70% Wordpress onveilig

  • Guest, wil je besparen op je domeinnamen? (ad)

    Vind dit overdreven opgezet, veel WordPress websites zijn vrije tijds bloggers die de balle verstand hebben van zoiets.
    Een bedrijf die met WordPress als CMS werkt (waaronder ik) weten wel wat je wel en niet moet doen met WordPress.

    Vooraf geven wij ook advies over bepaalde dingen, bijvoorbeeld: plugins, updates, enz.

    Dit is echt ver gezocht, 70% kan nooit, 19% van het internet draait op WordPress dus dit vind ik een beetje onbetrouwbaar..
    Tevens is de laatste bruteforce een kinderspel geweest, geen webmaster met gezond verstand kiest een gebruikersnaam "admin".
    Deze worden tijdens de installatie meestal (zeker door mij) gelijk gewijzigd in iets anders, bijvoorbeeld naam van de klant/eigenaar.

    Ben benieuwt wie dit onderzoek kan versterken, WordPress is meer dan 16 miljoen keer gedownload, dit kunnen er nooit 30.823 zijn...

    Bron: http://www.nu.nl/tech/3536738/1…-wordpress.html


    Edit:
    Zie net dat het een top 10 onderzoek is, en dat hun tool nog in ontwikkeling is.
    Vind deze topic titel dan ook misleidend voor mensen die er met plezier gebruik van maken.

    Bewerkt één keer, laatst door WHMCSAddons (2 oktober 2013 om 00:00).

    @Fils: ik zeg niet dat wordpress slecht is, ik zeg dat je moet updaten.
    Ik heb zelf even rond gevraagd bij mensen die ik ken en 90% van de personen die ik het vroeg, gaven toe al meer dan een jaar geen updates te hebben geïnstalleerd in wordpress.
    Deze cijfers lijken dus uit mijn kleine steekproef wel realistisch.

    Dus als hij 16 miljoen keer gedownload is, en daarvan (even een gok) 35.000 gecontroleerd is zeggen jullie 70%??

    • 74 different versions of WordPress were identified.
    • 11 of these versions are invalid. For example version 6.6.6.
    • 18 websites had an invalid non existing versions of WordPress.
    • 769 websites (1.82%) are still running a subversion of WordPress 2.0.
    • Only 7,814 websites (18.55%) upgraded to WordPress 3.6.1.
    • 1,785 websites upgraded to version 3.6.1 between the 12th and the 15th of September.
    • 13,034 websites (30.95%) are still running a vulnerable version of WordPress 3.6.

    Let vooral even op punt: 2 & 3

    Blijf de titel misleidend vinden, hier is totaal geen onderzoek naar gedaan, het is gewoon een random onderzoek onder top 10 grote websites.
    Ik weet heel goed dat verouderde versies lekken hebben, dit ontken ik ook zeker niet, vooral enkele plugins waarvan ik een ken (exploit) zijn een probleem.
    Maar dit vind ik het niet waard om te zeggen dat 70% onveilig bezig is als je onder een kleine groep een controle doet, controleer dan op grotere schaal.
    Tevens is hun tool ook in ontwikkeling en kan dus ook geen 100% zekerheid geven over deze onderzoek.

    Tevens is de Generator tag van wordpress te verwijderen, met bijvoorbeeld de SEO tool van Yoast.
    Hoe controleer je dan welke versie die website precies draait.
    En in het onderzoek is bij punt 2 & 3 aangegeven dat de versies niet bestaan, kunnen we er dan vanuit gaan dat ze oud zijn, lijkt me niet?

    Het is geen aanval op jou hoor, maar vind de titel misleidend, er is op kleine schaal onderzoek gedaan, dit kan dus nooit 100% kloppen.

    De titel is inderdaad lichtelijk misleidend omdat het er als feit omschreven staat.

    Echter vind ik het wel belangrijk dat dusdanige informatie aan het licht komt. Zoals je zei zijn er veel internetbloggers die de ballen verstand hebben van een dergelijk CMS, maar die hebben dus ook geen verstand van de eventuele gevaren.

