Folder

Welja, ik ben natuurlijk nieuwsgierig naar de mate waarin mijn plugin wordt geïnstalleerd en opgepikt. En natuurlijk durf ik dan al eens rond te googlen. Dus gooide ik even wp-mollom als trefwoord door Google.

Wat mij opviel in het lijstje was dit:

Inderdaad, een open directory bij Clopin. Blijkbaar heeft Clopin niet alleen de plugin op zijn blog gegooid, maar ineens de volledige wp-mollom/ folder inclusief screenshots. Via die toegang is het een koud kunstje om zijn plugins/ folder uit te lezen. En uit die informatie kan ik meteen een aantal dingen afleiden.

• Clopin maakt – uiteraard -gebruik van WordPress.
• Ik weet nu welke plugins Clopin op zijn WordPress blog heeft draaien.
• Aan de hand van de data waarop de files en folders werden aangemaakt zie ik of er oudere en nieuwere plugins tussen staan.
• Ik ken nu niet alleen de actieve plugins – waaronder de plugins die in alle stilte hun werk doen -, maar ook alle, waartussen wel eens oudere, vergeten versies zitten, inactieve plugins.
• Ik weet meteen ook het model webserver en eventuele modules waarop Clopin.be draait.

Het spreekt voor zich dat dit vrij interessante informatie is voor kwaadwillige hackers. Door veiligheidslekken in oudere plugins uit te buiten, kunnen die wel eens lelijk huis houden. Niet dat ik daarmee iets nieuws vertel, maar ik vind het een mooie aanleiding om dit probleem even aan te kaarten. Ook anderen bloggers tonen eveneens voor Jan, Pier en Pol welke plugins ze op hun blog hebben draaien. Google indexeert die volledige folder trouwens. En nog een pak meer.

Anderen zijn voorzienig geweest en schermen de boel volledig. Probeer maar eens met die laatste google zoekopdracht dezelfde informatie te achterhalen en naar hun plugins/ folder te surfen.

Wat kan je hieraan doen?

Wel, je kan verschillende strategieën gebruiken. De meest eenvoudige is een – al dan niet lege – index.php file in de folder te droppen waardoor je de inhoud van de folder onzichtbaar wordt. Of je, als je wat avontuurlijk bent aangelegd, een .htaccess file aanmaken die toegang tot de folder blokkeert. Let wel op dat je de boel niet te hard dicht timmert waardoor je blog kapot gaat.

Lees meteen ook even dit artikel met 3 eenvoudige tips om je WordPress website te beveiligen. (via bram.us)

O ja, ik ben zelf een tweetal jaar geleden het slachtoffer geweest van een hacker. Ik heb de tips in kwestie toen al toegepast. Geen overbodige luxe dus.

Om even verder te reminisceren op de titel van Tom’s laatste literaire feit… Aangezien ik vanmorgen toch in ’t stadje was heb ik gelijk van de gelegenheid gebruik gemaakt om mijn ticket richting Venetië op te pikken bij de reisagent. Terwijl een assistent mij wat extra uitleg aan het geven was stommelden er twee marginale types de zaak binnen. Vader (ongetwijfeld trucker of zo) en zijn 16 jarige zoontje (ongetwijfeld into jumpen).

Het begon met de vraag of ze een foldertje van Disneyland Parijs mochten meenemen. Geen probleem. Maar daar bleef het niet bij. In plaats van de beurt af te wachten begonnen beiden vragen af te schieten op de arme reisagent. En hoe gaan we daar naartoe? (Met de trein. ’t Staat in de folder) En is dat ver van ’t station naar Disneyland? (Neen! ’t Station is in Disneyland. Lees de folder!) En kan je daar blijven slapen? (Nooit naar de Efteling geweest zeker? Open de friggin’ folder!) De boertige stijl van de vader weerspiegelde zich ook in de onbehouwen manier van vragen bij het zoontje.

Afijn, gelukkig wist de reisagent de tegenwoordigheid van geest te bewaren om de twee er meteen op te wijzen dat hij eigenlijk in-the-middle-of-something was waarna hij zich terug tot mij wendde. Het eindigde ermee dat beiden afdropen om later op de dag nog eens terug te keren.

Om maar meteen met Tom te quoten:

Tleven is wijs en al, maar al die andere mensen zijn er wat teveel aan.