Wie is aansprakelijk bij een WordPress hack?

Pagina: 1
Acties:

Onderwerpen

Vraag


Acties:
  • 0 Henk 'm!

  • StudentBas
  • Registratie: Oktober 2021
  • Laatst online: 27-01-2022
Goedemorgen allen,

Ik loop tegen een lastige vraag aan voor een schoolopdracht. Ik doe onderzoek naar de veiligheid van WordPress sites. Bij dit CMS maakt de gebruiker zelf een eigen website en installeert plugins/thema's die door derden zijn gemaakt. Ik begrijp dat WordPress niet aansprakelijk kan worden gesteld wanneer de hacker is binnengekomen door een plugin of thema. Maar kan WordPress dan ook niet aansprakelijk worden gesteld wanneer er een lek zit in het officiële CMS?

Dank voor jullie reacties alvast!

Alle reacties


Acties:
  • 0 Henk 'm!

  • Ramon
  • Registratie: Juli 2000
  • Laatst online: 22:55
Daarvoor zou je de licentie waar WordPress mee komt moeten bestuderen denk ik.

Check mijn V&A ads: https://tweakers.net/aanbod/user/9258/


Acties:
  • 0 Henk 'm!

  • Qaatloz
  • Registratie: Januari 2009
  • Laatst online: 20:40
Not a lawyer, maar zover ik zelf met wordpress en servers gewerkt heb zijn er nog een heleboel factoren buiten wordpress an sich die meetellen.
* welke webserver (applicatie) gebruik je? hoe is deze geconfigureerd?
* welk database engine en hoe is die geconfigureerd?


Wat ramon al zegt is het ook afhankelijk welke licentievoorwaarden je accepteert als je wordpress installeert/gebruikt. Ik denk dat het niet zo eenvoudig is om hierop een eenduidig antwoord te geven.

Kijk daarnaast maar eens naar de hardening wordpress pagina welke factoren er allemaal nog meer meetellen. https://wordpress.org/support/article/hardening-wordpress/

Acties:
  • 0 Henk 'm!

  • corporalnl
  • Registratie: Mei 2010
  • Laatst online: 18:19
StudentBas schreef op maandag 4 oktober 2021 @ 12:05:
Goedemorgen allen,

Ik loop tegen een lastige vraag aan voor een schoolopdracht. Ik doe onderzoek naar de veiligheid van WordPress sites. Bij dit CMS maakt de gebruiker zelf een eigen website en installeert plugins/thema's die door derden zijn gemaakt. Ik begrijp dat WordPress niet aansprakelijk kan worden gesteld wanneer de hacker is binnengekomen door een plugin of thema. Maar kan WordPress dan ook niet aansprakelijk worden gesteld wanneer er een lek zit in het officiële CMS?

Dank voor jullie reacties alvast!
Wat heb je zelf al gevonden? Lijkt mij niet de bedoeling dat wij jou schoolopdracht gaan doen. heb je hun voorwaarden al gelezen etc?

Acties:
  • +1 Henk 'm!

  • Tweakez
  • Registratie: Maart 2015
  • Niet online
StudentBas schreef op maandag 4 oktober 2021 @ 12:05:
Goedemorgen allen,

Ik loop tegen een lastige vraag aan voor een schoolopdracht. Ik doe onderzoek naar de veiligheid van WordPress sites. Bij dit CMS maakt de gebruiker zelf een eigen website en installeert plugins/thema's die door derden zijn gemaakt. Ik begrijp dat WordPress niet aansprakelijk kan worden gesteld wanneer de hacker is binnengekomen door een plugin of thema. Maar kan WordPress dan ook niet aansprakelijk worden gesteld wanneer er een lek zit in het officiële CMS?

Dank voor jullie reacties alvast!
Leuk juridisch vraagstuk, maar als wij die voor jou gaan beantwoorden, doen wij jouw onderzoek. Dat kan de bedoeling niet zijn :) 8)7

Zie daarnaast ook, dat je echt letterlijk net je account hebt aangemaakt (of althans vandaag).. Met direct dit jouw eerste vraag! :*) Ik proef hier erg veel "gemakzucht".