    Dit kan er wel voor zorgen dat men beter oplet, waardoor deze waarschuwing niet meer nodig hoeft te zijn.


    Met vriendelijke groet,
    Maks Jorritsma

    @Fills,

    Ik update mijn Wordpress versie ook niet altijd direct na dat deze uit komt,
    Dit komt dan vooral doordat de plugins die ik gebruik in mijn wordpress nog niet compatible zijn met de nieuwe update.
    Omdeze reden wacht ik dus enkele weken tot maanden met het update van mijn wordpress sites.

    Met vriendelijke groet,
    Mathijs Lormans

    Designer / Sustainability expert: Lormans Design
    Design, Engineering and Development
    Bouwkundig ontwerp, tekenwerk, advies en projectmanagement!
    3D modeling en 3D printing

    Helemaal met je eens Fils. Maar dat spreekt natuurlijk het argument tegen van de 'bloggers met weinig technische kennis'. Deze zullen niet hun eigen plugins gaan schrijven of betaalde plugins aanschaffen om up to date te blijven.

    WordPress is een veel gebruikt CMS en dan is het logisch dat hier de focus op ligt van de hackers. Daar waar makkelijk iets te stelen is, zal de criminaliteit ook groter zijn. Echter, vraag ik me wel af hoe interessant de alledaagse blogger is voor een hacker.

    thjeu
    Klopt, maar als de kennis er is kan je beter zelf schrijven, een plugin wordt meestal toch even snel opgezet in de hoop op veel downloads en dan stoppen ze met verdere ontwikkeling.
    Kan ook met de drukte te maken hebben die ze zelf hebben, maar in de meeste gevallen is het probleem dat de plugin ontwikkelaar het niet verder ontwikkeld en jij dus sneller geneigd bent geen updates te draaien.

    Ik gebruik zelden plugins van andere, grotendeels is eigen ontwikkeling waarbij ik zeker weet dat die functies er niet snel uit zullen verdwijnen (gebeurd regelmatig).

    Maar vooralsnog raad ik de mensen aan, wanneer de technische kennis mist, om gebruik te maken van betaalde plugins. Denk daarbij aan plugins die op http://www.codecanyon.net staan. Niet elke auteur is even consistent met updates o.i.d., maar dat kun je meestal uit de comments halen bij de desbetreffende plugin. Een beetje research alvorens je iets koopt is natuurlijk altijd een must.

    J.Hermans
    De officiële release kan via een Nederlands forum of de Engelse forum

    Alle talen op een rijtje:
    EN: http://wordpress.org/download/
    NL: http://nl.wordpress.org/download/
    FR: http://fr.wordpress.org/download/
    DE: http://de.wordpress.org/download/
    RU: http://ru.wordpress.org/download/
    AF: http://af.wordpress.org/download/

    enzovoort haha, maar de .org is de officiële release van WordPress de rest raad ik je af omdat er niet gegarandeerd kan worden dat er exploits of andere dingen in zijn gestopt..

    Citaat van J.Hermans

    @ Fils,

    Ja daar haal ik hem ook normaal.
    Maarja, je weet maar nooit he, fake site's genoeg op het net -.-


    Ze zullen zo snel niet fake zijn, echter heb je wel kans dat ze iets in de zip stoppen wat jij (zonder erbij na te denken) uitpakt.
    Hier zitten vaak dingen in die er niet in thuis horen, daarom ga ik liever naar de officiële release website.

    Handig artikel maar ondanks alles is de support van WordPress best wel goed want ze melden het wel altijd netjes kun je van andere partijen als bijvoorbeeld Magento niet zeggen die verdoezelen het in hun release notes... Vaak zijn security issues ook ontwetendheden en scriptkiddies/hackers verzinnen steeds weer nieuwe dingen en zullen altijd een stap voor blijven

    Dit was mijn spreekbeurt, zijn er nog vragen?

Participate now!

Heb je nog geen account? Registreer je nu en word deel van onze community!

Maak een account aan Login