120.000 WordPress-sites kwetsbaar door kritiek lek in populaire plug-in
Zo'n honderdtwintigduizend WordPress-sites lopen risico om te worden aangevallen via een kritieke kwetsbaarheid in de populaire plug-in Ultimate Member. Dat laat securitybedrijf Wordfence weten. Een update voor het beveiligingslek is een aantal dagen geleden uitgebracht, maar het grootste deel van de WordPress-sites waar de plug-in is geïnstalleerd heeft die nog niet uitgerold.
Ultimate Member is een "profile & membership" plug-in waarmee WordPress-sites gebruikers en abonnementen kunnen beheren, bijvoorbeeld voor online communities. Zo is het mogelijk om bepaalde content alleen voor betalende gebruikers beschikbaar te maken. De plug-in is volgens cijfers van WordPress zelf op meer dan 200.000 websites actief.
Ultimate Member blijkt kwetsbaar voor SQL-injection, waardoor een aanvaller gevoelige informatie uit de database kan stelen. In het ergste geval kan zo de website worden overgenomen. De impact van het beveiligingslek (CVE-2024-1071) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Misbruik van het lek is alleen mogelijk wanneer de optie 'Enable custom table for usermeta' staat ingeschakeld. Een aantal dagen geleden verscheen versie 2.8.3 waarin het probleem is opgelost. Uit cijfers van WordPress.org blijkt dat zo'n tachtigduizend websites de update hebben geïnstalleerd, wat inhoudt dat nog 120.000 sites risico lopen.
Reacties (18)
24-02-2024, 10:51 door
Anoniem
Het is jammer dat mensen met een eigen website en domein lamgzaamaan aan het verdwijnen zijn, het goede oude internet...
Wordpress is daar mede-veroorzaker van, evenals Meta, Google en dergelijke, ik weet dat het makkelijker is, maar het is aan de andere kant ook minder onafhankelijk.
Wordpress is daar mede-veroorzaker van, evenals Meta, Google en dergelijke, ik weet dat het makkelijker is, maar het is aan de andere kant ook minder onafhankelijk.
24-02-2024, 11:37 door
Anoniem
Het andere is een gelikte site laten ontwerpen voor een flinke bundel flappen
en deze dan later niet meer onderhouden. Dan krijg je dit soort onveiligheid.
Hoe was dat ook weer met die drop? "Het zou verboden moeten worden", niet?
De graaier wordt slimmer en de eindgebruiker steeds dommer.
Een der duidelijkste kenmerken van ons Kali-tijdperk.
Waar blijft Kalki?
luntrus
en deze dan later niet meer onderhouden. Dan krijg je dit soort onveiligheid.
Hoe was dat ook weer met die drop? "Het zou verboden moeten worden", niet?
De graaier wordt slimmer en de eindgebruiker steeds dommer.
Een der duidelijkste kenmerken van ons Kali-tijdperk.
Waar blijft Kalki?
luntrus
24-02-2024, 13:06 door
Anoniem
Door Anoniem: Het is jammer dat mensen met een eigen website en domein lamgzaamaan aan het verdwijnen zijn, het goede oude internet...
Wordpress is daar mede-veroorzaker van, evenals Meta, Google en dergelijke, ik weet dat het makkelijker is, maar het is aan de andere kant ook minder onafhankelijk.
Dat heeft toch niets met Wordpress te maken, ik denk juist het tegenovergestelde. Met Wordpress kunnen mensen gemakkelijker een site maken dan zelf helemaal in HTML schrijven.Wordpress is daar mede-veroorzaker van, evenals Meta, Google en dergelijke, ik weet dat het makkelijker is, maar het is aan de andere kant ook minder onafhankelijk.
Maar Meta bijvoorbeeld is daar wel een reden voor, waarom zouden bezoekers de moeite nemen om al de url's te bewaren om diverse websites van familie en kennissen te bezoeken als ze gewoon de nietszeggende berichten op FB zien voorbij komen.
Het is een stuk luiheid geworden denk ik.
25-02-2024, 00:42 door
Anoniem
Ach het is maar een PHP website toch? Alhoewel er zijn in Nederland nog een paar zorginstellingen met een PHP product.
25-02-2024, 19:12 door
Anoniem
Door Anoniem: Het is jammer dat mensen met een eigen website en domein lamgzaamaan aan het verdwijnen zijn, het goede oude internet...
Wordpress is daar mede-veroorzaker van, evenals Meta, Google en dergelijke, ik weet dat het makkelijker is, maar het is aan de andere kant ook minder onafhankelijk.
Wordpress is daar mede-veroorzaker van, evenals Meta, Google en dergelijke, ik weet dat het makkelijker is, maar het is aan de andere kant ook minder onafhankelijk.
Ik heb meerdere eigen websites, eigen domeinen en gebruik daar Wordpress voor.
Dus snap niet wat je bedoelt met minder onafhankelijk
25-02-2024, 22:15 door
Anoniem
Dan zijn er ook nog de WP websites, die zich veilig wanen binnen de Cloud, bijv, bij Cloudflare.
