image

300.000 WordPress-sites getroffen door backdoor in plug-in

woensdag 20 december 2017, 10:49 door Redactie, 22 reacties

Meer dan 300.000 WordPress-sites zijn getroffen door een backdoor die in een populaire plug-in aanwezig was. Het gaat om de plug-in met de naam Captcha. De plug-in, die invoervelden op WordPress-sites van een captcha voorziet, werd oorspronkelijk door softwarebedrijf BestWebSoft beheerd.

Op 5 september kreeg Captcha echter een nieuwe eigenaar. Deze nieuwe eigenaar heeft in het verleden vaker WordPress-plug-ins overgenomen om voor dubieuze zaken te gebruiken en van backdoors te voorzien. In dit geval zorgde een aanpassing van Captcha ervoor dat de plug-in een zip-bestand downloadde waarmee de ontwikkelaar van de plug-in beheerderstoegang tot ruim 300.000 WordPress-sites kreeg.

De installatiecode van de backdoor is echter ongeauthenticeerd, wat inhoudt dat iedereen die kan aanroepen, zo waarschuwt securitybedrijf Wordfence. Het bedrijf zal over 30 dagen de technische details openbaar maken van hoe de backdoor precies werkt. De backdoor zat verborgen in versie 4.3.6 tot en met versie 4.4.4. Het WordPress.org plug-inteam heeft inmiddels een update uitgebracht die de backdoor verhelpt. Toch krijgen WordPress-beheerders het advies van Wordfence om de plug-in te verwijderen.

Reacties (22)
20-12-2017, 11:33 door Krakatau
Er is ondertussen toch wel genoeg gewaarschuwd voor PHP en met PHP-stacks gebouwde websites. Gebruik Java EE of desnoods C# .NET om dit soort problemen te voorkomen.
20-12-2017, 11:42 door Anoniem
Door Krakatau: Er is ondertussen toch wel genoeg gewaarschuwd voor PHP en met PHP-stacks gebouwde websites. Gebruik Java EE of desnoods C# .NET om dit soort problemen te voorkomen.

Sure, in Java kan je geen backdoor bouwen ....

Lezen is een kunst, begrijpend lezen nog meer.
20-12-2017, 11:50 door MathFox
Door Krakatau: Er is ondertussen toch wel genoeg gewaarschuwd voor PHP en met PHP-stacks gebouwde websites. Gebruik Java EE of desnoods C# .NET om dit soort problemen te voorkomen.
Dit probleem heeft niets met de programmeertaal te maken. Als ik Microsoft Update overneem (inclusief sleutels om de updates te ondertekenen) kan ik op miljoenen computers software van mijn keus installeren.
20-12-2017, 12:10 door Krakatau
Door MathFox:
Door Krakatau: Er is ondertussen toch wel genoeg gewaarschuwd voor PHP en met PHP-stacks gebouwde websites. Gebruik Java EE of desnoods C# .NET om dit soort problemen te voorkomen.
Dit probleem heeft niets met de programmeertaal te maken. Als ik Microsoft Update overneem (inclusief sleutels om de updates te ondertekenen) kan ik op miljoenen computers software van mijn keus installeren.

Alleen kan je Microsoft Update niet overnemen want het is niet in PHP geschreven...
20-12-2017, 12:11 door Whacko
Door MathFox:
Door Krakatau: Er is ondertussen toch wel genoeg gewaarschuwd voor PHP en met PHP-stacks gebouwde websites. Gebruik Java EE of desnoods C# .NET om dit soort problemen te voorkomen.
Dit probleem heeft niets met de programmeertaal te maken. Als ik Microsoft Update overneem (inclusief sleutels om de updates te ondertekenen) kan ik op miljoenen computers software van mijn keus installeren.
Inderdaad MathFox, er wordt hier veel te veel gezeikt over PHP als taal terwijl het duidelijk in de meeste artikelen staat dat dat er niks mee te maken heeft.
Ook hier inderdaad. Ik word er zo langzamerhand een beetje moe van.
20-12-2017, 12:14 door Whacko
Door Krakatau:
Door MathFox:
Door Krakatau: Er is ondertussen toch wel genoeg gewaarschuwd voor PHP en met PHP-stacks gebouwde websites. Gebruik Java EE of desnoods C# .NET om dit soort problemen te voorkomen.
Dit probleem heeft niets met de programmeertaal te maken. Als ik Microsoft Update overneem (inclusief sleutels om de updates te ondertekenen) kan ik op miljoenen computers software van mijn keus installeren.