[ Voor 9% gewijzigd door Tweakez op 04-10-2021 12:22 ]

Automatische meldingen voor Marktplaats en 2dehands? MarktAlert.nl


Acties:
  • 0 Henk 'm!

  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Ik zie inderdaad -zeker bij huiswerk- graag dat je eerst zelf aangeeft wat de eigen gedachten zijn, waar je twijfelt, waar je vastloopt.

Doe dat dus ajb even.

(Alvast een tip: kijk niet alleen naar wat de concrete voorwaarden zijn, maar ook naar algemene wet- en regelgeving en jurisprudentie. De wet staat boven algemene voorwaarden, zeker bij B2C).

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • 0 Henk 'm!

  • eric.1
  • Registratie: Juli 2014
  • Laatst online: 17:03
Begin bij het begin; https://wordpress.org/about/license/

Leg daar dan de wetgeving tegenaan en kijk wat daar uitkomt. Hiervoor zul je wel precies moeten weten welke mogelijke partijen erbij komen kijken, en die partijen hebben onderling waarschijnlijk ook weer contracten (eigenlijk is dit dus de eerste stap).

[ Voor 45% gewijzigd door eric.1 op 04-10-2021 12:34 ]


Acties:
  • 0 Henk 'm!

  • Ernemmer
  • Registratie: Juli 2009
  • Niet online
Nee, dit hebben ze in de licentie/voorwaarden afgedekt, dat risico is te groot om te dragen.

Acties:
  • 0 Henk 'm!

  • JaDatIsPeter
  • Registratie: Februari 2019
  • Niet online
StudentBas schreef op maandag 4 oktober 2021 @ 12:05:
Ik loop tegen een lastige vraag aan
Wat maakt het dat jij de vraag als lastig ervaart?
kan WordPress dan ook niet aansprakelijk worden gesteld wanneer er een lek zit in het officiële CMS
In de basis kan je alleen maar iemand houden aan wat je samen hebt afgesproken. Dus op basis van welke afspraak (denk aan een artikel/lid in een overeenkomst) denk jij Wordpress aansprakelijk te kunnen stellen?

Acties:
  • 0 Henk 'm!

  • downtime
  • Registratie: Januari 2000
  • Niet online

downtime

Everybody lies

JaDatIsPeter schreef op maandag 4 oktober 2021 @ 12:37:
[...]

In de basis kan je alleen maar iemand houden aan wat je samen hebt afgesproken. Dus op basis van welke afspraak (denk aan een artikel/lid in een overeenkomst) denk jij Wordpress aansprakelijk te kunnen stellen?
Dat is sowieso niet waar. Er is rondom aansprakelijkheid ook nog zoiets als wetgeving. Maar licentie en/of EULA kan van toepassing zijn (mits niet strijdig met de wet) en daarin wordt aansprakelijkheid eigenlijk altijd uitgesloten.

Acties:
  • 0 Henk 'm!

  • downtime
  • Registratie: Januari 2000
  • Niet online

downtime

Everybody lies

StudentBas schreef op maandag 4 oktober 2021 @ 12:05:
Maar kan WordPress dan ook niet aansprakelijk worden gesteld wanneer er een lek zit in het officiële CMS?
Dat is niet een ingewikkelde vraag. Of ze aansprakelijk zijn is afhankelijk van hun eigen licentie of EULA waarmee jij impliciet akkoord gaat door de software te gebruiken (met mitsen en maren want rechters hebben hun eigen opvattingen over hoe bindend dat soort "overeenkomsten" zijn).

In de praktijk sluit elke softwaremaker aansprakelijkheid uit, wie dat niet doet is snel failliet, en dan blijft wettelijke aansprakelijkheid over waar ze niet onderuit kunnen.

Acties:
  • 0 Henk 'm!

  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Laten we anders eerst even reactie van @StudentBas (welkom trouwens!) afwachten :Y)

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • 0 Henk 'm!

