Kjapp og trygg hosting for Wordpress

Er sikkerheten på norske nettsider for dårlig ?

xdex

Medlem
Yoast slapp en oppdatering for denne sikkerhetsfeilen for 8 timer siden (ver. 1.7.4). Det er versjon til og med 1.7.3.3 som er rammet og kan utsettes.

På under 24timer kan du enkelt finne millioner av nettsider som kjører denne versjonen. Her må man også drive med litt social engineering, men det er jo ikke verre enn å sende bots gjennom x antall contact forms og kombinere med anti-bot systemer som http://www.deathbycaptcha.com/

Husk at å utnytte slike systemer alltid har en hensikt, så for den vanlige mann i gata ville dette bare vært for kostbart. Mange vil ikke engang forstå hva man kan gjøre her, siden man ikke selv kan få tilgang, uten å logge inn (active session).
 
Og som jeg skriver i tidligere posts, er jeg ikke bare skeptisk til Wordpress i sin helhet, men også amatør-utviklere som ikke tar sikkerhet på alvor.

Etter hva jeg har fått med meg, bruker Wordpress ennå ikke PDO (vel, som en addon). Get parametere bør alltid saniteres. Vet du at parameteret er kun siffer, validerer du at det kun er siffer i det før du gjør noe med det. Og get-parametere bør vel kun inneholde nummer (f.eks id), og ikke strings.

Derfor er vel Wordpress et elsket offer for hackere. Mange gjør ikke skikkelig arbeid; faktisk ganske få. Men rett skal være rett; det er ikke bare norske websider som er dårlig beskyttet, men de finnes i hele verden.

Nei takk...kan jeg slipper å bruke Wordpress, gjør jeg det. Men skal jeg engang bruke det; selv eller for andre, skal jeg iallfall være sikker på at jeg har gjort alt JEG kan for å holde hackere ute.

Blant annet ville jeg aldri brukt md5; ei heller sha. Få heller en server som kjører PHP 5.5 og bruk password_hash/password_verify.

Så kanskje jeg ikke er så på bærtur som enkelte har fortalt meg på andre poster jeg har gjort her på WF ;)
 

adeneo

Medlem
Wordpress bruker sin egen $wpdb klasse, som etter en del år med testing er regnet for å være så sikker som den kan få blitt på det nåværende tidspunktet (som ikke nødvendigvis betyr at den er sikker).
Det er altså lite å tjene for Wordpress på å gå over til PDO, og ettersom $wpdb fungerer nærmest som et ORM så er det heller ikke noe stort problem å konvertere til PDO innad i den klassen dersom de ønsker det, men $wpdb er allerede regnet for å være sikker.

Sikkerhetsproblemer i relasjon til databasen og SQL injection i Wordpress oppstår for det meste når noen har en "god" idé og bruker vanlige PHP funksjoner for å snakke med databasen i stedet for $wpdb, og glemmer å validere input.

Det virkelig problemet er plugins og themes som ikke lages av Automaticc, der kan hvem som helst ha gjort hva som helst.

Når det kommer til sikkerhet i plugins og themes, så er det også vanskelig å si at man kunne gjort alt bedre selv.
Utvikleren av Revolution Slider, ThemePunch er tross alt regnet for å være svært kompetent på Wordpress. Dette er i hovedsak det de driver med, og de sitter å holder på med dette hver dag, hele dagen, i Wordpress.

Likevel laget de et gigantisk sikkerhetshull, som ingen, hverken ThemePunch eller hackere, oppdaget før etter flere år.

Så kan man tenke seg, dersom ThemePunch klarer å gjøre en slik brøler, tenk hva du selv, jeg, eller alle andre her på forumet kan klare å legge inn av uante sikkerhetshull i en eller annen plugin?
Man er aldri sikret mot slik, men erfaring hjelper selvfølgelig mot de mest åpenlyse brølerne, og erfaring med PHP er ikke nødvendigvis det samme som erfaring med sikkerhet.

Wordpress bruker også phppass til passord hashing, ikke rene MD5 hasher, selv om det er det som ligger i bunn.

Problemet er uansett ikke å knekke en hash, problemet er å få tak i de hashede passordene til å begynne med, og Wordpress core er forholdsvis sikkert, sannsynligvis sikrere enn det de fleste koder på egen hånd, det er tross alt åpen kildekode, og millioner av utviklere har gått igjennom den koden et utall ganger.

Forøvrig bruker password_hash hva enn som er tilgjengelig i det underliggende systemet, eller det du ber den om å bruke, og det kan like gjerne være MD5 på enkelte systemer, selv om bcrypt er standard fra og med PHP 5.5.0

Fordelen med å bruke Wordpress er selvfølgelig at man slipper å kode mye selv, samtidig er ulempen at Wordpress er benyttet av så mange, og det er derfor det er et yndet mål for hackere, klarer man å finne hull i plugins benyttet av millioner av nettsider, så er det tross alt noe mer interessant enn å finne et sikkerhetshull i en eller annen obskur hjemmesnekret nettside ingen har hørt om.
 

TorsteinO

Art Director & grunder
Nå ble vel den andre tråden drept, men - et minus med å bruke plugins og themes som har en skog av "options" av alle mulige rare slag, er jo at de fleste nettsider vanligvis EGENTLIG ikke trenger alle disse valgmulighetene. Kanskje de f.ex. skal ha en enkel slider på forsiden med de siste artiklene, eller noe lignende. Da trenger man jo absolutt ikke revolution slider til det, da trenger man bare f.ex. jquery cycle eller noe lignende, og noen få linjer kode på forsiden. Og DET er enkelt å gjøre sikkert.

En løsning for å legge inn ansatte med navn, jobbtittel, mail, tlf og litt sånt på en ryddig og fin måte? Smakk bam, en enkel liten custom post type uten masse annet ekstra dilldall og bare akkurat de feltene man faktisk skal ha. Problemet løst, enkelt, sikkert, og så basic at det vil fungere i årevis uten noe som helst behov for oppdateringer.

<3 Less is more <3 & <3 form følger funksjon <3
 

adeneo

Medlem
Nå er det jo kun noen dager siden det ble oppdaget en alvorlig sikkerhetsfeil i Magento, og alle som bruker Magento må installere sikkerhetsoppdateringen.

https://www.magentocommerce.com/products/downloads/magento/ (det er patch SUPEE-5344).

Nå er det oppdaget en kritisk feil i Wordpress sitt kommentarsystem som gjør XSS (Cross Site Scriptimg) mulig i alle Wordpress installasjoner som tillater kommentarer eller ikke har deaktivert kommentarsystemet.

Dette er en kritisk sikkerhetsfeil i Wordpress Core, og må oppdateres umiddelbart, lenke nedenfor

https://wordpress.org/news/2015/04/wordpress-4-2-1/
 

adeneo

Medlem
Og der var det også kommet en advarsel fra Envato
This is a general community announcement for all buyers of WordPress items to bring your attention to an XSS vulnerability affecting multiple WordPress plugins and themes. The vulnerability is caused by a common code pattern used in WordPress plugins and themes available from ThemeForest and CodeCanyon, the wordpress.org website and other sources.

This issue is not limited to themes and plugins purchased from ThemeForest or CodeCanyon. Anyone using a WordPress website, regardless of where the theme or plugin was sourced, needs to be aware of this and take immediate action to ensure it is secure.

Jeg burde kanskje opprettet en ny tråd om dette, men dette er altså en alvorlig sikkerhetsfeil i Wordpress Core som omfatter ALLE nettsider som ikke har deaktivert kommentarer.
 
Sist redigert:
Topp