Maar daar gaat het ook wel eens fout.
Maar daar gaat het ook wel eens fout.
26-02-2024, 08:14 door
Xavier Ohole
Door Anoniem: Ach het is maar een PHP website toch? Alhoewel er zijn in Nederland nog een paar zorginstellingen met een PHP product.
PHP is geen programmeertaal/platform dat je voor een professionele toepassing zou moeten/mogen gebruiken.
26-02-2024, 08:26 door
Bitje-scheef
Door Xavier Ohole:
PHP is geen programmeertaal/platform dat je voor een professionele toepassing zou moeten/mogen gebruiken.
Door Anoniem: Ach het is maar een PHP website toch? Alhoewel er zijn in Nederland nog een paar zorginstellingen met een PHP product.
PHP is geen programmeertaal/platform dat je voor een professionele toepassing zou moeten/mogen gebruiken.
Mwah, ben ik het niet helemaal mee eens. Kwaliteit van de plugins en vooral de updates hiervan, is soms wel een dingetje.
26-02-2024, 09:36 door
Anoniem
Door Xavier Ohole:
PHP is geen programmeertaal/platform dat je voor een professionele toepassing zou moeten/mogen gebruiken.
Door Anoniem: Ach het is maar een PHP website toch? Alhoewel er zijn in Nederland nog een paar zorginstellingen met een PHP product.
PHP is geen programmeertaal/platform dat je voor een professionele toepassing zou moeten/mogen gebruiken.
Dat kun je van alles zeggen. Zonder onderbouwing heeft niemand daar wat aan. Je hebt gelijk als je bedoelt dat het veiliger is om een html website te hebben zonder code die op de server wordt uitgevoerd. Maar dat gaat er bij de meeste ook niet meer in.
26-02-2024, 10:06 door
Anoniem
Door Bitje-scheef:
Mwah, ben ik het niet helemaal mee eens. Kwaliteit van de plugins en vooral de updates hiervan, is soms wel een dingetje.
Met 20+ jaar PHP achter de rug kan ik je vertellen dat PHP geen serieuze taal is.Door Xavier Ohole:
PHP is geen programmeertaal/platform dat je voor een professionele toepassing zou moeten/mogen gebruiken.
Door Anoniem: Ach het is maar een PHP website toch? Alhoewel er zijn in Nederland nog een paar zorginstellingen met een PHP product.
PHP is geen programmeertaal/platform dat je voor een professionele toepassing zou moeten/mogen gebruiken.
Mwah, ben ik het niet helemaal mee eens. Kwaliteit van de plugins en vooral de updates hiervan, is soms wel een dingetje.
Zo is het nooit gemaakt. Het is alsof je begint met iets dat niet werkt als taal (omdat het een C-toolkit is) en dat steeds verder uitwerkt tot iets dat lijkt op een serieuze taal, maar vol technische valkuilen blijft zitten.
Het is ontzettend makkelijk om snel iets dat werkt in elkaar te zetten, en tegelijkertijd ontzettend moeilijk om het echt goed en veilig te doen, en te blijven doen.
Als je alleen al kijkt naar de omloopsnelheid is van main (of minor?) versies van PHP, dan moet je al je software binnen 3 jaar weer ombouwen omdat elke minor versie breaking changes introduceert. (https://www.php.net/supported-versions.php)
En als je wilt weten hoe bepaalde functies in PHP werken, dan verzand je in een diep moeras van een veelheid aan compilatie- en configuratieopties, die ook nog eens wel of niet thread safe en 'run-time' gewijzigd kunnen worden en verschillen per omgeving omdat vaak parameters ongezien doorgeschoven worden naar aanwezige libraries op het systeem.
In plaats van PHP elke keer wat beter te maken, maken ze PHP liever sneller en meer sexy met nog meer onoverzichtelijke features.
Bovenop dat wankele PHP, komt Wordpress. Ze stellen zichzelf voor dat ze heel wat zijn, noemen het hoofdonderdeel van hun raamwerk zelfs 'mainframe'. Door de tijd heen zijn er zo veel security-gaten gevonden dat het basissysteem inmiddels redelijk veilig is. Maar bijvoorbeeld de template functies zijn complete spaghetti. Er is zelfs een complete 'Codex' geschreven (https://codex.wordpress.org) waardoor een sterveling door de bomen het bos niet meer ziet. Er worden allerlei gratis in elkaar gezet die komen met allerlei troep zoals lettertypen van Google en JavaScript libraries op CDN's van derden, zodat je bezoekers al default en buiten GDPR/AVG om getracked worden in de VS nog voordat je met je website al een privacy-verklaring hebt opgesteld.
En weer bovenop dat beroerde Wordpress heb je een hele berg aan plug-ins, die heel handig lijken maar ook lang niet altijd door professionals worden geschreven, laat staan onderhouden. En waarvoor auteurs nog geld willen zien ook. Nu heeft bijvoorbeeld OWASP al een hele tijd een handige Cheat Sheet over hoe je SQL injectie kan tegengaan, met prepared statements (https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.html) maar ondanks dat blijft men prutsen, en staat SQL injection (CWE-89) nog altijd op #3 in de top 25 van meest voorkomende zwakheden in 2023 (https://cwe.mitre.org/top25/archive/2023/2023_stubborn_weaknesses.html)
Het is allemaal heel lief van ze dat ze het open source maken, maar PHP is zo 'broken beyond repair' dat het niet uitmaakt hoe populair het is. Het is gewoon niet meer van deze tijd. De enige remedie is om over te gaan naar een echte programmeertaal.
