Nieuws
image

Kamervragen over gebruik van WordPress voor overheidswebsites

maandag 14 juni 2021, 14:36 door Redactie, 9 reacties

In de Tweede Kamer zijn vragen aan demissionair staatssecretaris Knops van Binnenlandse Zaken gesteld over het gebruik van WordPress voor overheidswebsites. Aanleiding is berichtgeving van dagblad Trouw dat de overheid door het gebruik van WordPress-sites waarvan de inlogpagina voor iedereen toegankelijk is het "hackers" eenvoudig maakt om in te breken.

Via de publieke inlogpagina kan iedereen proberen in te loggen. Het is echter mogelijk om het inloggen met tweefactorauthenticatie te beveiligen. Ook kunnen WordPress-beheerders bescherming tegen bruteforce-aanvallen toevoegen. Dat moet het geautomatiseerd raden van wachtwoorden voorkomen. Trouw laat niet weten of dat bij de onderzochte WordPress-sites het geval is, zo meldde Security.NL vorige week.

Het Nationaal Cyber Security Centrum (NCSC) raadt het organisaties af om inlogpagina's direct vanaf het internet toegankelijk te maken. Dat is wel het geval bij de WordPress-sites van onder andere het Fiod, de gemeenten Alkmaar en Gouda, veiligheidsregio’s, de douane en GGD's. De Rijksoverheid zou 165 websites tellen die op WordPress draaien.

DENK-Kamerlid Van Baarle wil nu opheldering van de staatssecretaris. "Wat vindt u van het feit dat tientallen websites van de overheid, waaronder websites van de Belastingdienst, GGD’s, veiligheidsregio's en waterschappen, niet voldoen aan de richtlijnen voor digitale beveiliging?" Ook moet Knops laten weten of hij vindt dat de overheid tekort heeft geschoten in het treffen van digitale beveiligingsmaatregelen tegen eventuele aanvallers.

"Bent u bekend met het feit dat het Nationaal Cyber Security Centrum (NCSC) al sinds 2014 waarschuwt voor 36 veiligheidsrisico's van WordPress en dat desondanks 165 openbare overheidswebsites op WordPress draaien? Wat is met deze waarschuwingen gedaan?", vraagt Van Baarle verder. Het DENK-Kamerlid wil tevens weten wat Knops ervan vindt dat de website van de Informatiebeveiligingsdienst (IBD), die gemeenten helpt bij cyberincidenten, draait op WordPress.

Afsluitend moet de staatssecretaris duidelijk maken wat hij gaat doen om de betreffende overheidssites te laten voldoen aan de veiligheidseisen en of hij met verder beleid komt om de digitale weerbaarheid van overheidswebsites te vergroten. Knops heeft drie weken de tijd om op de vragen te reageren (pdf).

Reacties (9)
14-06-2021, 14:50 door Anoniem
Als er een 0-day lek in je WordPress software zit, helpt 2FA ook geen ene moer. Het enige wat dan helpt is zorgen dat er geen gevoelige dingen op de pagina te vinden zijn. En als dat zo is is 2FA ook minder nuttig.
14-06-2021, 15:16 door Anoniem
Kan iemand van Baarle een lesje geven in CVE lezen en maatregelen als Patchen en vulnerability management en nog wat van die dingen.

Als dit al gevaarlijk is dan kan ie beter zijn telefoon en computer wegdoen en een aluminium hoedje nemen

DENK ga eens nadenken, het cyber niveau van kamerleden wordt weer eens pijnlijk duidelijk hier
14-06-2021, 15:21 door Anoniem
De meeste overheden weten nieteens welke websites ze allemaal online hebben staan, laat staan dat ze basisbeveiligingsmaatregelen hebben ingericht.
14-06-2021, 16:56 door Anoniem
Laat staan dat ze een CMDB hebben.

Allemaal reactief gedoe.. Politici zitten allemaal security incidenten te behandelen. Waar is die securitymanager daar? Schrijft die nog plannen of slaapt die of wordt die continue tegen gewerkrt of laat die zich niet adviceren?

Tjezus.
14-06-2021, 17:02 door Anoniem
Ik heb net even gekeken, maar DENK gebruikt zelf ook een Wordpress met publiek toegankelijke beheergedeelte. Gevalletje pot verwijt de ketel. Laat maar weer zien dat DENK ook maar wat roept in plaats van zich in de materie te verdiepen.

Nu zijn de mensen die hier iets aan kunnen doen weer druk met het beantwoorden van de onzinvragen van DENK in plaats van de boel veiliger te maken.
14-06-2021, 21:34 door Anoniem
Door Anoniem: Laat staan dat ze een CMDB hebben.

Allemaal reactief gedoe.. Politici zitten allemaal security incidenten te behandelen. Waar is die securitymanager daar? Schrijft die nog plannen of slaapt die of wordt die continue tegen gewerkt of laat die zich niet adviseren?

Tjezus.
Precies, ze zijn niet met beleid bezig maar als een hobby computer club ICT aan het bedrijven. Ik zou zo graag zien dat ze eens beleidsmatig naar ICT vraagstukken gaan kijken. Helaas is dit het niveau van onze politiek tegenwoordig.
15-06-2021, 10:18 door PixyPumpkin
https://nl.wordpress.org/plugins/wps-hide-login/ install, IP restrictie erop samen met WordFence en je bent al een heel eind verder. De stelling zou IMHO andersom moeten zijn ;)
22-06-2021, 16:38 door Anoniem
Wat denkt denk zelf te gebruiken op haar website https://www.bewegingdenk.nl/ ..... Even nadenken voordat je kamervragen gaat stellen over specifiek Wordpress :)
22-06-2021, 17:14 door Anoniem
Vraag 6
Bent u bekend met het feit dat het National Cyber Security Centrum (NCSC) als sinds 2014 waarschuwt voor 36 veiligheidsrisico's van Wordpress en dat desondanks 165 openbare overheidswebsites op Wordpress draaien? Wat is met deze waarschuwingen gedaan? (btw het zijn er 37. waarschijnlijk gewoon krantenbericht overgenomen)

Vraag 6a
Bent u bekend....waarschuwt voor 40 veiligheidsrisico's van Drupal en dat desondanks.....

vraag 6b
Bent u bekend....waarschuwt voor 37 veiligheidrisico's van Typo3 en dat desondanks.....

Vraag 6c
Bent u bekend met het feit dat dit allemaal open source code is waar deze veiligheidsissues makkelijker worden gevonden en worden opgelost en dat dit niet het geval is met close source oplossingen waar deze beveiligingsissues nog grotendeels in zitten?

vraag 6d
Bent u bekend met het feit dat we bij DENK gelukkig ook Wordpress gebruiken en hierdoor minder veiligheidsrisico's lopen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure