28 dec 2019
Laten we voorop stellen, Cerber is een mooie beveiligingsplugin.
Heeft krachtige functies.
Maar de scanner van Cerber.. daar heb je weinig aan.
We leggen aan de hand van voorbeelden uit waarom je weinig aan de scanner van Cerber hebt.
Waarom de scanner van Cerber niet werkt
- Op het moment van schrijven 28-12-2019 kun je de resultaten van de scan nog niet in de juiste volgorde zetten
Daardoor staan Malware bestanden tussen meldingen van ontbrekende bestanden!!
De ontbrekende bestanden zijn in 9/10 gevallen totaal onbelangrijk. Neem nu het ontbreken van de License & Readme*.. of PO/MO bestanden..* License en readme worden verwijderd door specialisten en zelfs onbereikbaar gemaakt door beveiligingsplugins. En de PO/MO bestanden.. dat zijn vertaalbestanden. Die hebben geen impact op de veiligheid, en al HELEMAAL NIET als ze er niet zijn!
- Verdachte code gevonden
Interessant, laat eens zien! NOPE..
Je kunt het bestand openen, dan zie je het hele bestand. Alle code, maar geen enkele aanwijzing wat er dan zo verdacht is aan de code in het bestand.Waarom wordt die code niet dikgedrukt of rood weergegeven?
Waarom is het bestand verdacht?
Er volgt geen informatie in het bestand, in de weergegeven code.
- Groeperen, aanduiding type bestand?
Alles staat door elkaar, de scan gaat van WordPress core bestanden naar bestanden in plugins.Nu weten wij als WordPress nerds best waar alles staat..
Maar met meer informatie zou je als leek ook iets kunnen met de scan, als je bijvoorbeeld ontdekt dat het de bestanden in de WordPress core betreffen: dan kun je die specifiek vervangen. Of een plugin, of het thema.Waarom geen row colors gebruiken? Met een legenda zodat je weet waar je naar kijkt.
En tot slot: als je Cerber wilt gebruiken om de problemen op te lossen.. moet je pro kopen.
Is dat een probleem? Nee zeker niet. Maar het succes is dan alsnog niet gegarandeerd.
Je hebt namelijk nog een aantal keuzes, zoals het wel-of-niet verwijderen van “verweesde bestanden”. Geweldig! Heb jij enig idee wat je je hierbij moet voorstellen?
De bestanden in de uploads map:
Niet ernstig, Ernstig, Zeer ernstig..
Zegt dat je iets?
Stiekem moesten we lachen. Het is typerend voor programmeurs om dit zo vaag aan te duiden. Ieder zijn vak!
En ja, ook wij gebruiken ook wel eens (eigenlijk te vaak) buitenaardse termen in de verwachting dat het duidelijk is 😉
Samenvatting
Dit is een gemiste kans voor Cerber. Cerber is een bijzondere plugin, een complete plugin maar het lijkt erop dat alleen de meest fanatieke beveiligingsexperts ermee mogen werken. Na een dikke cursus?!
Dat terwijl de plugin vertaald is. Dat terwijl Cerber 1 van de weinige scans is die wel doorloopt zonder dat de browsersessie verloopt.
Waarom dit artikel?
Zodat jij weet waar je tegen aanloopt als je “er even een malware scanner overheen haalt” om je gehackte website te repareren.
Verdoe je tijd niet met deze scanner.
PS: werk jij al jaren met Cerber, ben je een expert en begrijp je alles waar ze op doelen?
Zie ik dingen over het hoofd? Laat het gerust weten in de reactieruimte onder dit artikel!
Eigenlijk, heel stiekem willen wij dat Cerber uitgroeit tot 1 van de beste! De potentie is er.
Al een tijdje gebruik ik Cerber. Ben er eigenlijk best tevreden over. Iedere week krijg ik een overzicht van het aantal aanvallen en verdachte handelingen die afgevangen zijn. Misschien is de scanner minder goed maar daar zijn alternatieve voor. Is het wel nodig om iedere keer je website te scannen als je een security plugin hebt draaien?
Een scan op gewijzigde bestanden is met een beveiligingsplugin ook nodig. Het kan alsnog voorkomen dat een lekke plugin de mogelijkheid geeft voor een hack-script om bestanden aan te passen.
Veel “verdachte” handelingen zijn overigens niet gevaarlijk. Veel beveiligingplugins registreren ook de bestandswijzigingen bij updates. Daardoor is het eigenlijk lastig te bepalen of je iets moet doen aan de verdachte handeling.
Bij diverse beveiligingsplugins kun je het zo instellen dat een cache map of bijvoorbeeld een backup map niet meegenomen wordt bij de scan. Zo voorkom je dat je wekelijks duizenden berichten leest die wekelijks terug komen.
Cerber en Ithunes naast elkaar getest. In dezelfde periode zie ik bij Cerber 8 keer dat iemand op zoek was naar kwetsbare PHP-code. Met vermelding IP-adres etc. In het logboek van Ithemes security wordt in dezelfde periode 2 keer een 404 gemeld. Vreemd. Komt dit omdat ze elkaar beïnvloeden?
Beveiligingsplugins kunnen een wisselwerking hebben. Het hangt er vanaf hoe de logs ingesteld staan. Als opslaan van info naar de database gescheven wordt en daar door beide naar gekeken wordt.. dan kan dat een wisselwerking hebben. Of juist wanneer dit naar een serverbestand geschreven wordt.
Ik vermoed dat de beveiligingplugins dit overigens wel ge-whitelist hebben om in ieder geval te voorkomen dat het heen-en-weer loggen niet door blijft gaan.
Kennen jullie malCure Malware Scanner & Firewall? Verwijzingen naar deze plugin kwam ik tegen op forums. Volgens de schrijvers op het forum ontdekte deze plugin malware die andere plugins niet ontdekten. De plugin wordt niet erg vaak gedownload. Ik vraag me af of er een addertje onder het gras zit. Ik heb hem uitgeprobeerd, lijkt niets mis mee te zijn.
is er een scanner die goed werkt? wordfence blijkt niet te werken die probeerde ik vorige maand.. wordfence zag geen problemen terwijl de webhost bestanden in een lijst gaf die niet goed zijn. ik wil alle bestanden eruit halen maar met de juiste scanner