Bijna 6.000 WordPress-sites gehackt in derde kwartaal
In het derde kwartaal van vorig jaar werden bijna 6.000 WordPress-sites gehackt, voornamelijk omdat beheerders beschikbare updates niet hadden geïnstalleerd. Dat stelt beveiligingsbedrijf Sucuri aan de hand van onderzoek onder meer dan 8.000 gehackte websites. 74 procent van de onderzochte gehackte websites draaide op WordPress, gevolgd door Joomla (17 procent) en Magento (6 procent).
In de meeste gevallen blijkt de software op het moment van de hack niet up-to-date te zijn. In het geval van de gehackte WordPress-websites draaide 61 procent een verouderde versie. Een stijging van 6 procent ten opzichte van het tweede kwartaal van 2016. Bij andere contentmanagementsystemen ligt dit veel hoger. In het geval van gehackte Magento-webwinkels is 94 procent niet up-to-date. Bij Drupal is dit 86 procent en bij Joomla 84 procent.
Het draaien van verouderde plug-ins is een voorname reden waardoor WordPress-sites worden gehackt. Oude kwetsbaarheden in drie populaire plug-ins zijn bij elkaar verantwoordelijk voor ruim 18 procent van de gehackte WordPress-sites. Het gaat om de RevSlider- en GravityForms-plug-ins, gevolgd door het TimThumb-script. Voor alle drie de plug-ins is een update al meer dan een jaar beschikbaar. De patch voor TimThumb is al sinds 2011 verkrijgbaar, terwijl RevSlider sinds 2014 is gepatcht.
Volgens Sucuri hebben de hacks niets te maken met de veiligheid van WordPress of andere contentmanagementsystemen, maar zijn vooral slecht beheer van webmasters en verkeerde installaties en configuraties de boosdoener. "De enige constante in dit rapport zijn de problemen die worden veroorzaakt door slecht getrainde beheerders en webmasters en hun impact op websites", aldus de onderzoekers.
Dat gaat dan zeker ook op voor die gare shit die je als OS gebruikt op je telefoon of computer?
Ik zou het niet zo willen verwoorden, maar ik ben het wel met je eens.
In de WordPress core mist bijvoorbeeld e-mail timeout.
Een geïnfecteerde site kan WordPress misbruiken om e-mails te spammen, hiervoor is geen config mogelijk.
De plugin structuur is helemaal een ergernis.
Waarom moeten die plugins in een public folder staan?
Antwoord: Niet, maar nu zijn er zo veel plugins die deze 'feature' vereisen dat men te bang is dit te veranderen.
Waarom zijn WordPress hardening technieken niet onderdeel van de core?
Ik bedoel, uitvoeren van PHP in de uploads directory is nooit nodig en wordt alleen door hackers gebruikt.
Kan die htaccess niet gewoon automatisch worden opgezet?
Het is een systeem dat niet volwassen is en de makers van vele thema's en plugins introduceren beveiligingslekken.
Don't get me wrong, een redelijk aantal plugins schrijvers doet het goed, maar het is te makkelijk om het fout te doen.
Nee, Wordpress is geen gare shit, maar sommige plug-in ontwikkelaars lappen veiligheid aan hun laars.
Nu ben ik niet bepaald een WordPress fan, maar hier sla je de plank mis.
Geen enkel CMS kan tegen de stommiteiten van slechte plug-in ontwikkelaars. Ik heb echt veel CMS code gezien en in alles zit altijd wel een fout ergens (kwestie van zoeken).
Het is vaak echt een kwestie van weinig in gebruik / weinig interesse vanuit aanvallers daardoor.
Wordpress is gewoon gare shit!
WordPress is inderdaad verre van perfect. Maar tsja perfecte software bestaat niet. Net zoals 100% security niet bestaat ...
Anyway WordPress core is behoorlijk safe hoorrr ... zie https://wordpress.org/about/security/
Het heeft desondanks wel wat extra hardening nodig ... per slot van rekening is de menselijke factor vaak de zwakste schakel ...
Maar "gare shit", nee dat niet ... er zijn gewoon heel veel gebruikers/ontwikkelaars/beheerders met te weinig kennis mbt website security ... En het is ook best wel een lastig onderwerp ...
Oh overigens zijn 27% van alle CMS websites op het internet WordPress sites ...
Kortom dat maakt WordPress een populair target voor de bad guys ...
Beetje nuancering kan geen kwaad OpenXOR ;-)
Doe eens een scannetje voor een willekeurige WordPress website hier:
https://hackertarget.com/wordpress-security-scan/
De kern code levert niet het meeste gevaar op.
Vele WP sites met niet geupdate WP versies wel - outdated software - dus kwetsbaar.
Vele WP websites met plug-in problemen - soms zelfs verlaten code, die nooit zal worden gepatched.
Vele WP sites met verkeerde configuraties - gebruikers enumeratie staat aan, gevaar van brute force aanvallen.
Directory listing enabled, iFrame kwetsbaarheden, mogelijk CloudFlare misbruik en zo voort en zo verder.
WP is niet slecht op zich als CMS, WP is wel een gevaar in handen van n00bs,
die niet weten hoe ermee om te gaan, maar dat is elk stuk techniek in de handen van mensen,
die er geen draad verstand van hebben.
En dat is nog tot daar aan toe, maar het gevaar dat ze ermee voor willekeurige site bezoekers veroorzaken is erger.
Het is net als met die bepaalde drop, het zou eigenlijk verboden moeten worden....
Trouwens de zogeheten Willem de Groot lijst laat zien dat Magento mage op webshops ook de nodige ellende kent....
en via een asafaweb scan zie je dat asp sites ook veel fouten en kwetsbaarheden hebben.
We zijn er dus nog lang niet.....
WordPress is niet voldoende veilig en sommige plugins zijn nog veel onveiliger. Ook het onderliggende PHP is niet erg veilig.
@Gisteren, 21:15 door Anoniem
WordPress heeft teveel lekken gehad om voor de dooddoener "100% [veilig] bestaat niet".
https://www.cvedetails.com/vulnerability-list/vendor_id-2337/product_id-4096/
Dit gezegd hebbende, veel sites worden overgenomen met gestolen wachtwoorden, executerechten waar ze niet horen te zijn (upload directory), en nog meer van dergelijke beheerfouten.
Dat is nou eenmaal waarom er platformen als Wordpress bestaan, je bouwt 1 core en die wordt bijgehouden door meerdere mensen. En je zorgt dat die zo veilig mogelijk is.
Plugins zouden door een goedkeuringsproces moeten gaan om te zorgen dat er in ieder geval een beetje is nagedacht over security.
Ik denk dat van alle CMS'en die er zijn Wordpress toch echt wel 1 van de veiligste is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