  • Johnny
  • Registratie: December 2001
  • Laatst online: 17-09 16:59

Johnny

ondergewaardeerde internetguru

Jazeker. Je kan ten alle tijde iedereen voor alles aansprakelijk stellen. Maar dat doet weinig, de tegenpartij zal dan aansprakelijkheid moeten erkennen. Als dat niet gebeurd moet je de tegenpartij aanklagen een een rechter er over beslissen die dan gaat kijken naar de overeenkomst die je hebt en of dat ook volgens de wet is.

In het geval van Wordpress heb je de mogelijkheid om het gratis te downloaden; dan zit er een licentie bij waar waarschijnlijk in staat dat ze nergens voor aansprakelijk zijn. Je hebt echter ook Wordpress als een hosted optie waarbij je een andere overeenkomst hebt, maar men zich waarschijnlijk ook indekt.

Je kan Wordpress ook gebruiken via een andere leverancier waarmee je weer andere afspraken kan maken over wie verantwoordelijk is voor wat.

[ Voor 28% gewijzigd door Johnny op 04-10-2021 13:18 ]

Aan de inhoud van de bovenstaande tekst kunnen geen rechten worden ontleend, tenzij dit expliciet in dit bericht is verwoord.


Acties:
  • 0 Henk 'm!

  • Deveon
  • Registratie: December 2007
  • Niet online
Wie eist bewijst en WordPress is onschuldig tot het tegendeel bewezen is. Dit helpt je overigens niet met je schoolopdracht want daar gaat het om de theorie waarin je dit bewijs wel zou kunnen hebben.

Acties:
  • +2 Henk 'm!

  • StudentBas
  • Registratie: Oktober 2021
  • Laatst online: 27-01-2022
Dank voor de reacties! Op veler verzoek wat context😉

Ik zit in het tweede semester van HBO-ICT. Ons is gevraagd een onderzoek uit te voeren naar een ICT gerelateerd probleem en een aanbeveling te schrijven. Daarnaast moet er een protoypte (minimum viable product) opgeleverd worden wat zou kunnen bijdragen aan een oplossing.

Het probleem dat ik wil behandelen zijn de vele hacks in WordPress. Ik heb een aantal interviews gehouden met gebruikers, die me uitlegden dat ze WordPress vooral vanuit financieel oogpunt gebruiken. Daarnaast kan er met weinig technische kennis toch een uitgebreide website worden gebouwd. De meesten denken hierbij niet na over veiligheid. Ze gaan ervan uit dat het niet aangeboden zou worden wanneer het niet veilig is, of hun website zou te klein zijn en daardoor niet de moeite waard. ( Eventuele aanvullingen zijn zeker welkom).

Wat ik tot nu toe onderzocht heb zijn de thema’s en plugins. Deze worden zowel door professionele partijen geschreven als door amateurs. Hierdoor zijn er veel kwetsbaarheden. WordPress hanteert een zogenaamde ‘coding standaard’ maar die richt zich puur op gebruiksvriendelijkheid, veiligheid is geen issue. Daarnaast zijn/waren de updates een probleem, slechts 62,6 procent van de gebruikers had begin 2021 de CMS geüpdatet tot de laatste versie. Er is een levendige markt in gekraakte (nulled) themes en plugins. Het komt veel voor dat hierin een stukje dubieuze code wordt verwerkt. Tevens is er een openbare inlogpagina die gevoelig is voor brute force attacks.
Ik wil onderzoeken hoe niet technische WordPress gebruikers toch wat kunnen bijdragen aan de veiligheid van hun sites. Hiervoor wil ik een website online zetten, die met behulp van python code (gecombineerde scripts) een scan kan uitvoeren, waarbij gebruikers alleen de domeinnaam en/of ip hoeven in te voeren. Denk aan een poortscan, een tool die de sterkte van de wachtwoorden checkt, kijkt of er updates beschikbaar zijn etc.

