleken. Doe maar eens een scan hier voor de gemiddelde WordPress website: https://hackertarget.com/wordpress-security-scan/ en zie wat er zoal aangetroffen wordt.
Met een duizelinkwekkend aantal van 33,621 plugins die in totaal zo'n 749,138,518 keer werden gedownload in het geval van WordPress vorig jaar, kan de impact van exploiteerbare veiligheidskwetsbaarheden heel groot zijn
Quote bron: Mark Wilson.die security scan is volgens mij niet zo goed. Hij geeft aan dat de laatste versie niet is geïnstalleerd, hij meldt zelfs het versie nummer, terwijl dat wel de laatste versie is.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
