WordPress dicht beveiligingslek dat voor SQL injection kan zorgen
WordPress heeft vandaag een beveiligingsupdate uitgebracht voor een kwetsbaarheid waardoor een aanvaller databases van websites kan stelen en websites zelfs kan overnemen. Het beveiligingslek bevindt zich in een functie waar plug-ins en themes gebruik van maken.
WordPress "core" is niet direct kwetsbaar, maar om te voorkomen dat plug-ins en themes onbedoeld een kwetsbaarheid veroorzaken is het gedrag van de functie aangepast. Voor de meeste ontwikkelaars van plug-ins en themes zal dit echter geen gevolgen hebben, zo laat WordPress in de aankondiging weten. Beheerders van WordPress-websites krijgen het advies om meteen naar WordPress 4.8.3 te updaten. Dit kan via WordPress.org of de automatische updatefunctie.
Reacties (18)
Uhm, het is nu wel de bedoeling dat nu iemand reageert over hoe onveilig Wordpress is natuurlijk. ;-)
Aan anoniem van 16:20
Diversen hebben niet bijgewerkt tot versie 8.3 van de software.
De 'core' van dit CMS is niet zo kwetsbaar. Wordt goed getest en van updates voorzien.
De narigheid zit hem meer in de misconfiguraties - user enumeration op aan en directory listing aangezet.
Verder de plug-ins die niet van de laatste updates zijn voorzien of dat niet meer kunnen worden (verlaten code).
Retirable jQuery libraries, zonder same origin regel aangehouden. iFrames etc.
en andere algemene website zwakheden.
Test uw site voor een 'quick and dirty' even hier: hackertarget.com/wordpress-security-scan/
en hier http://domxssscanner.com/
Is dit een beetje wat je verwachtte? Weet dat WordPress ook door grote Amerikaanse CDNs wordt gebruikt.
luntrus
Diversen hebben niet bijgewerkt tot versie 8.3 van de software.
De 'core' van dit CMS is niet zo kwetsbaar. Wordt goed getest en van updates voorzien.
De narigheid zit hem meer in de misconfiguraties - user enumeration op aan en directory listing aangezet.
Verder de plug-ins die niet van de laatste updates zijn voorzien of dat niet meer kunnen worden (verlaten code).
Retirable jQuery libraries, zonder same origin regel aangehouden. iFrames etc.
en andere algemene website zwakheden.
Test uw site voor een 'quick and dirty' even hier: hackertarget.com/wordpress-security-scan/
en hier http://domxssscanner.com/
Is dit een beetje wat je verwachtte? Weet dat WordPress ook door grote Amerikaanse CDNs wordt gebruikt.
luntrus
01-11-2017, 19:43 door
[Account Verwijderd]
-
Bijgewerkt: 01-11-2017, 19:43
[Verwijderd]
Door Neb Poorten:
WordPress is net als bijna alle PHP applicaties structureel onveilig! Speelgoed voor kleine kinderen dat PHP!
Door Anoniem: Uhm, het is nu wel de bedoeling dat nu iemand reageert over hoe onveilig Wordpress is natuurlijk. ;-)
WordPress is net als bijna alle PHP applicaties structureel onveilig! Speelgoed voor kleine kinderen dat PHP!
Hou toch eens op met dit gezeur.
Leg uit waarom je dit altijd met tranen in je ogen komt verkondigen, en leg het uit in detail, kom met bronnen, ervaringen etc.
Met onzinnige oneliners kom je niet ver in het level Nebje.
02-11-2017, 13:51 door
[Account Verwijderd]
[Verwijderd]
Neb Poorten heeft grotendeels wel gelijk, zij het dan ook voorwaardelijk.
Bij de prutsers, de goedwillenden en de gedoogden als onze variant op de "good, the bad & the ugly" levert PHP vaak een raar soms potentieel gevaarlijk code-brouwsel op . {; Lees er bij StackOverflow maar eens meerdere insteken over. De haren rijzen je soms ten berge.
Natuurlijk PHP en de smalende reacties, die je al krijgt van de eerste jaars IT studenten development (de rapid topology boys and girls in de dop met hun Appel laptoppies) kun je ook uitleggen als "vooroordeel" tegen de goedwillende amateur CMS gebruiker.
Maar omdat degenen, die het gebruiken, het vaak zonder terdege kennis van zaken toepassen, gaat er zeer vaak nogal het een en ander mis bij de gemiddelde Word Press website opbouw. Weer de goeden niet te na gesproken, maar helaas een dikke meerderheid levert brodddelwerk van een laag security gehalte.