Qua juridisch heb ik me laten vertellen dat WordPress nooit aansprakelijk kan zijn. Er is namelijk geen sprake van een wederzijds contract. Ik heb iemand gesproken die na een hack een zaak wilde aanspannen tegen WordPress omdat hij alle richtlijnen gevolgd had. Ook toen bleek WordPress niet aansprakelijk gesteld te kunnen worden. Ook in de licentie staat niks specifieks vermeld over dit onderwerp. De reden dat ik het hier vraag is omdat ik weinig kennis op dit gebied heb, en zo mogelijk iets over het hoofd zie.

[ Voor 6% gewijzigd door StudentBas op 04-10-2021 14:14 ]


Acties:
  • 0 Henk 'm!

  • D-dark
  • Registratie: Januari 2008
  • Laatst online: 09:19
Zolang er programma's zijn zulllen er lekken zijn.
Microsoft brengt voor windows ook regelmatig updates uit om nieuw gevonden lekken te dichten.

Daarnaast is wordpress de meest gebruikte CMS oplossing. Wil je meer veiligheid kan je uitwijken naar Drupal of Joomla omdat dat minder interessant is vanwege de hoeveelheid gebruikers. Maar vanwege minder gebruikers is daar weer de keuze uit minder invoegtoepassingen.

Wil je de beveiliging dan op orde krijgen dan is de meest logische optie basis installatie zonder plugins en met automatische updates. Maar dan heb je weer niet de mooie thema's die je nodig hebt.

Acties:
  • 0 Henk 'm!

  • fopjurist
  • Registratie: Mei 2021
  • Niet online

fopjurist

mr.drs. fopjurist

StudentBas schreef op maandag 4 oktober 2021 @ 13:43:
Ik zit in het tweede semester van HBO-ICT. Ons is gevraagd een onderzoek uit te voeren naar een ICT gerelateerd probleem en een aanbeveling te schrijven. Daarnaast moet er een protoypte (minimum viable product) opgeleverd worden wat zou kunnen bijdragen aan een oplossing.
Ik zou mijn beperkingen erkennen en de aansprakelijkheidsvraag overlaten aan de juristen. Ik zal hieronder een korte versie schetsen van hoe de situatie met Wordpress Foundation juridisch in elkaar zit, maar die is onvolledig en bevat niet alle nuanceringen. Ik ga ook niet in op andere partijen zoals de hoster en de webmaster.
Qua juridisch heb ik me laten vertellen dat WordPress nooit aansprakelijk kan zijn. Er is namelijk geen sprake van een wederzijds contract. Ik heb iemand gesproken die een zaak wilde aanspannen tegen WordPress omdat hij alle richtlijnen gevolgd had. Ook toen bleek WordPress niet aansprakelijk gesteld te kunnen worden. Ook in de licentie staat niks specifieks vermeld over dit onderwerp. De reden dat ik het hier vraag is omdat ik weinig kennis op dit gebied heb, en zo mogelijk iets over het hoofd zie.
Juridisch bestaat 'nooit aansprakelijk' niet. Elke regel heeft uitzonderingen.
Ik zie wel een overeenkomst (contract) met Wordpress. Wordpress doet het aanbod om hun software gratis te gebruiken en dat aanbod aanvaard je. In de licensieovereenkomst staat een 'no warranty'-clausule en een exoneratiebeding. De prestatie van de Wordpress Foundation uit hoofde van overeenkomst is daardoor zo'n beetje beperkt tot het leveren van de software, en dat doen ze ook, dus er is geen tekortkoming in de nakoming. Aansprakelijkheidsstelling door niet-nakoming wordt verder bemoeilijkt door de leer uit het arrest Fokker/Zentveld omdat je niet voor de software hebt betaald. Als Wordpress opzettelijk of bewust roekeloos handelt en je daardoor schade lijdt is zo'n exoneratiebeding niet geldig. Je kunt je schade dan wel vergoed krijgen.
Je kunt een partij ook aansprakelijk stellen via het leerstuk van de onrechtmatige daad. Daarvoor moet de Wordpress Foundation iets doen of nalaten wat wettelijk niet is toegestaan of in het maatschappelijk verkeer onbetamelijk is. Hierbij kun je denken aan het veel te laat repareren van een lek dat bij de Wordpress Foundation bekend is, het inbouwen van een backdoor, het laten verlopen van een domeinnaam van waar code wordt ingeladen zonder eerst een update uit te brengen, enz.
Denk ook aan het praktische aspect. Je zult niet de enige partij met schade zijn en de Wordpress Foundation is niet zo rijk.
Voor plugins geldt hetzelfde als je 'Wordpress Foundation' door de ontwikkelaar van de plugin vervangt.

