image

Onderzoek: Meeste WordPress-sites draaien onveilig versie

dinsdag 30 mei 2017, 15:17 door Redactie, 1 reacties

De meeste WordPress-sites zijn onveilig omdat ze verouderde versies van het contentplatform draaien waarin beveiligingslekken aanwezig zijn. Dat laat IBM op basis van eigen onderzoek weten. Hoewel WordPress sinds oktober 2013 met de lancering van WordPress 3.7 over een automatische updatefunctie beschikt die kleine core-updates installeert, blijkt dat veel websites achterlopen.

Van de WordPress-sites die IBM onderzocht had minder dan 4 procent de meest recente versie geïnstalleerd. Daardoor lopen websites het risico om te worden gehackt en bijvoorbeeld voor phishing, spam, malware of het doorsturen van gebruikers naar andere websites te worden gebruikt. Verdere analyse van de gehackte WordPress-sites laat zien dat zelfs relatief "up-to-date" websites worden gecompromitteerd.

Bijna 68 procent van de gehackte hosts draait op een WordPress-versie van minder dan zes maanden (ongeveer drie versies) oud. Meer dan 40 procent draait een versie die minder dan 30 dagen (maximaal één versie) oud is. "Het feit dat een groot percentage van WordPress-installaties up-to-date is en nog steeds door spammers wordt gecompromitteerd, kan erop wijzen dat spammers misbruik van een WordPress-lek maken snel nadat het bekend wordt, wat de tijd verkort waarin een systeembeheerder de laatste WordPress-patches kan installeren", aldus de onderzoekers.

Ze stellen dat het gebruik van 'custom' plug-ins en themes ervoor kan zorgen dat beheerders automatische updates uitschakelen. "Updates kunnen de custom code resetten en daardoor de vormgeving en het uiterlijk van de websites beïnvloeden. In dit geval plaatsen de meeste beheerders klantervaring voor automatische veiligheid", merken de onderzoekers op. Ze stellen dat WordPress-beheerders naast het snel installeren van patches ook actief WordPress-sites op ongewenste content moeten scannen.

Image

Reacties (1)
31-05-2017, 01:13 door Anoniem
Geen nieuws eigenlijk. Hierdoor is ook het grote percentage gecompromitteerde WordPress sites mede te verklaren.

Verder veel af te serveren JQuery bibliotheken te zien. Vaak geen sri-hashes gegenereerd vooral voor externe links, dus vergrijpen tegen de "same origin" policy. Vaak staat user enumeratien nog aan, alsmede directory listing. En let ook even op de mogelijk kwetsbare iFrames of Cloaking (Google en Googlebot laten allebei wat anders zien).

De kern software is nog redelijk veilig, maar bij het gebruik van oude(re) en soms verlaten thema code en plug-ins begint de ellende pas goed, want er kunnen bugs in zitten met als gevolg dat er exploits te draaien zijn tegen zo'n site.

CMS moet goed geupdate, gepatcht en beveiligd worden. Neen, het zijn niet alleen maar amateurs, die steken laten vallen. Hoeveel plempen niet een website zo op het Internet en kijken er later niet meer of nauwelijks naar om.
En bij vele hosters is security ook niet prioriteit nummer een.

En er verandert echt niet veel. Zo'n 60 % van de WordPress sites zijn daarom onveilig. Het blijft huilen met de pet op en dweilen met de kraan open. Helaas pindakaas.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.