26-02-2024, 12:30 door
Anoniem
Door Anoniem:
Zo is het nooit gemaakt. Het is alsof je begint met iets dat niet werkt als taal (omdat het een C-toolkit is) en dat steeds verder uitwerkt tot iets dat lijkt op een serieuze taal, maar vol technische valkuilen blijft zitten.
Het is ontzettend makkelijk om snel iets dat werkt in elkaar te zetten, en tegelijkertijd ontzettend moeilijk om het echt goed en veilig te doen, en te blijven doen.
Als je alleen al kijkt naar de omloopsnelheid is van main (of minor?) versies van PHP, dan moet je al je software binnen 3 jaar weer ombouwen omdat elke minor versie breaking changes introduceert. (https://www.php.net/supported-versions.php)
En als je wilt weten hoe bepaalde functies in PHP werken, dan verzand je in een diep moeras van een veelheid aan compilatie- en configuratieopties, die ook nog eens wel of niet thread safe en 'run-time' gewijzigd kunnen worden en verschillen per omgeving omdat vaak parameters ongezien doorgeschoven worden naar aanwezige libraries op het systeem.
In plaats van PHP elke keer wat beter te maken, maken ze PHP liever sneller en meer sexy met nog meer onoverzichtelijke features.
Bovenop dat wankele PHP, komt Wordpress. Ze stellen zichzelf voor dat ze heel wat zijn, noemen het hoofdonderdeel van hun raamwerk zelfs 'mainframe'. Door de tijd heen zijn er zo veel security-gaten gevonden dat het basissysteem inmiddels redelijk veilig is. Maar bijvoorbeeld de template functies zijn complete spaghetti. Er is zelfs een complete 'Codex' geschreven (https://codex.wordpress.org) waardoor een sterveling door de bomen het bos niet meer ziet. Er worden allerlei gratis in elkaar gezet die komen met allerlei troep zoals lettertypen van Google en JavaScript libraries op CDN's van derden, zodat je bezoekers al default en buiten GDPR/AVG om getracked worden in de VS nog voordat je met je website al een privacy-verklaring hebt opgesteld.
En weer bovenop dat beroerde Wordpress heb je een hele berg aan plug-ins, die heel handig lijken maar ook lang niet altijd door professionals worden geschreven, laat staan onderhouden. En waarvoor auteurs nog geld willen zien ook. Nu heeft bijvoorbeeld OWASP al een hele tijd een handige Cheat Sheet over hoe je SQL injectie kan tegengaan, met prepared statements (https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.html) maar ondanks dat blijft men prutsen, en staat SQL injection (CWE-89) nog altijd op #3 in de top 25 van meest voorkomende zwakheden in 2023 (https://cwe.mitre.org/top25/archive/2023/2023_stubborn_weaknesses.html)
Het is allemaal heel lief van ze dat ze het open source maken, maar PHP is zo 'broken beyond repair' dat het niet uitmaakt hoe populair het is. Het is gewoon niet meer van deze tijd. De enige remedie is om over te gaan naar een echte programmeertaal.
Door Bitje-scheef:
Mwah, ben ik het niet helemaal mee eens. Kwaliteit van de plugins en vooral de updates hiervan, is soms wel een dingetje.
Met 20+ jaar PHP achter de rug kan ik je vertellen dat PHP geen serieuze taal is.Door Xavier Ohole:
PHP is geen programmeertaal/platform dat je voor een professionele toepassing zou moeten/mogen gebruiken.
Door Anoniem: Ach het is maar een PHP website toch? Alhoewel er zijn in Nederland nog een paar zorginstellingen met een PHP product.
PHP is geen programmeertaal/platform dat je voor een professionele toepassing zou moeten/mogen gebruiken.
Mwah, ben ik het niet helemaal mee eens. Kwaliteit van de plugins en vooral de updates hiervan, is soms wel een dingetje.
Zo is het nooit gemaakt. Het is alsof je begint met iets dat niet werkt als taal (omdat het een C-toolkit is) en dat steeds verder uitwerkt tot iets dat lijkt op een serieuze taal, maar vol technische valkuilen blijft zitten.
Het is ontzettend makkelijk om snel iets dat werkt in elkaar te zetten, en tegelijkertijd ontzettend moeilijk om het echt goed en veilig te doen, en te blijven doen.
Als je alleen al kijkt naar de omloopsnelheid is van main (of minor?) versies van PHP, dan moet je al je software binnen 3 jaar weer ombouwen omdat elke minor versie breaking changes introduceert. (https://www.php.net/supported-versions.php)
En als je wilt weten hoe bepaalde functies in PHP werken, dan verzand je in een diep moeras van een veelheid aan compilatie- en configuratieopties, die ook nog eens wel of niet thread safe en 'run-time' gewijzigd kunnen worden en verschillen per omgeving omdat vaak parameters ongezien doorgeschoven worden naar aanwezige libraries op het systeem.