Beschermheer van het consumentenrecht


Acties:
  • 0 Henk 'm!

  • Tens
  • Registratie: Maart 2006
  • Laatst online: 16:40
StudentBas schreef op maandag 4 oktober 2021 @ 13:43:
Dank voor de reacties! Op veler verzoek wat context😉

Ik zit in het tweede semester van HBO-ICT. Ons is gevraagd een onderzoek uit te voeren naar een ICT gerelateerd probleem en een aanbeveling te schrijven. Daarnaast moet er een protoypte (minimum viable product) opgeleverd worden wat zou kunnen bijdragen aan een oplossing.

Het probleem dat ik wil behandelen zijn de vele hacks in WordPress.
de vele hacks......... hier maak je het jezelf al moeilijk, je begint met een aanname.

hacks in WP.... daar heb je al diverse oorzaken, bv adminwachtwoord, onveilige plugins, en WP up to date ja/nee.
Door welke kwetsbaarheid komen de meeste hacks voor?
Aanbeveling is nog wel te doen, maar een prototype, wat stel je je daarbij voor?

if you are neutral in a situation of injustice you have chosen the side of the oppressor


Acties:
  • 0 Henk 'm!

  • Jester-NL
  • Registratie: Januari 2003
  • Niet online

Jester-NL

... pakt een botte bijl

StudentBas schreef op maandag 4 oktober 2021 @ 13:43:
Dank voor de reacties! Op veler verzoek wat context😉

Ik zit in het tweede semester van HBO-ICT. Ons is gevraagd een onderzoek uit te voeren naar een ICT gerelateerd probleem en een aanbeveling te schrijven. Daarnaast moet er een protoypte (minimum viable product) opgeleverd worden wat zou kunnen bijdragen aan een oplossing.

Het probleem dat ik wil behandelen zijn de vele hacks in WordPress. Ik heb een aantal interviews gehouden met gebruikers, die me uitlegden dat ze WordPress vooral vanuit financieel oogpunt gebruiken. Daarnaast kan er met weinig technische kennis toch een uitgebreide website worden gebouwd. De meesten denken hierbij niet na over veiligheid. Ze gaan ervan uit dat het niet aangeboden zou worden wanneer het niet veilig is, of hun website zou te klein zijn en daardoor niet de moeite waard. ( Eventuele aanvullingen zijn zeker welkom).

Wat ik tot nu toe onderzocht heb zijn de thema’s en plugins. Deze worden zowel door professionele partijen geschreven als door amateurs. Hierdoor zijn er veel kwetsbaarheden. WordPress hanteert een zogenaamde ‘coding standaard’ maar die richt zich puur op gebruiksvriendelijkheid, veiligheid is geen issue. Daarnaast zijn/waren de updates een probleem, slechts 62,6 procent van de gebruikers had begin 2021 de CMS geüpdatet tot de laatste versie. Er is een levendige markt in gekraakte (nulled) themes en plugins. Het komt veel voor dat hierin een stukje dubieuze code wordt verwerkt. Tevens is er een openbare inlogpagina die gevoelig is voor brute force attacks.
Ik heb niet heel veel ervaring met Wordpress. Ik heb wel een handvol test-domeintjes, waar ik een paar installaties op heb uitgevoerd. Bij mijn hoster heb ik de mogelijkheid om via een stuk software dat op de hostingservers is geïnstalleerd allerlei andere software te installeren, en dat op een dusdanige manier dat updates (en de bijbehorende back-ups) automatisch worden geïnstalleerd. En dat geldt dan niet alleen voor het CMS, maar ook voor de geïnstalleerde plug-ins. En toch wil het gros van de mensen hun Wordpress liever zelf installeren.
Mijn installatie komt al gelijk met de vraag of de wp-admin beschermt moet worden tegen brute force aanvallen, EN de suggestie 2FA te activeren.
Het gebruik van gratis varianten van bepaalde betaalde thema's en plug-ins... tja. Dat mensen daar sinds Limewire nog intrappen verbaast me (soms).