Alleen kan je Microsoft Update niet overnemen want het is niet in PHP geschreven...
De plugin is niet overgenomen via een lek in PHP. Het BEHEER van de plugin is overgenomen en er is kwaadaardige code toegevoegd aan de BRON.
Als een bedrijf het beheer van Windows Update over zou nemen (zou de grootste technologische overname ooit zijn en over mijarden gaan, maargoed), dan zou deze partij er kwaadaardige code aan toe kunnen voegen. DAT is wat hier gebeurd is. Dus stop in godsnaam met stemmingmakende reacties.
20-12-2017, 12:30 door Anoniem
@ Whacko,

En wie denk je dat dat juist proberen te doen met hun zero-days, waar soms 20 jaar op gezeten wordt?
Maar daar horen we weer niets over, want "too big too fail".

De olifant in de kamer zien we liever niet. Er is er meer dan een olifant en ze lopen onzichtbaar rond.
Er lopen meerdere olifanten: de Google olifant, de Verizon olifant, de M$ Mastodont, enz.

De NSA is de olifantentemmer van al dit soort multinationals met medewerking van en soms met zachte drang,
of desnoods via een "gag-order".

Alleen gaat het niet als bij een CMS, melden en patchen of updaten. Kon dat maar in de surveillancestaat.
Een grote big reset van alles wat goed verpest werd.

Daarom zal het nooit meer lukken de infrastructuur als zodanig echt veilig(er) te maken.
20-12-2017, 12:59 door Whacko
Door Anoniem: @ Whacko,

En wie denk je dat dat juist proberen te doen met hun zero-days, waar soms 20 jaar op gezeten wordt?
Maar daar horen we weer niets over, want "too big too fail".

De olifant in de kamer zien we liever niet. Er is er meer dan een olifant en ze lopen onzichtbaar rond.
Er lopen meerdere olifanten: de Google olifant, de Verizon olifant, de M$ Mastodont, enz.

De NSA is de olifantentemmer van al dit soort multinationals met medewerking van en soms met zachte drang,
of desnoods via een "gag-order".

Alleen gaat het niet als bij een CMS, melden en patchen of updaten. Kon dat maar in de surveillancestaat.
Een grote big reset van alles wat goed verpest werd.

Daarom zal het nooit meer lukken de infrastructuur als zodanig echt veilig(er) te maken.
Lekker on-topic weer. Ik vouw alvast weer een alu-hoedje voor je.
20-12-2017, 13:05 door Anoniem
Door Whacko:
Door Krakatau:
Door MathFox:
Door Krakatau: Er is ondertussen toch wel genoeg gewaarschuwd voor PHP en met PHP-stacks gebouwde websites. Gebruik Java EE of desnoods C# .NET om dit soort problemen te voorkomen.
Dit probleem heeft niets met de programmeertaal te maken. Als ik Microsoft Update overneem (inclusief sleutels om de updates te ondertekenen) kan ik op miljoenen computers software van mijn keus installeren.

Alleen kan je Microsoft Update niet overnemen want het is niet in PHP geschreven...
De plugin is niet overgenomen via een lek in PHP. Het BEHEER van de plugin is overgenomen en er is kwaadaardige code toegevoegd aan de BRON.
Als een bedrijf het beheer van Windows Update over zou nemen (zou de grootste technologische overname ooit zijn en over mijarden gaan, maargoed), dan zou deze partij er kwaadaardige code aan toe kunnen voegen. DAT is wat hier gebeurd is. Dus stop in godsnaam met stemmingmakende reacties.

Inderdaad.
20-12-2017, 14:00 door linuxpro
Door Krakatau: Er is ondertussen toch wel genoeg gewaarschuwd voor PHP en met PHP-stacks gebouwde websites. Gebruik Java EE of desnoods C# .NET om dit soort problemen te voorkomen.