Hele verhaal is ook probleemloos te transplanteren naar Magento websites overigens, doe maar eens een https://www.magereport.com/ scannetje. Lekke webshoppies genoeg. We herinneren ons allemaal nog de zogenaamde "De Groot" lijst nog wel.
Hoofdprobleem onwetendheid, onbenul en soms pure lamlendigheid (geen of onvoldoende updates, niet de laatste patches, geen best practices toegepast).
De gevolgen zijn met een shodannetje een SQL evaluatietje en een gericht dorkje wel in beeld te brengen. Gevolgen van e.e.a. met name kwetsbaarheid, misbruik, eindgebruiker ellende en zo verder en zo voort. Wanneer gaan we ons eens eindelijk richten op de minimaal gevraagde basale VEILIGHEID van een op het web geplempte webstek?
luntrus (zich zeer vaak voelende als de spreekwoordelijke roepende in de woestijn).
Bij de prutsers, de goedwillenden en de gedoogden als onze variant op de "good, the bad & the ugly" levert PHP vaak een raar soms potentieel gevaarlijk code-brouwsel op . {; Lees er bij StackOverflow maar eens meerdere insteken over. De haren rijzen je soms ten berge.
Natuurlijk PHP en de smalende reacties, die je al krijgt van de eerste jaars IT studenten development (de rapid topology boys and girls in de dop met hun Appel laptoppies) kun je ook uitleggen als "vooroordeel" tegen de goedwillende amateur CMS gebruiker.
Maar omdat degenen, die het gebruiken, het vaak zonder terdege kennis van zaken toepassen, gaat er zeer vaak nogal het een en ander mis bij de gemiddelde Word Press website opbouw. Weer de goeden niet te na gesproken, maar helaas een dikke meerderheid levert brodddelwerk van een laag security gehalte.
Hele verhaal is ook probleemloos te transplanteren naar Magento websites overigens, doe maar eens een https://www.magereport.com/ scannetje. Lekke webshoppies genoeg. We herinneren ons allemaal nog de zogenaamde "De Groot" lijst nog wel.
Hoofdprobleem onwetendheid, onbenul en soms pure lamlendigheid (geen of onvoldoende updates, niet de laatste patches, geen best practices toegepast).
De gevolgen zijn met een shodannetje een SQL evaluatietje en een gericht dorkje wel in beeld te brengen. Gevolgen van e.e.a. met name kwetsbaarheid, misbruik, eindgebruiker ellende en zo verder en zo voort. Wanneer gaan we ons eens eindelijk richten op de minimaal gevraagde basale VEILIGHEID van een op het web geplempte webstek?
luntrus (zich zeer vaak voelende als de spreekwoordelijke roepende in de woestijn).
Door Neb Poorten:
Ik doe gewoon wat door jou ('Anoniem') gevraagd werd. Ben je dat alweer vergeten? Zie dan je eigen quote.
Ik hoef niet ver te komen want ik ben al ver gekomen. Bij de techologiereuzen waar ik heb gewerkt hoef je niet aan te komen met PHP want dan wordt je met pek en veren het pand uitgejaagd. Of op z'n minst gewoon uitgelachen.
En dat is je selectie "bronnen, ervaringen, etc."? Niet geheel onverwacht.Door Anoniem:
Hou toch eens op met dit gezeur.
Door Neb Poorten:
WordPress is net als bijna alle PHP applicaties structureel onveilig! Speelgoed voor kleine kinderen dat PHP!
Door Anoniem: Uhm, het is nu wel de bedoeling dat nu iemand reageert over hoe onveilig Wordpress is natuurlijk. ;-)
WordPress is net als bijna alle PHP applicaties structureel onveilig! Speelgoed voor kleine kinderen dat PHP!
Hou toch eens op met dit gezeur.
Ik doe gewoon wat door jou ('Anoniem') gevraagd werd. Ben je dat alweer vergeten? Zie dan je eigen quote.
Door Anoniem: Leg uit waarom je dit altijd met tranen in je ogen komt verkondigen, en leg het uit in detail, kom met bronnen, ervaringen etc. Met onzinnige oneliners kom je niet ver in het level Nebje.
Ik hoef niet ver te komen want ik ben al ver gekomen. Bij de techologiereuzen waar ik heb gewerkt hoef je niet aan te komen met PHP want dan wordt je met pek en veren het pand uitgejaagd. Of op z'n minst gewoon uitgelachen.