Hoe dan ook, het niet updaten van software is altijd een issue. Kijk in dit forum maar naar het draadje over het verlopen certificaat van Let's Encrypt. En de software achter je website is stukken onzichtbaarder dan het OS dat je gebruikt.
Ik wil onderzoeken hoe niet technische WordPress gebruikers toch wat kunnen bijdragen aan de veiligheid van hun sites. Hiervoor wil ik een website online zetten, die met behulp van python code (gecombineerde scripts) een scan kan uitvoeren, waarbij gebruikers alleen de domeinnaam en/of ip hoeven in te voeren. Denk aan een poortscan, een tool die de sterkte van de wachtwoorden checkt, kijkt of er updates beschikbaar zijn etc.
Ik denk niet dat dat gaat werken. Het gros van de mensen wier site gehackt is merkt het niet. De site wordt gebruikt voor spam, en niet gedefaced ofzo. Er zijn internationaal zat clubs die dat in de gaten houden. En het overgrote deel van de mensen dat erop gewezen wordt dat hun domein gebruikt wordt om te spammen, hoopt dat het vanzelf ophoudt (en probeert het zo snel mogelijk te vergeten dat ze zojuist gewaarschuwd zijn actie te ondernemen, want wat moeten ze doen?
Qua juridisch heb ik me laten vertellen dat WordPress nooit aansprakelijk kan zijn. Er is namelijk geen sprake van een wederzijds contract. Ik heb iemand gesproken die na een hack een zaak wilde aanspannen tegen WordPress omdat hij alle richtlijnen gevolgd had. Ook toen bleek WordPress niet aansprakelijk gesteld te kunnen worden. Ook in de licentie staat niks specifieks vermeld over dit onderwerp. De reden dat ik het hier vraag is omdat ik weinig kennis op dit gebied heb, en zo mogelijk iets over het hoofd zie.
Belangrijk om je te realiseren is dat Wordpress een gratis stuk software biedt, met allerhande (gratis) plugins van zichzelf en derden, en dat jij, als gedupeerde eigenaar van een website hard zult moeten maken dat het feit dat je gehackt bent op nalatigheid van Wordpress is terug te voeren...
Met andere woorden, je zult moeten kunnen bewijzen dat je Wordpress en plugins de allernieuwste versies hadden, dat er geen issues waren met de PHP op de server, dat het OS van de server 100% up-to-date en secure was, EN dat de site-hack heeft plaatsgevonden middels een zwakte in Wordpress. Pas dan is er een kans dat ze je gelijk geven.

The sky above the port was the color of television, turned to a dead channel
me @ last.fm


Acties:
  • 0 Henk 'm!

  • kodak
  • Registratie: Augustus 2001
  • Laatst online: 18:12

kodak

FP ProMod
StudentBas schreef op maandag 4 oktober 2021 @ 12:05:
Bij dit CMS maakt de gebruiker zelf een eigen website en installeert plugins/thema's die door derden zijn gemaakt. Ik begrijp dat WordPress niet aansprakelijk kan worden gesteld wanneer de hacker is binnengekomen door een plugin of thema. Maar kan WordPress dan ook niet aansprakelijk worden gesteld wanneer er een lek zit in het officiële CMS?
Je kan ook eerst de vraag stellen wie er allemaal belang hebben en waarom. En bedenk daarna wie wie aansprakelijkheid wil stellen voor wat, en waarom dat wel of niet logisch zou zijn.
Misschien kom je dan wel tot de conclusie dat Wordpress aansprakelijk kan zijn voor het aanbieden van plugins die niet veilig zijn, of een gebruik aansprakelijk kan zijn zich niet afgevraagd te hebben of de website wel veilig was.
Pagina: 1