In plaats van PHP elke keer wat beter te maken, maken ze PHP liever sneller en meer sexy met nog meer onoverzichtelijke features.
Bovenop dat wankele PHP, komt Wordpress. Ze stellen zichzelf voor dat ze heel wat zijn, noemen het hoofdonderdeel van hun raamwerk zelfs 'mainframe'. Door de tijd heen zijn er zo veel security-gaten gevonden dat het basissysteem inmiddels redelijk veilig is. Maar bijvoorbeeld de template functies zijn complete spaghetti. Er is zelfs een complete 'Codex' geschreven (https://codex.wordpress.org) waardoor een sterveling door de bomen het bos niet meer ziet. Er worden allerlei gratis in elkaar gezet die komen met allerlei troep zoals lettertypen van Google en JavaScript libraries op CDN's van derden, zodat je bezoekers al default en buiten GDPR/AVG om getracked worden in de VS nog voordat je met je website al een privacy-verklaring hebt opgesteld.
En weer bovenop dat beroerde Wordpress heb je een hele berg aan plug-ins, die heel handig lijken maar ook lang niet altijd door professionals worden geschreven, laat staan onderhouden. En waarvoor auteurs nog geld willen zien ook. Nu heeft bijvoorbeeld OWASP al een hele tijd een handige Cheat Sheet over hoe je SQL injectie kan tegengaan, met prepared statements (https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.html) maar ondanks dat blijft men prutsen, en staat SQL injection (CWE-89) nog altijd op #3 in de top 25 van meest voorkomende zwakheden in 2023 (https://cwe.mitre.org/top25/archive/2023/2023_stubborn_weaknesses.html)
Het is allemaal heel lief van ze dat ze het open source maken, maar PHP is zo 'broken beyond repair' dat het niet uitmaakt hoe populair het is. Het is gewoon niet meer van deze tijd. De enige remedie is om over te gaan naar een echte programmeertaal.
Welke progr ameertaal op internet gebruik jij dan! PHP is in de afegelopen jaren sterk verbetert vele website draaien erop, een uitgebreid lulverhaal verandert daar niets aan!
26-02-2024, 13:26 door
Anoniem
Door Anoniem:
Zo is het nooit gemaakt. Het is alsof je begint met iets dat niet werkt als taal (omdat het een C-toolkit is) en dat steeds verder uitwerkt tot iets dat lijkt op een serieuze taal, maar vol technische valkuilen blijft zitten.
Het is ontzettend makkelijk om snel iets dat werkt in elkaar te zetten, en tegelijkertijd ontzettend moeilijk om het echt goed en veilig te doen, en te blijven doen.
Als je alleen al kijkt naar de omloopsnelheid is van main (of minor?) versies van PHP, dan moet je al je software binnen 3 jaar weer ombouwen omdat elke minor versie breaking changes introduceert. (https://www.php.net/supported-versions.php)
En als je wilt weten hoe bepaalde functies in PHP werken, dan verzand je in een diep moeras van een veelheid aan compilatie- en configuratieopties, die ook nog eens wel of niet thread safe en 'run-time' gewijzigd kunnen worden en verschillen per omgeving omdat vaak parameters ongezien doorgeschoven worden naar aanwezige libraries op het systeem.
In plaats van PHP elke keer wat beter te maken, maken ze PHP liever sneller en meer sexy met nog meer onoverzichtelijke features.
Bovenop dat wankele PHP, komt Wordpress. Ze stellen zichzelf voor dat ze heel wat zijn, noemen het hoofdonderdeel van hun raamwerk zelfs 'mainframe'. Door de tijd heen zijn er zo veel security-gaten gevonden dat het basissysteem inmiddels redelijk veilig is. Maar bijvoorbeeld de template functies zijn complete spaghetti. Er is zelfs een complete 'Codex' geschreven (https://codex.wordpress.org) waardoor een sterveling door de bomen het bos niet meer ziet. Er worden allerlei gratis in elkaar gezet die komen met allerlei troep zoals lettertypen van Google en JavaScript libraries op CDN's van derden, zodat je bezoekers al default en buiten GDPR/AVG om getracked worden in de VS nog voordat je met je website al een privacy-verklaring hebt opgesteld.
En weer bovenop dat beroerde Wordpress heb je een hele berg aan plug-ins, die heel handig lijken maar ook lang niet altijd door professionals worden geschreven, laat staan onderhouden. En waarvoor auteurs nog geld willen zien ook. Nu heeft bijvoorbeeld OWASP al een hele tijd een handige Cheat Sheet over hoe je SQL injectie kan tegengaan, met prepared statements (https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.html) maar ondanks dat blijft men prutsen, en staat SQL injection (CWE-89) nog altijd op #3 in de top 25 van meest voorkomende zwakheden in 2023 (https://cwe.mitre.org/top25/archive/2023/2023_stubborn_weaknesses.html)
Het is allemaal heel lief van ze dat ze het open source maken, maar PHP is zo 'broken beyond repair' dat het niet uitmaakt hoe populair het is. Het is gewoon niet meer van deze tijd. De enige remedie is om over te gaan naar een echte programmeertaal.
