WordPress is een veelgebruikt content managementsysteem (cms) voor het maken van websites en blogs. Helaas worden steeds meer kwetsbaarheden gevonden in dit cms, en dan vooral in de plugins. Dit artikel beschrijft een security-aanpak die deze kwetsbaarheden onderzoekt en rapporteert.
WordPress wordt door miljoenen mensen gebruikt om websites en blogs te maken via gratis customizable designs en themes. Een ernstige kwetsbaarheid (vulnerability) in de WordPress-plugins maken het mogelijk dat een kwaadwillende een website gebaseerd op dit cms kan hacken, wat tot miljoenen gehackte websites kan leiden.
Er worden steeds meer van deze vulnerabilities gevonden in plugins zoals de Fancybox, Slider Revolution en Mailpoet plugins, waar ook op verschillende nieuwssites zoals Securityweek verslag van wordt gedaan.
De mailpoet vulnerability maakte het mogelijk dat meer dan vijftigduizend WordPress-websites gehackt konden worden en de Slider Revolution plugin vulnerability verdubbelde de kans hierop zelfs.
Gelukkig heeft de security gemeenschap niet stilgezeten. Ze hebben een website gemaakt waar een gedetailleerde lijst op staat met gevonden vulnerabilities in WordPress en de plugins. Deze worden dagelijks aangevuld door leden van de security-gemeenschap zoals onder andere werknemers van Sucuri (sponsor website!!), een Amerikaans websecurity bedrijf.
Geen slechte zaak volgens mij, want hierdoor toont de security-gemeenschap aan dat het niet werkt volgens security by obscurity, maar het open en bloot vulnerabilities onderzoekt en deze ook regelmatig rapporteert op het internet. Het is ook een prima site om vulnerabilities verder te onderzoeken, wat alleen maar tot beter security onderzoek kan leiden.
Wat denkt de Nederlandse security gemeenschap van deze vorm van open rapporteren van website vulnerabilities? Feedback is zeer welkom.
Ik denk dat dit artikel over dit onderwerp op een site als Computable een “open deur intrappen” is. Het artikel komt ook niet met concrete oplossingen voor dit probleem.
WordPress is een laag drempelig CMS systeem wat iedereen kan installeren en voorzien van plugins en thema’s. Men beseft vaak niet dat een degelijk systeem van onderhoud voorzien moet worden. Net als een auto die een beurt moet krijgen of een APK keuring. Dit geldt ook voor een PC, laptop of een website.
Helaas moet het eerst op het NOS journaal, DWDD, RTL late night, en ga zo maar door besproken worden voordat het echt bij iedereen door dringt.
Aad het zijn vaak plugins van derde partijen die de lekken veroorzaken.
Verder ben ik het met je eens, online software behoeft onderhoud.
Ik ken overigens geen CMS waar ik me echt prettig bij voel.
Maar ja ik ben dan ook bepaald geen webdesigner.
Volgens mij is het probleem bij vele foss webapplikaties dat een goed geplande update-cyclus ontbreekt. Echter ook als ze die hebben zoals Drupal en een security-team hebben, dat er altijd ergens een gat in software zit.
Kies je voor een andere als de “marktleider” dan is de kans op problemen kleiner, wat niet weg neemt dat installaties die door leken gedaan worden meestal te weinig kontrolle hebben op gebeid van de meest basale security-instellingen. ICT is nu eenmaal een vak, dat wordt maar al te graag weggewuifd met alle gevolgen van dien.
@Cordny
Meen me te herinneren al eens een opinie over dit onderwerp geschreven te hebben, toen weliswaar Joomla maar strekking blijft hetzelfde want we hebben het nog steeds over hetzelfde beheerprobleem. Veel open source oplossingen laten hier trouwens verbetering zien door in beheerpanel aan te geven of er updates zijn, veelal ook voor de plug-ins hoewel er natuurlijk altijd enige tijd zit tussen ontdekking van een kwetsbaarheid en de oplossing. Vraag is hoeveel gebruikers op de hoogte hiervan zijn want uiteindelijk wordt voor WordPress gekozen vanuit een kosten- en gemaksperspectief.
Dit lijkt in eerste instantie een goed idee, maar als je er goed over nadenkt, dan is dit natuurlijk om je dood te schamen. Er is dus voor jouw product een aparte website voor het melden van security problemen. Deze website schreeuwt dus eigenlijk: gebruik mij niet, ik ben troep!
Iedereen die een beetje verstand heeft van programmeren moet voor de gein eens naar de code kijken van WordPress. Regelrechte spaghetti code!! Ik snap werkelijk niet dat er mensen zijn die dat op hun server durven draaien.
@Hugo
ik heb het geprobeerd en dan “nagebouwd” met een ander systeem, Kijk je bij w3tech dan zie je hoe groot de groep gebruikers is. Daar worden echter ook de gebruikers geteld die onder [mijnnaam].wordpress.com een gratis blog openen.
Ons platform voor projectleiders (http://projectsucces.nl) draait ook op WordPress en we hebben onder andere de plugin ‘Wordfence’ draaien die actief de site beschermd. Nu zal zo’n plugin in de site zelf geen wonderen kunnen verrichten, maar je krijgt wel beter inzicht in hackpogingen en het houdt actief bij welke plugins verouderd zijn of raken en of er problemen mee bekend zijn.
Elk online platform, zeker als het veel gebruikt wordt, is tegenwoordig kwetsbaar. Er zijn nu eenmaal miljoenen mensen op de wereld die geen last hebben van wetgeving, ethiek of andere westerse normen en waarden. Deze mensen hebben wel belang bij sites met hun propaganda, namaaksites voor het plunderen van je bankrekening of andere frauduleuze toestanden. We hebben dan ook overwogen om verkeer uit deze ‘schurkenstaten’ gewoon te blokkeren – het is namelijk 99% van de tijd hackpogingen uit die landen.
Heren,
ik dank u voor uw feedback.
Let wel, ik ben ook geen WordPress-fan gezien alle kwetsbaarheden en de door u genoemde spaghetti-code. Het ging mij vooral om hoe u experts denkt over het openlijk melden van security problemen via een website en de fixes hiervoor.
Ik denk dat ik daar wel in geslaagd ben gezien zowel de positieve als negatieve feedback.
Geen enkel online CMS is compleet veilig, wat de website ook duidelijk laat zien met de vulnerabilities-lijst en waar zeker van geleerd kan worden. Ook door Niet-Wordpress gebruikers.
Het artikel is wellicht een open deur, maar sommige zijn er wel doorheen gegaan. Dank daarvoor.