Op zich prima, maar dan moeten ook de plugins op orde zijn. Laat dat nou niet altijd op orde zijn.
Als je dan toch WordPress gebruikt wees dan heel kritisch op de plugins.

Nou er kan nog heel wat meer mis gaan met een Word Press, een op php-gebaseerd CMS.

Behalve de plug-ins, geldt dat ook voor de settings, als user enumeration en directory listing,
en dan die op aan laten staan bijvoorbeeld. Een ware traktatie voor elke rechtgeaarde aanvaller.

Verouderde versies draaien en niet patchen en updaten, ook inkoppertjes.

Hoe gelikt ook soms, het blijft ook vaak het veredelde plak- en knipwerk.
Levensgevaarlijk in handen van de veredelde amateur.

Afvoeren dus die af te voeren en verouderde of zelfs verlaten code.

Scan je WP site eens hier op http://wenhint.io en zie soms de honderden verbetertips.

luntrus

De programmeer elite beschouwd PHP als een van de slechtste talen ooit geschreven.
Heel veel zorginstellingen gebruiken deze vorige eeuw technologie.

De beste stuurlui staan zo te zien nog steeds aan wal!

Welbeschouwd is PHP inderdaad niet goed. Vanuit architectuur hoort content, formatting en functionaliteit volledig gescheiden te zijn. PHP nodigt uit om scripting in scripting in scripting toe te passen, en je moet daadwerkelijk een programmeer wizard zijn om dit netjes te doen.

PHP is - net zoals ASP - gewoon niet goed genoeg. W3C heeft diverse verbeteringen die superieur zijn aan PHP. Denk eens aan de lagen XML > XSLT > HTML > CSS2. Zo hoort het.

Hmm. We kunnen die website niet vinden.
Dat komt nou ook niet echt betrouwbaar over :-)

Echt, met dit soort uitspraken val je behoorlijk door de mand.

En hoe hoort het volgens jou dan?

En toen was het stil.

Is een beetje vreemd om dat dan aan de taal te verwijten. Jaren geleden wel eens wat gemaakt mbv TemplatePower
dat was geschreven in PHP maar daar had men hier wel beter over nagedacht. Maar het wordt niet meer onderhouden.

Je staat echt niet aan wal als je PHP verguist! Hobbyistentaaltje! Zoals iemand hier wel eens schrijft: "lichte software voor consumententoepassingen in een professionele setting gebruiken". En dat is precies wat er aan de hand is. Met veel scriptkiddy geknoei tot gevolg. Aan professionals: besef goedkoop is duurkoop!

Ik vind het heel moeilijk te geloven dat rond de 38% van alle websites in de wereld zónder cms draaien. Het "None - 38.4%" in W3Techs' tabel moet dan waarschijnlijk gelezen worden als: "No CMS, or(!) not able to find fingerpints of the CMSs that we(!) know about and use in our tests".

Inderdaad, bijvoorbeeld Tridion en Roxen staan er niet tussen.

Gelukkig is een website zoals Facebook ook gebouwd door PHP kiddies.

Nee ik geloof die 40% niet.

Maar deze professionals hoor je niet, wel de zelf benoemde specialisten!

Probeer webhint.io eens

PyCharm heeft interne validators, met voor bijvoorbeeld PEP6 voor Python.

Er zijn diverse plug-ins beschikbaar, zo ook voor HTML5, XML, XSLT, etc.

Altijd maar dat PHP bashen.. Dat heeft er niets mee te maken.. Ook in andere talen, zoals Java, kun je bagger coden, als je niet in staat bent iets degelijks te programmeren...

Je hebt werkelijk geen flauw idee waar je het over hebt. Wat heeft het W3C in godsnaam te maken met PHP... Gooi er een paar termen in en dan klinkt het interesant?

Het wordt tijd dat we allemaal hier het boek eens gaan lezen van Rian van Rijbroek met een woord achterin van Dr. Ben van L. CMC. Dan wordt Nederland en de wereld vast in ieder geval via de blockchain gered. Ook gelijk geen IoT problemen meer.

Dan hoeven we niet meer te kijken naar sources en sinks in de script code, naar afvoerbare jQuery bibliotheken volgens Erlend Oftedal, de maker van Retire.JS. Dan gaan we weer drie uur een toets maken als technische IT 3, terwijl de lambda generator reeds online te vinden valt ;) (Maar ja toch goed om het inzichtelijk te maken, want wiskunde de moeder aller wetenschappen, Bella Mathematica i Matematici).