Helemaal met je eens. Het was ooit bedoeld als cv homepage van Rasmus Lerdorf in de jaren 90. Daar kan je nu net als met asp.net gewoon niet meer mee aankomen. Security en dus onderhoud is het allerbelangrijkste.Door Bitje-scheef:
Mwah, ben ik het niet helemaal mee eens. Kwaliteit van de plugins en vooral de updates hiervan, is soms wel een dingetje.
Met 20+ jaar PHP achter de rug kan ik je vertellen dat PHP geen serieuze taal is.Door Xavier Ohole:
PHP is geen programmeertaal/platform dat je voor een professionele toepassing zou moeten/mogen gebruiken.
Door Anoniem: Ach het is maar een PHP website toch? Alhoewel er zijn in Nederland nog een paar zorginstellingen met een PHP product.
PHP is geen programmeertaal/platform dat je voor een professionele toepassing zou moeten/mogen gebruiken.
Mwah, ben ik het niet helemaal mee eens. Kwaliteit van de plugins en vooral de updates hiervan, is soms wel een dingetje.
Zo is het nooit gemaakt. Het is alsof je begint met iets dat niet werkt als taal (omdat het een C-toolkit is) en dat steeds verder uitwerkt tot iets dat lijkt op een serieuze taal, maar vol technische valkuilen blijft zitten.
Het is ontzettend makkelijk om snel iets dat werkt in elkaar te zetten, en tegelijkertijd ontzettend moeilijk om het echt goed en veilig te doen, en te blijven doen.
Als je alleen al kijkt naar de omloopsnelheid is van main (of minor?) versies van PHP, dan moet je al je software binnen 3 jaar weer ombouwen omdat elke minor versie breaking changes introduceert. (https://www.php.net/supported-versions.php)
En als je wilt weten hoe bepaalde functies in PHP werken, dan verzand je in een diep moeras van een veelheid aan compilatie- en configuratieopties, die ook nog eens wel of niet thread safe en 'run-time' gewijzigd kunnen worden en verschillen per omgeving omdat vaak parameters ongezien doorgeschoven worden naar aanwezige libraries op het systeem.
In plaats van PHP elke keer wat beter te maken, maken ze PHP liever sneller en meer sexy met nog meer onoverzichtelijke features.
Bovenop dat wankele PHP, komt Wordpress. Ze stellen zichzelf voor dat ze heel wat zijn, noemen het hoofdonderdeel van hun raamwerk zelfs 'mainframe'. Door de tijd heen zijn er zo veel security-gaten gevonden dat het basissysteem inmiddels redelijk veilig is. Maar bijvoorbeeld de template functies zijn complete spaghetti. Er is zelfs een complete 'Codex' geschreven (https://codex.wordpress.org) waardoor een sterveling door de bomen het bos niet meer ziet. Er worden allerlei gratis in elkaar gezet die komen met allerlei troep zoals lettertypen van Google en JavaScript libraries op CDN's van derden, zodat je bezoekers al default en buiten GDPR/AVG om getracked worden in de VS nog voordat je met je website al een privacy-verklaring hebt opgesteld.
En weer bovenop dat beroerde Wordpress heb je een hele berg aan plug-ins, die heel handig lijken maar ook lang niet altijd door professionals worden geschreven, laat staan onderhouden. En waarvoor auteurs nog geld willen zien ook. Nu heeft bijvoorbeeld OWASP al een hele tijd een handige Cheat Sheet over hoe je SQL injectie kan tegengaan, met prepared statements (https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.html) maar ondanks dat blijft men prutsen, en staat SQL injection (CWE-89) nog altijd op #3 in de top 25 van meest voorkomende zwakheden in 2023 (https://cwe.mitre.org/top25/archive/2023/2023_stubborn_weaknesses.html)
Het is allemaal heel lief van ze dat ze het open source maken, maar PHP is zo 'broken beyond repair' dat het niet uitmaakt hoe populair het is. Het is gewoon niet meer van deze tijd. De enige remedie is om over te gaan naar een echte programmeertaal.
26-02-2024, 14:15 door
Anoniem
Door Anoniem:
Welke progr ameertaal op internet gebruik jij dan! PHP is in de afegelopen jaren sterk verbetert vele website draaien erop, een uitgebreid lulverhaal verandert daar niets aan!
Dat er veel websites mee draaien zegt ook niets. Windows wordt ook veel gebruikt en dat is me toch een troep.Door Anoniem:
Zo is het nooit gemaakt. Het is alsof je begint met iets dat niet werkt als taal (omdat het een C-toolkit is) en dat steeds verder uitwerkt tot iets dat lijkt op een serieuze taal, maar vol technische valkuilen blijft zitten.
