Opensource CMS’en niet alleen kwetsbaar door techniek, maar vooral ook door beheerder(s)

Een vaak gehoord geluid is dat opensource CMS’en kwetsbaar zouden zijn voor aanvallen van buitenaf. Wereldwijd zou WordPress de ‘koploper’ zijn. Op zichzelf is dat nog wel te begrijpen, met ca. 22% marktaandeel van alle websites. De kwetsbaarheid ligt echter veelal bij de beheerder(s).

• Beheerder kan met eenvoudige hulpmiddelen ‘gewone’ aanvallen fors reduceren

Brute-Force-AttackEen vaak gepubliceerd advies is niet de naam ‘admin’ te gebruiken als inlognaam. Natuurlijk kan dat best wat complexer, zodat robotjes niet deze voor de hand liggende naam kunnen gebruiken om proberen ‘binnen te komen’. Als je dan nog een wachtwoord kiest als ‘123456789’, dan maak je het voor ‘inbrekers’ wel erg makkelijk. Die inbrekers zijn vaak robotjes die geautomatiseerd een test doen op de herkenning van het type website, dus door http://www.naamwebsite.xx/wp-admin de sturen naar ontelbare hoeveelheden websites. Als er geen foutmelding wordt ontvangen, dan probeert het robotje de voor de hand liggende naa ‘admin’ als gebruikersnaam in te voeren en probeert vervolgens talloze wachtwoorden om binnen te komen.

Vaak echter zonder succes, maar het hindert de website wel in zijn performance voor gewone gebruikers, daar dit soort mechanismen makkelijk een paar uur lang kunnen doorgaan en zelfs de server plat kunnen ‘leggen’. Er zijn veel gereedschappen die zulke aanvallen kunnen voorkomen, zoals bijvoorbeeld een plug-in om het aantal inlogpogingen vanaf één IP adres te beperken. Ook kunnen providers de nodige maatregelen doen om via DNS voorzieningen aanvallen te blokkeren. Ook is een extra authenticatie ronde een overweging waard.

Recente wereldwijde verdeling van de zogenaamde BKDR_FIDOBOT.A attacks

Recente wereldwijde verdeling van de zogenaamde BKDR_FIDOBOT.A attacks

Op WordPress niveau kan nog meer gedaan worden, zoals het bijhouden van login pogingen, ook weer door middel van een plug-in. Over plug-ins, thema bestanden en de WordPress kern gesproken, zorg er altijd voor dat u uw gehele web omgeving steeds up to date houdt. Veel updates laten niet of nauwelijks nieuwe functionaliteit zien, maar zijn vaak updates die eventuele kwetsbaarheden opheffen. Een advies om WordPress 3.x to updaten naar 3.x.x is dus altijd aan te raden. Bij plug-in en thema ontwikkelaars blijft de kwaliteit van het programmeerwerk altijd wel een punt van discussie. Mijn ervaring is dat achter betaalde gereedschappen steeds vaker gerenomeerde bedrijven zitten, die hun eigen producten en hun klanten serieus nemen. Met o.a. InfiniteWP zijn update/upgrade processen te automatisren.

Tot slot zijn er nog talloze interne technische dingen te doen, maar die vergen wat meer kennis en kunde om ze te kunnen uitvoeren, zoals onder het andere het volledig blokkeren van bepaalde php files in het /admin gedeelte van de installatie.