WordPress, een feest voor de eigenaar en hacker

16 jun 2015

1 reactie

Ik programmeer sinds het begin van WordPress, dat wil zeggen sinds dat WordPress 2-3 jaar oud was. Ja dit is al weer 11 jaar geleden aangezien de eerste 1.0 variant van WordPress op 3 januari 2004 te downloaden was.

In die tijd (2002-2004) had je Drupal, Joomla, Mambo en WordPress. Ze vroegen nog aan mij: Zou je niet aan Mambo beginnen? Mambo heeft de toekomst.

En ze hadden gelijk, CMS heeft de toekomst. Echter heeft WordPress dit zeer goed opgepakt en om die reden ben ik na 2-3 jaar met WordPress aan de slag gegaan.

Wat is WordPress?

WordPress is een open source script dat in het begin vooral personen ondersteunde die blogs wilden beginnen, maar de kracht van WordPress en het bedrijf achter WordPress (Automattic) was groter dan een “blogje”.

In 2005 veranderde dit blog systeem langzaam naar CMS. CMS betekent: Content Management Systeem.
Kortom, buiten alleen een stukje tekst werd WordPress langzaam een systeem dat ook content ging ondersteunen. Denk hierbij aan Afbeeldingen, foto-albums, videos, code en meer!

WordPress heeft elk jaar een grote sprong voorwaarts gemaakt en mag zich nu 1 van de grootste CMS-en noemen die er zijn.

Hoge bomen vangen veel wind

Wie opvalt, boven het maaiveld uitsteekt, heeft daar niet alleen voordelen van maar ook nadelen. 1 nadeel bij WordPress is dan ook dat veel hackers zich hebben gericht op dit Open Source systeem.

Open Source betekent dat de code voor iedereen beschikbaar is, gratis en met het recht om het aan te passen.

Aangezien iedereen dit geweldige systeem kan gebruiken. En WordPress over meer dan 40.000 gratis plugins beschikt in de community, kun je begrijpen dat dit niet alleen populair is bij de gebruikers maar ook bij de hackers.

De hackers kunnen elk gewenste plugin testen op lekken en deze gebruiken om de WordPress websites te hacken.

Is hacken zo gemakkelijk?

Nee, je hackt niet zomaar een website of een plugin. Maar als je een doorgewinterde programmeur bent die PHP/HTML en MySql beheert… tja dan kun je met de informatie uit de database en schrijfrechten een lek vinden.. en na lang zoeken een mogelijkheid om via een functie meerdere ongewenste acties uit te voeren binnen WordPress.

Je zou denken dat er niet zoveel knappe koppen zijn die zoeken naar een lek in een plugin, waarmee ze hun spam/reclame kunnen verspreiden. WordPress is gratis te downloaden voor iedereen op de gehele wereld. Er zijn in sommige arme landen best veel personen werkeloos , hele slimme personen die ook hun gezin te eten moeten geven. Zo worden nette burgers met een IT opleiding vaak schrijvers van scripts die veel geld kunnen opleveren.

Hoe kun je een knappe kop kunt tegenhouden..

Wat een hacker vaak wil doen is het inzetten van injecties in de database via de browser, of het plaatsen van bestanden die mails versturen voor zijn product.

Als je weet wat de lekken zijn in plugins weet je ook wat je moet doen om ze tegen te houden.

Hier ben ik gespecialiseerd in. Ik zorg ervoor dat:

1. De navigatie-balk geen injecties toelaat
2. Dat bestanden niet te her-schrijven zijn
3. Dat bestanden niet zomaar op de server gezet kunnen worden
4. Een user niet zomaar in de database te zetten is en user-1 niet zomaar te misbruiken is
5. Dat je een backup hebt van je database en bestanden
6. Dat een hacker niet zomaar de readme bestanden kan lezen om te ontdekken welke WordPress variant je hebt
7. Dat de wp-content mappen niet uit te lezen zijn en plugins/uploads mappen niet verkeerd gebruikt kunnen worden
8. Dat je plugins ge-update worden tijdens de beveiliging en geen gevaar vormen
9. Dat lekke plugins vervangen worden door andere of niet meer in gebruik gesteld worden
10. Dat gebruikersnamen en wachtwoorden niet te gemakkelijk te raden zijn voor bots
11. Dat een brute-force attack niet op je admin uitgevoerd kan worden
12. Dat gebruikers en bots niet meer als 5 pogingen mogen doen om in te loggen

Dat is wat WPbeveiligen doet!