Het is ontzettend makkelijk om snel iets dat werkt in elkaar te zetten, en tegelijkertijd ontzettend moeilijk om het echt goed en veilig te doen, en te blijven doen.
Als je alleen al kijkt naar de omloopsnelheid is van main (of minor?) versies van PHP, dan moet je al je software binnen 3 jaar weer ombouwen omdat elke minor versie breaking changes introduceert. (https://www.php.net/supported-versions.php)
En als je wilt weten hoe bepaalde functies in PHP werken, dan verzand je in een diep moeras van een veelheid aan compilatie- en configuratieopties, die ook nog eens wel of niet thread safe en 'run-time' gewijzigd kunnen worden en verschillen per omgeving omdat vaak parameters ongezien doorgeschoven worden naar aanwezige libraries op het systeem.
In plaats van PHP elke keer wat beter te maken, maken ze PHP liever sneller en meer sexy met nog meer onoverzichtelijke features.
Bovenop dat wankele PHP, komt Wordpress. Ze stellen zichzelf voor dat ze heel wat zijn, noemen het hoofdonderdeel van hun raamwerk zelfs 'mainframe'. Door de tijd heen zijn er zo veel security-gaten gevonden dat het basissysteem inmiddels redelijk veilig is. Maar bijvoorbeeld de template functies zijn complete spaghetti. Er is zelfs een complete 'Codex' geschreven (https://codex.wordpress.org) waardoor een sterveling door de bomen het bos niet meer ziet. Er worden allerlei gratis in elkaar gezet die komen met allerlei troep zoals lettertypen van Google en JavaScript libraries op CDN's van derden, zodat je bezoekers al default en buiten GDPR/AVG om getracked worden in de VS nog voordat je met je website al een privacy-verklaring hebt opgesteld.
En weer bovenop dat beroerde Wordpress heb je een hele berg aan plug-ins, die heel handig lijken maar ook lang niet altijd door professionals worden geschreven, laat staan onderhouden. En waarvoor auteurs nog geld willen zien ook. Nu heeft bijvoorbeeld OWASP al een hele tijd een handige Cheat Sheet over hoe je SQL injectie kan tegengaan, met prepared statements (https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.html) maar ondanks dat blijft men prutsen, en staat SQL injection (CWE-89) nog altijd op #3 in de top 25 van meest voorkomende zwakheden in 2023 (https://cwe.mitre.org/top25/archive/2023/2023_stubborn_weaknesses.html)
Het is allemaal heel lief van ze dat ze het open source maken, maar PHP is zo 'broken beyond repair' dat het niet uitmaakt hoe populair het is. Het is gewoon niet meer van deze tijd. De enige remedie is om over te gaan naar een echte programmeertaal.
Door Bitje-scheef:
Mwah, ben ik het niet helemaal mee eens. Kwaliteit van de plugins en vooral de updates hiervan, is soms wel een dingetje.
Met 20+ jaar PHP achter de rug kan ik je vertellen dat PHP geen serieuze taal is.Door Xavier Ohole:
PHP is geen programmeertaal/platform dat je voor een professionele toepassing zou moeten/mogen gebruiken.
Door Anoniem: Ach het is maar een PHP website toch? Alhoewel er zijn in Nederland nog een paar zorginstellingen met een PHP product.
PHP is geen programmeertaal/platform dat je voor een professionele toepassing zou moeten/mogen gebruiken.
Mwah, ben ik het niet helemaal mee eens. Kwaliteit van de plugins en vooral de updates hiervan, is soms wel een dingetje.
Zo is het nooit gemaakt. Het is alsof je begint met iets dat niet werkt als taal (omdat het een C-toolkit is) en dat steeds verder uitwerkt tot iets dat lijkt op een serieuze taal, maar vol technische valkuilen blijft zitten.
Het is ontzettend makkelijk om snel iets dat werkt in elkaar te zetten, en tegelijkertijd ontzettend moeilijk om het echt goed en veilig te doen, en te blijven doen.
Als je alleen al kijkt naar de omloopsnelheid is van main (of minor?) versies van PHP, dan moet je al je software binnen 3 jaar weer ombouwen omdat elke minor versie breaking changes introduceert. (https://www.php.net/supported-versions.php)
En als je wilt weten hoe bepaalde functies in PHP werken, dan verzand je in een diep moeras van een veelheid aan compilatie- en configuratieopties, die ook nog eens wel of niet thread safe en 'run-time' gewijzigd kunnen worden en verschillen per omgeving omdat vaak parameters ongezien doorgeschoven worden naar aanwezige libraries op het systeem.
In plaats van PHP elke keer wat beter te maken, maken ze PHP liever sneller en meer sexy met nog meer onoverzichtelijke features.
Bovenop dat wankele PHP, komt Wordpress. Ze stellen zichzelf voor dat ze heel wat zijn, noemen het hoofdonderdeel van hun raamwerk zelfs 'mainframe'. Door de tijd heen zijn er zo veel security-gaten gevonden dat het basissysteem inmiddels redelijk veilig is. Maar bijvoorbeeld de template functies zijn complete spaghetti. Er is zelfs een complete 'Codex' geschreven (https://codex.wordpress.org) waardoor een sterveling door de bomen het bos niet meer ziet. Er worden allerlei gratis in elkaar gezet die komen met allerlei troep zoals lettertypen van Google en JavaScript libraries op CDN's van derden, zodat je bezoekers al default en buiten GDPR/AVG om getracked worden in de VS nog voordat je met je website al een privacy-verklaring hebt opgesteld.