Door Anoniem: Neb Poorten heeft grotendeels wel gelijk, zij het dan ook voorwaardelijk.
Bij de prutsers, de goedwillenden en de gedoogden als onze variant op de "good, the bad & the ugly" levert PHP vaak een raar soms potentieel gevaarlijk code-brouwsel op . {; Lees er bij StackOverflow maar eens meerdere insteken over. De haren rijzen je soms ten berge.
Natuurlijk PHP en de smalende reacties, die je al krijgt van de eerste jaars IT studenten development (de rapid topology boys and girls in de dop met hun Appel laptoppies) kun je ook uitleggen als "vooroordeel" tegen de goedwillende amateur CMS gebruiker.
Maar omdat degenen, die het gebruiken, het vaak zonder terdege kennis van zaken toepassen, gaat er zeer vaak nogal het een en ander mis bij de gemiddelde Word Press website opbouw. Weer de goeden niet te na gesproken, maar helaas een dikke meerderheid levert brodddelwerk van een laag security gehalte.
Hele verhaal is ook probleemloos te transplanteren naar Magento websites overigens, doe maar eens een https://www.magereport.com/ scannetje. Lekke webshoppies genoeg. We herinneren ons allemaal nog de zogenaamde "De Groot" lijst nog wel.
Hoofdprobleem onwetendheid, onbenul en soms pure lamlendigheid (geen of onvoldoende updates, niet de laatste patches, geen best practices toegepast).
De gevolgen zijn met een shodannetje een SQL evaluatietje en een gericht dorkje wel in beeld te brengen. Gevolgen van e.e.a. met name kwetsbaarheid, misbruik, eindgebruiker ellende en zo verder en zo voort. Wanneer gaan we ons eens eindelijk richten op de minimaal gevraagde basale VEILIGHEID van een op het web geplempte webstek?
luntrus (zich zeer vaak voelende als de spreekwoordelijke roepende in de woestijn).
Ik zie niet wat de veiligheid van PHP als programmeertaal te maken heeft met 2 amateuristische CMSsen.Bij de prutsers, de goedwillenden en de gedoogden als onze variant op de "good, the bad & the ugly" levert PHP vaak een raar soms potentieel gevaarlijk code-brouwsel op . {; Lees er bij StackOverflow maar eens meerdere insteken over. De haren rijzen je soms ten berge.
Natuurlijk PHP en de smalende reacties, die je al krijgt van de eerste jaars IT studenten development (de rapid topology boys and girls in de dop met hun Appel laptoppies) kun je ook uitleggen als "vooroordeel" tegen de goedwillende amateur CMS gebruiker.
Maar omdat degenen, die het gebruiken, het vaak zonder terdege kennis van zaken toepassen, gaat er zeer vaak nogal het een en ander mis bij de gemiddelde Word Press website opbouw. Weer de goeden niet te na gesproken, maar helaas een dikke meerderheid levert brodddelwerk van een laag security gehalte.
Hele verhaal is ook probleemloos te transplanteren naar Magento websites overigens, doe maar eens een https://www.magereport.com/ scannetje. Lekke webshoppies genoeg. We herinneren ons allemaal nog de zogenaamde "De Groot" lijst nog wel.
Hoofdprobleem onwetendheid, onbenul en soms pure lamlendigheid (geen of onvoldoende updates, niet de laatste patches, geen best practices toegepast).
De gevolgen zijn met een shodannetje een SQL evaluatietje en een gericht dorkje wel in beeld te brengen. Gevolgen van e.e.a. met name kwetsbaarheid, misbruik, eindgebruiker ellende en zo verder en zo voort. Wanneer gaan we ons eens eindelijk richten op de minimaal gevraagde basale VEILIGHEID van een op het web geplempte webstek?
luntrus (zich zeer vaak voelende als de spreekwoordelijke roepende in de woestijn).
Dat is zoiets zeggen als dat alle autos onveilig zijn omdat metaal kan indeuken als je het niet verstevigd met een constructie.
03-11-2017, 08:16 door
[Account Verwijderd]
[Verwijderd]
03-11-2017, 08:24 door
[Account Verwijderd]
-
Bijgewerkt: 03-11-2017, 08:36
[Verwijderd]
Door Neb Poorten:
Je zit met PHP nog in de bronstijd, waar je je erover verbaast dat alle constructies die je maakt uiteindelijk instorten.