Kunnen we alle Word Press websites met verouderde en onveilige versies en met verkeerde settings en verouderde en/of verlaten plug-in code rustig vergeten. Volgens de fanboys is er toch niets aan de hand. Heeft een ander gedaan, niet zij..

Dan hoeven we niet meer te luisteren naar researcher, Willem de Groot met zijn magereport scans aangaande de ellende op webshops met Magenta CMS, ja ook op PHP gebaseerd en ja uitgefaseerd Magenta 1 nog volop op het net te vinden.

Dan hoeft niemand meer iets te rapporteren via URLHaus, want de developers van brakke sites houden ons immers veilig.

En kijk wat er allemaal aan online bronnen verloren is gegaan inmiddels, urlquery dot net (gestopt na de zoveelste cybercriminele aanval en navenante outtime), Jeek's javascript analyse scanner aangaande runtime indicaties, Redleg's online scanner van Interwebz verdwenen. Cloaking scanners (waar een website iets anders oplepelt aan Google dan aan Googlebot) je zoekt je een aap om ze te vinden.

Moeten we alles maar vergeten, wat Sucuri's heeft gemist enz. enz.

Alles straks in handen van Google en volgens het Google paradigma met Virus Total detectie en FP's als laatste woord?

We zijn lui geworden, we zoeken het zelf niet meer op, pluizen het niet meer na, en we zullen er dan ook naar vergaan.

Nederland, een natie die vervolgens is wegggereguleerd van de wereldkaart, net als tegenwoordig bij vele naties.

Oh, en Vicktor, bedankt voor je reactie op mijn slip of the keyboard.

luntrus

Ik heb de gratis WordPress website geprobeerd, en daar heel snel afscheid van genomen, ik vond het voor mij als leek gewoon shit vergeleken bij het gebruiksgemak van de Googlesites. Ook gratis, en in mijn geval als gebruiksvriendelijk ervaren.

Je praat voor jezelf natuurliijk. Ik zie mensen die willen weten waarom iets niet goed werkt of onveilig is en besteden daar veel tijd aan. Ik zie ook mensen die niks willen weten en alleen maar rebooten. Die laatste categorie hoort echt bij een typisch ecosysteem (uitzonderingen daargelaten)

Het ecosysteem van het veredelde knip- en plakwerk is het dus niet.
Waarom zijn er cheatsheets? Waarom is er SNYK? Gecomponeerde code is beter, error hunting is zinvol. Check de DOM.
luntrus

Zoals luntrus reeds vermeldde: SNYK for PHP.

Re: https://snyk.io/vuln/npm:php_codesniffer_master
en https://support.snyk.io/hc/en-us/articles/360003817397-Snyk-for-PHP

Browser- extensie: vulners webscanner alert voor kwetsbaarheden, voor PHP.
PHP kwetsbaarheden database: https://vulners.com/php

Helemaal niet verkeerd dat SNYK, net als vulners.
Zit dus niet in de war," uszy do góry!" ((uszy do góry = opgestoken oren) als bij Snyk).

#sockpuppet

En wat als je dit tegen komt?
Gevonden op een willekeurige Microsoft asp. site, die maware verspreidt.

Bovenstaande waarschijnlijk verricht om te kunnen compromiteren voor gebruik als spam site.
Maar men komt zulke basale instellingsfouten toch regelmatig tegen.

luntrus

PHP en Word Press CMS.

Kijk uit met te misbruiken PHP-functies. Magic-quotes en register globals staan natuurlijk op uit.

'Extract' is slecht nieuws, speciaal bij $_post en $_GET, dan zit je weer terug met de register_globals probe.
Gebruik handmatige declaraties en de EXTR_SKIP vlag,
Eval is "evil" .Bij meta-programmeren, gebruik specifieke parameters.

Kijk uit met USER INPUT to shell_exec, system, en de onderliggende UNIX shell.
Kijk uit met unserialize dat automatisch code draait met _wakeup & _destruct.
Gebruik in dergelijke gevallen liever een JSON omgeving om code doorheen te voeren.

Gebruik guzzle om te wrappen. Enz. enz.
Oh en filter_var validatie blijkt onbetrouwbaar i.v.m. mogelijke XSS aanvallen.

Dus ga aan de gang met de cheat-sheets ernaast en zorg dat je de weg niet kwijt raakt,
hetgeen bij deze taal gemakkelijker is dan het lijkt.

is_admin does not answer if user is admin. Zo maar een aantal dingetjes dus.

luntrus