En weer bovenop dat beroerde Wordpress heb je een hele berg aan plug-ins, die heel handig lijken maar ook lang niet altijd door professionals worden geschreven, laat staan onderhouden. En waarvoor auteurs nog geld willen zien ook. Nu heeft bijvoorbeeld OWASP al een hele tijd een handige Cheat Sheet over hoe je SQL injectie kan tegengaan, met prepared statements (https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.html) maar ondanks dat blijft men prutsen, en staat SQL injection (CWE-89) nog altijd op #3 in de top 25 van meest voorkomende zwakheden in 2023 (https://cwe.mitre.org/top25/archive/2023/2023_stubborn_weaknesses.html)
Het is allemaal heel lief van ze dat ze het open source maken, maar PHP is zo 'broken beyond repair' dat het niet uitmaakt hoe populair het is. Het is gewoon niet meer van deze tijd. De enige remedie is om over te gaan naar een echte programmeertaal.
Welke progr ameertaal op internet gebruik jij dan! PHP is in de afegelopen jaren sterk verbetert vele website draaien erop, een uitgebreid lulverhaal verandert daar niets aan!
Ik ben niet degene aan wie je het vraagt maar ik gebruik python icm Angular Vue.js (JavaScript framework) en django (webapplicatie-framework) om algemene security fouten te voorkomen.
26-02-2024, 14:35 door
Anoniem
Kijk maar eens hier: https://hackertarget.com/wordpress-security-scan/ en scan die site.
De kern en de CMS-software wordt echt wel goed onderhouden veelal.
Het gaat vooral mis bij plug-ins en ook bij op default laten staan van bepaalde configuratie instellingen,
zoals directory listing en user enumeration, die later op disabled horen te staan.
Waarom zou je een plug-in blijven gebruiken als die door de developer 'verlaten' is?
Is directory listing en user enumeration niet op disabled gezet,
wordt het hackers wel een flinklstuk gemakkelijker gemaakt.
Back-end laat een shodannetje ook nog wel eens wat kwetsbaarheden zien op de server,
daar waar de site gehost wordt. Dat komt dan nog eens bovenop de front-end missers
Security komt je niet vanzelf aanwaaien, beste mensen.
Daar moet men iets voor (willen) doen inderdaad.
En bij valse zuinigheid zit de eindafrekening dus veelal onderin de zak
luntrus
De kern en de CMS-software wordt echt wel goed onderhouden veelal.
Het gaat vooral mis bij plug-ins en ook bij op default laten staan van bepaalde configuratie instellingen,
zoals directory listing en user enumeration, die later op disabled horen te staan.
Waarom zou je een plug-in blijven gebruiken als die door de developer 'verlaten' is?
Is directory listing en user enumeration niet op disabled gezet,
wordt het hackers wel een flinklstuk gemakkelijker gemaakt.
Back-end laat een shodannetje ook nog wel eens wat kwetsbaarheden zien op de server,
daar waar de site gehost wordt. Dat komt dan nog eens bovenop de front-end missers
Security komt je niet vanzelf aanwaaien, beste mensen.
Daar moet men iets voor (willen) doen inderdaad.
En bij valse zuinigheid zit de eindafrekening dus veelal onderin de zak
luntrus
26-02-2024, 15:57 door
Anoniem
Door Anoniem: Het is jammer dat mensen met een eigen website en domein lamgzaamaan aan het verdwijnen zijn, het goede oude internet...
Wordpress is daar mede-veroorzaker van, evenals Meta, Google en dergelijke, ik weet dat het makkelijker is, maar het is aan de andere kant ook minder onafhankelijk.
Wordpress is daar mede-veroorzaker van, evenals Meta, Google en dergelijke, ik weet dat het makkelijker is, maar het is aan de andere kant ook minder onafhankelijk.
Ik signaleer een omgekeerde trend. Al heeft het hebben van een eigen domein en mooie site wel vaak een andere functie gekregen. Zakelijk "moet" je er vaak eentje hebben. Bij voorkeur eentje die duidelijk is en niet te ingewikkeld. Anders heb je het zelfde verschil tussen bij een klant komen met de auto of met de bus. De conclusie zal dan snel zijn, dat zal wel niks zijn want die heeft niet eens een auto!