Hoop dat je niet ergens in de IT werkt of ontwikkelaar bent, ik zou serieus aan je kwaliteiten gaan twijfelen. Alsof de keuze van een taal iets te maken heeft met de mogelijkheid om er een backdoor in te bouwen. Serieus...
20-12-2017, 21:34 door Krakatau
Door linuxpro:
Door Krakatau: Er is ondertussen toch wel genoeg gewaarschuwd voor PHP en met PHP-stacks gebouwde websites. Gebruik Java EE of desnoods C# .NET om dit soort problemen te voorkomen.

Hoop dat je niet ergens in de IT werkt of ontwikkelaar bent, ik zou serieus aan je kwaliteiten gaan twijfelen.

Natuurlijk werk ik wel als ontwikkelaar. Maar niet in PHP.

Door linuxpro: Alsof de keuze van een taal iets te maken heeft met de mogelijkheid om er een backdoor in te bouwen. Serieus...

Nou, dat gaat vaak samen. De keus voor een amateuristische programmeertaal als PHP is er een van voor een dubbeltje op de eerste rang te willen zitten. PHP ontwikkelaars zijn nl. goedkoop want ze hoeven eigenlijk nergens verstand van te hebben. De amateuristische, knoeierige gedachtengang wordt natuurlijk gebruikt bij het kiezen van bv. wachtwoorden en het beveiligen van instrastructuur. En dan vallen ze, bij bosjes, die plug-ins, sites, etc.
20-12-2017, 21:54 door MathFox - Bijgewerkt: 20-12-2017, 21:54
Door Krakatau:

Natuurlijk werk ik wel als ontwikkelaar. Maar niet in PHP.

Door linuxpro: Alsof de keuze van een taal iets te maken heeft met de mogelijkheid om er een backdoor in te bouwen. Serieus...

Nou, dat gaat vaak samen. De keus voor een amateuristische programmeertaal als PHP is er een van voor een dubbeltje op de eerste rang te willen zitten. PHP ontwikkelaars zijn nl. goedkoop want ze hoeven eigenlijk nergens verstand van te hebben.

Ik ben het met je eens dat PHP niet mijn eerste keus is voor het maken van een veilige website. Maar (en dat geldt in iedere programmeertaal) er is een groot verschil tussen wat een competente programmeer kan bereiken en wat een prutser er van bakt. Geef de schuld niet aan de programmeertaal, maar aan het management dat voor een dubbeltje op de eerste rij wil zitten; goedkope programmeurs, geen geld voor testen, code reviews, etc.

De amateuristische, knoeierige gedachtengang wordt natuurlijk gebruikt bij het kiezen van bv. wachtwoorden en het beveiligen van instrastructuur. En dan vallen ze, bij bosjes, die plug-ins, sites, etc.

En hier noem je problemen die je ook met Java en C# kunt hebben. Geef de schuld aan management en systeembeheer!
20-12-2017, 23:09 door Anoniem
Door Krakatau: Nou, dat gaat vaak samen. De keus voor een amateuristische programmeertaal als PHP is er een van voor een dubbeltje op de eerste rang te willen zitten. PHP ontwikkelaars zijn nl. goedkoop want ze hoeven eigenlijk nergens verstand van te hebben. De amateuristische, knoeierige gedachtengang wordt natuurlijk gebruikt bij het kiezen van bv. wachtwoorden en het beveiligen van instrastructuur. En dan vallen ze, bij bosjes, die plug-ins, sites, etc.
Tja. Ik heb nooit met PHP gewerkt, en er dingen over gelezen die mijn nekharen overeind doen staan. Maar ik heb wel met talen en platforms (van voor PHP) gewerkt die krakkemikkig, slecht ontworpen en vol conceptuele blunders zaten, met teams vol mensen die het niet in zich hadden om te beseffen wat er allemaal niet aan klopte, en een minderheid van mensen die dat maar al te goed doorhadden die het geheel in goede banen wisten te leiden. Ik heb meegemaakt dat dergelijke teams systemen in de lucht wisten te houden - en goed ook - waar soortgelijke andere bedrijven tien keer zoveel mensen voor nodig hadden. En dat is nog een voorzichtige schatting, ik heb soms dingen gehoord die suggereerden dat het ook wel eens een factor honderd was.