Dus hiss, hiss, hack jezelf de vergetelheid in met je speelgoedtaaltje. Brons is geen staal en zal dat ook nooit worden.
Door Anoniem:
Dat is zoiets zeggen als dat alle autos onveilig zijn omdat metaal kan indeuken als je het niet verstevigd met een constructie.
Door Anoniem: Neb Poorten heeft grotendeels wel gelijk, zij het dan ook voorwaardelijk.
...
luntrus (zich zeer vaak voelende als de spreekwoordelijke roepende in de woestijn).
Ik zie niet wat de veiligheid van PHP als programmeertaal te maken heeft met 2 amateuristische CMSsen....
luntrus (zich zeer vaak voelende als de spreekwoordelijke roepende in de woestijn).
Dat is zoiets zeggen als dat alle autos onveilig zijn omdat metaal kan indeuken als je het niet verstevigd met een constructie.
Je zit met PHP nog in de bronstijd, waar je je erover verbaast dat alle constructies die je maakt uiteindelijk instorten.
Dus hiss, hiss, hack jezelf de vergetelheid in met je speelgoedtaaltje. Brons is geen staal en zal dat ook nooit worden.
Nogmaals, kom eens met een onderbouwing, we kunnen je 24/7-ge-rant allemaal niet serieus nemen op deze manier.
Door Neb Poorten:
Ik doe gewoon wat door jou ('Anoniem') gevraagd werd. Ben je dat alweer vergeten? Zie dan je eigen quote.
Ik hoef niet ver te komen want ik ben al ver gekomen. Bij de techologiereuzen waar ik heb gewerkt hoef je niet aan te komen met PHP want dan wordt je met pek en veren het pand uitgejaagd. Of op z'n minst gewoon uitgelachen.
Door Anoniem:
Hou toch eens op met dit gezeur.
Door Neb Poorten:
WordPress is net als bijna alle PHP applicaties structureel onveilig! Speelgoed voor kleine kinderen dat PHP!
Door Anoniem: Uhm, het is nu wel de bedoeling dat nu iemand reageert over hoe onveilig Wordpress is natuurlijk. ;-)
WordPress is net als bijna alle PHP applicaties structureel onveilig! Speelgoed voor kleine kinderen dat PHP!
Hou toch eens op met dit gezeur.
Ik doe gewoon wat door jou ('Anoniem') gevraagd werd. Ben je dat alweer vergeten? Zie dan je eigen quote.
Door Anoniem: Leg uit waarom je dit altijd met tranen in je ogen komt verkondigen, en leg het uit in detail, kom met bronnen, ervaringen etc. Met onzinnige oneliners kom je niet ver in het level Nebje.
Ik hoef niet ver te komen want ik ben al ver gekomen. Bij de techologiereuzen waar ik heb gewerkt hoef je niet aan te komen met PHP want dan wordt je met pek en veren het pand uitgejaagd. Of op z'n minst gewoon uitgelachen.
PHP weglachen zegt genoeg over deze "reuzen" waar je hebt gewerkt.
PHP is zo goed als de engineers die het schrijven, zoals elke andere taal.
Jammer dat mensen zonder ervaring met iets zo snel dingen opzij schuiven.
Doet me denken aan alle recentelijke flame-wars tussen apple en android fanboys.
Er is over PHP onveiligheid overigens genoeg te vinden: https://www.owasp.org/index.php/PHP_Security_Cheat_Sheet
Waarom denk je dat Sucuri's Daniel Cid met een speciale php decoder komt of met dit: https://www.unphp.net/decode/788b15af31089576dfcc553a4eddedd0/
en https://github.com/bartblaze/PHP-backdoors/blob/master/PHP%20tools.md
Op PHP gebaseerde CMS erft natuurlijk dit soort ellende van PHP.
Ik zie al veertien jaar Word Press CMS websites en de narigheid die daarbij te voorschijn komt, wil je liever niet weten,
tot grote Amerikaanse CDNs toe, die geloof het of niet nog RCA4 draaien, dat je beter in je browser kunt blokkeren.
PHP is niet de soort van drop, die verboden had moeten worden, maar wees er wel voorzichtig mee.
luntrus
Waarom denk je dat Sucuri's Daniel Cid met een speciale php decoder komt of met dit: https://www.unphp.net/decode/788b15af31089576dfcc553a4eddedd0/
en https://github.com/bartblaze/PHP-backdoors/blob/master/PHP%20tools.md
Op PHP gebaseerde CMS erft natuurlijk dit soort ellende van PHP.