Gebruik van sites neemt juist weer toe. "Jan met de pet" vertrouwt apps niet meer. Klikt liever nergens meer op, scrollt veel liever. Maar je moet toch een website hebben zodat je een indruk kunt geven. En dat in elk geval duidelijk is wat je doet, waar en hoe je te bereiken bent. En in toenemende mate of je nog wel een echt mens bent. Dat laatste gaat nog veel belangrijker worden. Omdat meer en meer mensen zich juichend laten binnenhalen door een chatbot, om daarna door een slechte AI net zo keihard weer de tent uit gesmeten gaan worden. Als er dan geen mens meer bereikbaar is om effies te snappen dat bijvoorbeeld een tikfoutje in je geboortedatum de domme reden was, met dat soort ellende zullen spoedig veel meer mensen problemen gaan krijgen. Lees de aanbevelingen maar van de enquetecommissie over de toeslagenwet van vandaag maar. Het blind vertrouwen dat als eenmaal iets met een rood kruisje in een database staat, hoe dat als een olievlek kan uitspreiden. Van parlementariërs tot journalisten tot rechters tot aan de Raad van State aan toe. Als dàt geen security thema is...
De echte website met eigen domein is juist helemaal terug aan het komen. Sterker nog, als je ergens mee zit, dan hoeft die site echt niet altijd meteen meer te reageren. Zelfs morgen is ook goed. Als je maar het gevoel hebt dat je aan de andere kant met een mens te maken hebt. Als er té snel en té bijdehand wordt gereageerd: chatbot. Of AI. Wat veel bedrijven ongemerkt steeds meer klanten gaat kosten.
Te veel design is het trouwens ook niet altijd met een site. En klant van mij wou een site voor investeringen aan te trekken. Meet veel poeha. Champagne en privevliegtuigen. En lekkere wijven natuurlijk. Affijn, ik doe altijd even marktonderzoek. En stuurde haar de website terug van Warren Buffet. Een meneer die echt heel rijk is geworden van investeerders. En zijn investeerders ook geen windeieren heeft gelegd. De URL van zijn site gestuurd, maar ook verteld hoe enorm moeilijk is om zò een lelijke antieke site te maken! Maar dat werkt blijkbaar nog perfect! Ik zal de URL even plakken. Leerzaam.
https://www.berkshirehathaway.com/
26-02-2024, 16:06 door
Bitje-scheef
Iedere programmeertaal is securitywise zwak by default.
PHP is daarin geen uitzondering.
PHP is daarin geen uitzondering.
26-02-2024, 18:36 door
Anoniem
@ Bitje-scheef,
We vroegen het aan A.I.,:
Weten we dat ook weer,
#laufer
We vroegen het aan A.I.,:
Wat zijn de zwakheden van PHP als programmeertaal voor websites?
AI:Als AI-assistent kan ik objectief aangeven dat enkele van de zwakheden van PHP als programmeertaal voor websites zijn:
1. Prestatieproblemen: PHP kan minder efficiënt zijn in vergelijking met andere programmeertalen, wat kan leiden tot langzamere laadtijden van websites.
2. Veiligheidsrisico's: PHP heeft in het verleden kwetsbaarheden gehad die de beveiliging van websites in gevaar kunnen brengen als ze niet goed worden beheerd.
3. Onderhoudbaarheid: Vanwege de flexibiliteit en dynamiek van PHP kan het moeilijker zijn om grote en complexe codebases te onderhouden en te updaten.
4. Schaalbaarheid: PHP kan moeite hebben met het schalen van websites die een grote hoeveelheid verkeer moeten verwerken, wat kan leiden tot prestatieproblemen.
Het is belangrijk op te merken dat deze zwakheden niet absoluut zijn en dat PHP nog steeds een populaire keuze is voor het ontwikkelen van websites vanwege zijn gebruiksgemak en brede ondersteuning. Het is echter altijd verstandig om de zwakheden van een programmeertaal te begrijpen en te overwegen bij het kiezen van de juiste tool voor een specifiek project.
AI:Als AI-assistent kan ik objectief aangeven dat enkele van de zwakheden van PHP als programmeertaal voor websites zijn:
1. Prestatieproblemen: PHP kan minder efficiënt zijn in vergelijking met andere programmeertalen, wat kan leiden tot langzamere laadtijden van websites.
2. Veiligheidsrisico's: PHP heeft in het verleden kwetsbaarheden gehad die de beveiliging van websites in gevaar kunnen brengen als ze niet goed worden beheerd.
3. Onderhoudbaarheid: Vanwege de flexibiliteit en dynamiek van PHP kan het moeilijker zijn om grote en complexe codebases te onderhouden en te updaten.
4. Schaalbaarheid: PHP kan moeite hebben met het schalen van websites die een grote hoeveelheid verkeer moeten verwerken, wat kan leiden tot prestatieproblemen.
Het is belangrijk op te merken dat deze zwakheden niet absoluut zijn en dat PHP nog steeds een populaire keuze is voor het ontwikkelen van websites vanwege zijn gebruiksgemak en brede ondersteuning. Het is echter altijd verstandig om de zwakheden van een programmeertaal te begrijpen en te overwegen bij het kiezen van de juiste tool voor een specifiek project.
Weten we dat ook weer,
#laufer
27-02-2024, 10:07 door
Anoniem
Vandaag ook weer: https://www.security.nl/posting/831328/Witte+Huis+wil+dat+programmeurs+%27memory+safe%27+programmeertalen+gebruiken
REST my case. Gebruik Rust!
REST my case. Gebruik Rust!
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