Ik vind het een verademing om te werken met een goed ontworpen programmeertaal, goed ontworpen libraries en goed ontworpen frameworks. Maar vanuit mijn ervaringen denk ik niet dat dat net zo zwaar weegt als een goed team. En een goed team bestaat niet per se alleen maar uit toppers, de beste ervaringen heb ik juist met teams van heel diverse mensen, waar de een misschien een geniale programmeur is maar een ander, hoewel technisch gezien niet al te snugger, een geweldige inbreng levert om de sfeer in het team goed te houden. En reken maar dat de mensen die technisch meer kunnen vleugeltjes krijgen als de sfeer goed is. Ze hebben zelf lang niet altijd door hoezeer het de goede sfeer is die ze beïnvloedt, trouwens.

Door dat soort dynamiek is het mogelijk om op een twijfelachtige basis toch indrukwekkende applicaties te bouwen. Ik zeg niet dat een betere basis niet veel beter was geweest, en ook niet dat een beveiligingslek in de basis niet echt een beveiligingslek is, maar onderschat ondertussen ook niet wat een team van (in diverse opzichten) goede mensen op een zwakke basis nog kan bouwen.

Vanuit die achtergrond kan ik me voorstellen dat op basis van PHP goede systemen gebouwd worden, zelfs als PHP in een hoop opzichten bagger is.
21-12-2017, 10:17 door Krakatau
Door Anoniem: Vanuit die achtergrond kan ik me voorstellen dat op basis van PHP goede systemen gebouwd worden, zelfs als PHP in een hoop opzichten bagger is.

Dat is net zo'n argument als roken kan geen kwaad want mijn opa rookte als een ketter en die is honderd geworden.
21-12-2017, 12:47 door Whacko
Door Krakatau:
Door Anoniem: Vanuit die achtergrond kan ik me voorstellen dat op basis van PHP goede systemen gebouwd worden, zelfs als PHP in een hoop opzichten bagger is.

Dat is net zo'n argument als roken kan geen kwaad want mijn opa rookte als een ketter en die is honderd geworden.

Nee helemaal niet, dat is de kromste vergelijking die je kunt maken.

Je kunt het beter vergelijken als het bouwen van een huis door alleen hout te gebruiken (PHP), en een ander huis te bouwen van steen en beton (Java, .NET). En dan kijken hoe het huis het doet in een orkaan. Klaar.
Het PHP huis kan nog steeds degelijk zijn, maar zal niet in alle omstandigheden overeind blijven. Betekent niet dat het huis slecht gebouwd, ontworpen is.
21-12-2017, 13:09 door MathFox
Door Whacko:Je kunt het beter vergelijken als het bouwen van een huis door alleen hout te gebruiken (PHP), en een ander huis te bouwen van steen en beton (Java, .NET). En dan kijken hoe het huis het doet in een orkaan. Klaar.
Het PHP huis kan nog steeds degelijk zijn, maar zal niet in alle omstandigheden overeind blijven. Betekent niet dat het huis slecht gebouwd, ontworpen is.
En een slecht gebouwde bakstenen muur kan in een orkaan ook omvergeblazen worden.
21-12-2017, 14:24 door Whacko
Door MathFox:
Door Whacko:Je kunt het beter vergelijken als het bouwen van een huis door alleen hout te gebruiken (PHP), en een ander huis te bouwen van steen en beton (Java, .NET). En dan kijken hoe het huis het doet in een orkaan. Klaar.
Het PHP huis kan nog steeds degelijk zijn, maar zal niet in alle omstandigheden overeind blijven. Betekent niet dat het huis slecht gebouwd, ontworpen is.
En een slecht gebouwde bakstenen muur kan in een orkaan ook omvergeblazen worden.
Ja daar heb je helemaal gelijk in. En dat is wat ik probeer over te brengen.
22-12-2017, 11:12 door Krakatau
Door Whacko:
Door MathFox:
Door Whacko:Je kunt het beter vergelijken als het bouwen van een huis door alleen hout te gebruiken (PHP), en een ander huis te bouwen van steen en beton (Java, .NET). En dan kijken hoe het huis het doet in een orkaan. Klaar.
Het PHP huis kan nog steeds degelijk zijn, maar zal niet in alle omstandigheden overeind blijven. Betekent niet dat het huis slecht gebouwd, ontworpen is.
En een slecht gebouwde bakstenen muur kan in een orkaan ook omvergeblazen worden.
Ja daar heb je helemaal gelijk in. En dat is wat ik probeer over te brengen.

