StudentBas schreef op maandag 4 oktober 2021 @ 13:43:
Dank voor de reacties! Op veler verzoek wat context😉
Ik zit in het tweede semester van HBO-ICT. Ons is gevraagd een onderzoek uit te voeren naar een ICT gerelateerd probleem en een aanbeveling te schrijven. Daarnaast moet er een protoypte (minimum viable product) opgeleverd worden wat zou kunnen bijdragen aan een oplossing.
Het probleem dat ik wil behandelen zijn de vele hacks in WordPress. Ik heb een aantal interviews gehouden met gebruikers, die me uitlegden dat ze WordPress vooral vanuit financieel oogpunt gebruiken. Daarnaast kan er met weinig technische kennis toch een uitgebreide website worden gebouwd. De meesten denken hierbij niet na over veiligheid. Ze gaan ervan uit dat het niet aangeboden zou worden wanneer het niet veilig is, of hun website zou te klein zijn en daardoor niet de moeite waard. ( Eventuele aanvullingen zijn zeker welkom).
Wat ik tot nu toe onderzocht heb zijn de thema’s en plugins. Deze worden zowel door professionele partijen geschreven als door amateurs. Hierdoor zijn er veel kwetsbaarheden. WordPress hanteert een zogenaamde ‘coding standaard’ maar die richt zich puur op gebruiksvriendelijkheid, veiligheid is geen issue. Daarnaast zijn/waren de updates een probleem, slechts 62,6 procent van de gebruikers had begin 2021 de CMS geüpdatet tot de laatste versie. Er is een levendige markt in gekraakte (nulled) themes en plugins. Het komt veel voor dat hierin een stukje dubieuze code wordt verwerkt. Tevens is er een openbare inlogpagina die gevoelig is voor brute force attacks.
Ik heb niet heel veel ervaring met Wordpress. Ik heb wel een handvol test-domeintjes, waar ik een paar installaties op heb uitgevoerd. Bij mijn hoster heb ik de mogelijkheid om via een stuk software dat op de hostingservers is geïnstalleerd allerlei andere software te installeren, en dat op een dusdanige manier dat updates (en de bijbehorende back-ups) automatisch worden geïnstalleerd. En dat geldt dan niet alleen voor het CMS, maar ook voor de geïnstalleerde plug-ins. En toch wil het gros van de mensen hun Wordpress liever zelf installeren.
Mijn installatie komt al gelijk met de vraag of de wp-admin beschermt moet worden tegen brute force aanvallen, EN de suggestie 2FA te activeren.
Het gebruik van gratis varianten van bepaalde betaalde thema's en plug-ins... tja. Dat mensen daar sinds Limewire nog intrappen verbaast me (soms).
Hoe dan ook, het niet updaten van software is altijd een issue. Kijk in dit forum maar naar het draadje over het verlopen certificaat van Let's Encrypt. En de software achter je website is stukken onzichtbaarder dan het OS dat je gebruikt.
Ik wil onderzoeken hoe niet technische WordPress gebruikers toch wat kunnen bijdragen aan de veiligheid van hun sites. Hiervoor wil ik een website online zetten, die met behulp van python code (gecombineerde scripts) een scan kan uitvoeren, waarbij gebruikers alleen de domeinnaam en/of ip hoeven in te voeren. Denk aan een poortscan, een tool die de sterkte van de wachtwoorden checkt, kijkt of er updates beschikbaar zijn etc.
Ik denk niet dat dat gaat werken. Het gros van de mensen wier site gehackt is merkt het niet. De site wordt gebruikt voor spam, en niet gedefaced ofzo. Er zijn internationaal zat clubs die dat in de gaten houden. En het overgrote deel van de mensen dat erop gewezen wordt dat hun domein gebruikt wordt om te spammen, hoopt dat het vanzelf ophoudt (en probeert het zo snel mogelijk te vergeten dat ze zojuist gewaarschuwd zijn actie te ondernemen, want
wat moeten ze doen?
Qua juridisch heb ik me laten vertellen dat WordPress nooit aansprakelijk kan zijn. Er is namelijk geen sprake van een wederzijds contract. Ik heb iemand gesproken die na een hack een zaak wilde aanspannen tegen WordPress omdat hij alle richtlijnen gevolgd had. Ook toen bleek WordPress niet aansprakelijk gesteld te kunnen worden. Ook in de licentie staat niks specifieks vermeld over dit onderwerp. De reden dat ik het hier vraag is omdat ik weinig kennis op dit gebied heb, en zo mogelijk iets over het hoofd zie.
Belangrijk om je te realiseren is dat Wordpress een gratis stuk software biedt, met allerhande (gratis) plugins van zichzelf en derden, en dat jij, als gedupeerde eigenaar van een website hard zult moeten maken dat het feit dat je gehackt bent op nalatigheid van Wordpress is terug te voeren...
Met andere woorden, je zult moeten kunnen bewijzen dat je Wordpress en plugins de allernieuwste versies hadden, dat er geen issues waren met de PHP op de server, dat het OS van de server 100% up-to-date en secure was, EN dat de site-hack heeft plaatsgevonden middels een zwakte in Wordpress. Pas dan is er een kans dat ze je gelijk geven.