Ik zie al veertien jaar Word Press CMS websites en de narigheid die daarbij te voorschijn komt, wil je liever niet weten,
tot grote Amerikaanse CDNs toe, die geloof het of niet nog RCA4 draaien, dat je beter in je browser kunt blokkeren.
PHP is niet de soort van drop, die verboden had moeten worden, maar wees er wel voorzichtig mee.
luntrus
@ Neb Poorten,
De controverse over hoe gevaarlijk PHP scripts in de werkelijkheid nu werkelijk zijn, blijft overeind,
lees hier eens bij voorbeeld: http://www.computeridee.nl/forum/#!/topic/beveiligen-met-php-onveilig/
Een oudere bijdrage daar (2014), maar verrassend, komen wij daar onze vriend, karma, niet opnieuw tegen?
luntrus
De controverse over hoe gevaarlijk PHP scripts in de werkelijkheid nu werkelijk zijn, blijft overeind,
lees hier eens bij voorbeeld: http://www.computeridee.nl/forum/#!/topic/beveiligen-met-php-onveilig/
Een oudere bijdrage daar (2014), maar verrassend, komen wij daar onze vriend, karma, niet opnieuw tegen?
luntrus
05-11-2017, 09:55 door
[Account Verwijderd]
[Verwijderd]
05-11-2017, 09:56 door
[Account Verwijderd]
-
Bijgewerkt: 05-11-2017, 09:56
[Verwijderd]
Beste Karma, het grapje terzijde zij ons vergeven....
Terug on-topic - doch om van een taal te beweren dat hij inherent onveilig is, dat is nogal wat. Dan moeten er voor de nieuwelingen bij deze taal nog al wat mijnenvelden te doorkruisen zijn, opdat ze met de code niet van 1 naar 0 gaan.
Dit speelt zeker ook op het vlak van bij voorbeeld applicatie veiligheid.
Lees hier eens na wat er in dit verband over gezegd wordt bij StackOverflow: https://stackoverflow.com/questions/1527172/how-secure-is-php
(bron links credits op StackOverflows gaan naar: cheeeckysoft -> links vloor hardened PHP en sanitized PHP: Suhosin http://www.hardened-php.net/suhosin/ & Esser's Month of PHP Bugs project http://www.php-security.org/
Als dit zo vaak wordt aangehaald, deze stelling, dan hebben we tenminste toch wel een heel klein beetje een punt.
luntrus
Terug on-topic - doch om van een taal te beweren dat hij inherent onveilig is, dat is nogal wat. Dan moeten er voor de nieuwelingen bij deze taal nog al wat mijnenvelden te doorkruisen zijn, opdat ze met de code niet van 1 naar 0 gaan.
Dit speelt zeker ook op het vlak van bij voorbeeld applicatie veiligheid.
Lees hier eens na wat er in dit verband over gezegd wordt bij StackOverflow: https://stackoverflow.com/questions/1527172/how-secure-is-php
(bron links credits op StackOverflows gaan naar: cheeeckysoft -> links vloor hardened PHP en sanitized PHP: Suhosin http://www.hardened-php.net/suhosin/ & Esser's Month of PHP Bugs project http://www.php-security.org/
Als dit zo vaak wordt aangehaald, deze stelling, dan hebben we tenminste toch wel een heel klein beetje een punt.
luntrus
Obfuscatie is bij voorbeeld een route die je bij PHP NIET zou moeten nemen (zogeheten 'security through obscurity'), het kan als extra beveiligingslaag wel eens worden ingezet, maar het voegt heel wat complicaties toe, die niet altijd qua security gemakkelijk te overzien of in te schatten zijn.
Dan kan het gaan over snelheid en gedrag (performance), cross browser en cross platform barrières en issues, er kunnen fouten worden geïntroduceerd via obfuscatie, die niet zo makkelijk te herkennen zijn, omdat je hierbij een andere syntax of een andere tool gaat gebruiken.
(info bron = Artur Ejsmont, waar hij zijn bezwaren uit tegen het gebruik van Virtual Meta-Scripting Bytecode).
Dan kan het gaan over snelheid en gedrag (performance), cross browser en cross platform barrières en issues, er kunnen fouten worden geïntroduceerd via obfuscatie, die niet zo makkelijk te herkennen zijn, omdat je hierbij een andere syntax of een andere tool gaat gebruiken.
(info bron = Artur Ejsmont, waar hij zijn bezwaren uit tegen het gebruik van Virtual Meta-Scripting Bytecode).
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
