Gebruikers van Drupal dienen direct actie te ondernemen:
https://www.drupal.org/PSA-2014-003

Daarom ben ik altijd al fel een tegenstander geweest van open source oplossingen zoals Drupal, Magento, Wordpress en dergelijke systemen. Continu zijn er bugs en gaten in de beveiliging, en wordt het voor de duizendste keer gehackt.

Inderdaad, de core-update of de patch moet zo snel mogelijk gebeuren!
Ik heb de core-update meteen gedaan toen de security update uitkwam!
Elke seconde dat deze niet gepatched is, bestaat de kans dat je gehacked wordt.

Origineel gepost door gast121593

Daarom ben ik altijd al fel een tegenstander geweest van open source oplossingen zoals Drupal, Magento, Wordpress en dergelijke systemen. Continu zijn er bugs en gaten in de beveiliging, en wordt het voor de duizendste keer gehackt.

Mee eens, maar het moet snel en het mag vaak geen cent kosten. Dit is het risico dat ze dan lopen.

Origineel gepost door gast121593

Daarom ben ik altijd al fel een tegenstander geweest van open source oplossingen zoals Drupal, Magento, Wordpress en dergelijke systemen. Continu zijn er bugs en gaten in de beveiliging, en wordt het voor de duizendste keer gehackt.

Ben ik niet mee eens.
Bij custom code zijn er ook vaak bugs en gaten in de beveiliging, maar hier kraait geen haan over. Indien gehackt is het veel uitzoekwerk waar het probleem zich net bevindt.
Bij Drupal is een hele community die meewerkt aan het project. Als iemand een probleem ontdekt wordt dit meteen met de community gedeeld en gefixt.
Bij custom code kan je blijven zitten met een grote beveiligingsbug en je merkt het pas als je site gehackt is.

Origineel gepost door S. van Laere

Gebruikers van Drupal dienen direct actie te ondernemen:
https://www.drupal.org/PSA-2014-003

Ja direct... Stap nog vandaag over op een echt CMS. Wordpress!

Origineel gepost door Rogier van E

Ja direct... Stap nog vandaag over op een echt CMS. Wordpress!

Kijk eens aan, hier staan ook wat Security releases tussen: https://wordpress.org/news/category/releases/ :-)

Ik ben het volledig met Joris eens.
En Stijn je hebt gelijk natuurlijk gebeurt het ook bij custom scripts.
Maar het is een feit dat de source open is en daarom door iedereen kan worden bekeken, plus nog het feit dat exploits ook nog bekend zijn en zo niet snel bekend zijn, tenminste sneller dan dat ze zijn opgelost.
Daar waar het bij custom scripts natuurlijk giswerk is, natuurlijk is het afvangen van elke mogelijke userinput heel belangrijk anders is ook het custom verhaal zo lek als een mandje.
100% veilig bestaat eigenlijk niet, het is allemaal zo sterk als het zwakste schakel.

Wordpress gebruik ik al jaren, en het is mij twee keer gebeurd dat een WP site gehackt was, in beide gevallen lag het aan een brakke wysiwyg editor plugin, dus hierna heb ik besloten om geen wysiwyg plugins meer te gebruiken tot volle tevredenheid.

Maar Opensource gebruikers, moeten toch meer investeren in veel betere wachtwoorden en inlognamen, dus ook geen admin meer gebruiken als inlognaam voor wp-inlog, maar dit geldt ook voor de database naam , wachtwoord etc. Maak hackers moeilijker om te hacken, want de meeste hackers zijn lui en de echte hackers gaan voor grotere werk tegenwoordig zoals advertentie`s netwerken hacken.

Men kan ook investeren in betere firewalls voor wordpress of drupal, maar ook voor Directadmin of Cpanel, hier voor zijn er genoeg opensource en betaalde optie`s voor.
Gebruik brute-force plugins voor admin inlog!

Beperk plugins voor opensource cms, Hou zelf de controle!

Update direct! niet twijfelen! Dus eerst backup maken en daarna updaten! Update je niet! dan ben je gewoon lui..

Ik ben van mening dat opensource veiliger is dan een custom script van paar honderd euro, een community kan mee kijken of een script veilig is of niet en bij een custom niet en als je een custom script hebt staan op tientallen of honderden domeinen, dan ben je ook echt de sjaak en of heb je een goede investering gedaan om alles gelijkmatig te updaten.

Heb je een statisch content, kijk er naar om server niet beschrijfbaar te maken, behalve voor jezelf natuurlijk.

Nog meer tips? deel ze

Als je (zoals goede hackers ook doen) de security fixes bijhoudt, dan kun je een statistische inschatting maken hoeveel exploits er nog NIET gevonden zijn. Daarnaast kun je ook nog eens de volledige code inzien, megalange bruteforces (niet alleen pw's, maar ook exploit technieken) erop loslaten en vervolgens op je gemak een exploit maken.
Die ga je eerst gebruiken om je imperium van powned servers te laten groeien en zodra je merkt dat je op een honeypot bent gekomen, ga je de exploit op de zwarte markt voor megabucks verkopen.
Daarna wordt de vlek van gehackte sites en misbruik ervan groter en wordt er gesproken van 'in het wild' en krijgt het een CV nummer, iemand gaat een patch maken en x tijd later wordt ie released/openbaar.

Dan gaat elke hacker als een dolle aan de slag om zoveel mogelijk van de markt te 'vangen' voordat de boel gepatched is. Omdat de meesten al jaren hun eigen bots gebruiken om versies te spideren, weten ze al precies welke exploit op welke domeinen gaat werken.

En dan heb je dat maatwerk scriptje. Waarvan niemand precies weet hoe het werkt, waar al je testjes gewoon in de logs komen te staan en waar wellicht een programmeur nog een paar beveiligingen heeft ingebouwd.

Over dat maatwerk is weinig te zeggen, maar je kunt met zekerheid zeggen dat je met een open-source cms veel sneller de sjaak bent dan met een maatwerk script. (Uitgaande van programmeurs van hetzelfde nivo en resources).

Het 'gratis' zijn van succesvolle open-source betaal je op termijn gewoon terug aan tijd/geld voor updates, resourcegebruik, beheer en als je pech hebt aan herstel.