Blokkeer WordPress en Joomla voor shared hosting?

En wat wil je er mee bereiken? Dat men geen 'onveilige' CMS'en meer kan gebruiken op je server?

En dan, dan gaat men gebruik maken van een eigen geschreven ding, met alle gevolgen van dien. Gebruikers vinden altijd een mogelijkheid.

Zorg er gewoon voor dat een 'gehackt' CMS geen risico oplevert richting andere klanten en maak de klant zelf verantwoordelijk voor het up-2-date houden van hun CMS.

Als jarenlange Joomla-gebruiker reageer ik graag even. Mijn ervaring met Wordpress is niet zo groot om daar al een mening over te hebben. Er is niks mis met Joomla qua veiligheid, als er veiligheidsprobleem wordt gevonden komt daar een patch voor en komt er uiteindelijk een nieuwe update van Joomla uit.

Het grootste probleem met vooral de naam krijgen van onvelig CMS komt door de gebruikers. Als gebruikers een versie installeren en daarna nooit updaten dan zijn de eventuele veiligheidsproblemen die aanwezig zijn ook te misbruiken. Af en toe zie ik topics op een Joomlaforum voorbij komen waarin echt onveilge versies gebruikt worden, mijn antwoord is dan altijd dat er eerst maar een update moet plaats vinden naar de laatste veilige versie. Het lek waar naar je verwijst is overigens ook geen Wordpress probleem maar een Wordpress-plugin probleem.

Wat ook regelmatig een probleem is dat gebruikers niet willen betalen voor een extensie/template en dan een versie uit illegale bron downloaden en gebruiken. Dat is natuurlijk vragen om problemen! Fox-IT heeft daar onlangs een mooi artikel over geschreven: https://foxitsecurity.fil...-whitepaper-foxsrt-v4.pdf

Geen oplossing voor je maar een uitleg hoe de meeste problemen veroorzaakt worden.

[ Voor 0% gewijzigd door Xaverius op 03-12-2014 10:03 . Reden: typo ]

Equator schreef op woensdag 03 december 2014 @ 07:32:
Zorg er gewoon voor dat een 'gehackt' CMS geen risico oplevert richting andere klanten en maak de klant zelf verantwoordelijk voor het up-2-date houden van hun CMS.

Dat lijkt mij inderdaad de beste oplossing. Als jij de hosting aanbied dan moet jij garanderen dat de problemen van een van je klanten geen effect hebben op andere klanten. Verantwoordelijkheid voor het beheer van de software moet je expliciet bij de klant neerleggen, die moet de juiste keuzes maken en als het door de verkeerde keuzes mis gaat is hij verantwoordelijk. Jij beheert enkel het platform.

DJMaze schreef op dinsdag 02 december 2014 @ 21:13:
Ik dacht al aan httpd.conf maar dit is natuurlijk via een .htaccess te omzeilen.

Je kan .htaccess uitschakelen. Ik doe dat op de gedeelde webservers die ik beheer. Als mijn gebruikers het nodig hebben dan kunnen ze het aan mij vertellen en dan neem ik de regels op in de config van de server. Dat werkt alleen als je relatief klein bent. Met honderden klanten valt daar niet aan te beginnen.

Maar eigenlijk is dit allemaal niet relevant.

Je zal eerst moeten kiezen wie er voor het beheer van de applicaties gaat zorgen, jij of je klanten. Als het je klanten zijn is er weinig dat je kan doen om te voorkomen dat ze gekraakt worden. Wat je ook doet het gaat toch gebeuren. Jij moet zorgen dat er snel wordt opgetreden als dat gebeurd. De website uitschakelen is de gebruikelijke oplossing. Ik denk dat je er niet aan moet beginnen om problemen in de applicatie op te lossen. Dat kost heel veel tijd, is waarschijnlijk niet jouw specialiteit en maakt je verantwoordelijk voor alles wat er daarna nog met die website mis gaat.

Ik zou applicaties die ik beheer niet snel hosten op een server waar ook vreemden hun spullen op hebben staan.