Kom, kom, stelletje PHP-knuffelaars... Al die knullige houten huisjes gaan in een orkaan totaal omver. Natuurlijk, er zal wel een betonstalen huis tussen zitten wat ook omgaat maar je zal zien dat nét dat gebouw door een ex houten huisjesbouwer is neergezet.

Samenvattend: Java EE (en ASP.NET) softwareconstructies kunnen soms slecht zijn maar de professionele programmeertaal en programmeeromgeving behoeden je voor veel ellende en de programmeurs zijn gemiddeld genomen veel capabeler (met hetzelfde resultaat). PHP hoort thuis in de thuis/hobby omgeving, waar het is begonnen (PHP stond voor Personal Home Page, weet je nog?)
22-12-2017, 13:09 door MathFox
Door Krakatau:
Samenvattend: Java EE (en ASP.NET) softwareconstructies kunnen soms slecht zijn maar de professionele programmeertaal en programmeeromgeving behoeden je voor veel ellende en de programmeurs zijn gemiddeld genomen veel capabeler (met hetzelfde resultaat). PHP hoort thuis in de thuis/hobby omgeving, waar het is begonnen (PHP stond voor Personal Home Page, weet je nog?)

Krakatau, heb je ook een oplossing voor het probleem van het toevoegen van malware aan een software update door de reguliere leverancier van de software of updates? Dan kunnen we on-topic verder.
23-12-2017, 17:45 door Tha Cleaner
Ik wou iets toevoegen, maar eigen geeneens zin in.

Een discussie voeren met personen die oogkleppen op hebben, is zonde van mijn tijd.

Ik zeg allemaal vrede op aarde..... En vrolijk kerstfeest.
24-12-2017, 10:30 door Krakatau - Bijgewerkt: 24-12-2017, 10:30
Door MathFox:
Door Krakatau:
... PHP hoort thuis in de thuis/hobby omgeving, waar het is begonnen (PHP stond voor Personal Home Page, weet je nog?)

Krakatau, heb je ook een oplossing voor het probleem van het toevoegen van malware aan een software update door de reguliere leverancier van de software of updates? Dan kunnen we on-topic verder.

Geen hobbyisten oplossingen zoals PHP gebruiken op die update servers! Dat is on topic!
24-12-2017, 12:51 door Anoniem
Door Krakatau:
Door MathFox:
Door Krakatau:
... PHP hoort thuis in de thuis/hobby omgeving, waar het is begonnen (PHP stond voor Personal Home Page, weet je nog?)

Krakatau, heb je ook een oplossing voor het probleem van het toevoegen van malware aan een software update door de reguliere leverancier van de software of updates? Dan kunnen we on-topic verder.

Geen hobbyisten oplossingen zoals PHP gebruiken op die update servers! Dat is on topic!
Iedere hobbie oplossing moet onderhouden worden. Welke taal daarin gebruikt wordt, maakt daarin niet uit. Tenzij je nergens voor open staat, en dus eigenlijk niet verder kijkt hoe de wereld er er uit ziet, zie je dat helaas niet.

Is PHP een Enterprise programeertaal. Zeker niet, is het alleen een hobby programmeertaal, ook zeker niet. Immers er draaien hele grote sites op PHP zonder enige issue. Je moet het alleen wel willen zien. En sommige personen willen dit alleen niet zien, en proberen hun gelijk te halen. Kosten wat het kost. Oogkleppen is daar inderdaad een hele mooie definitie voor.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.