Haxxorz l33t security

matthias@netsensei.nl (Matthias Vandermaesen) — Sat, 27 Sep 2008 08:22:37 +0000

Welja, ik ben natuurlijk nieuwsgierig naar de mate waarin mijn plugin wordt geïnstalleerd en opgepikt. En natuurlijk durf ik dan al eens rond te googlen. Dus gooide ik even wp-mollom als trefwoord door Google.

Wat mij opviel in het lijstje was dit:

Inderdaad, een open directory bij Clopin. Blijkbaar heeft Clopin niet alleen de plugin op zijn blog gegooid, maar ineens de volledige wp-mollom/ folder inclusief screenshots. Via die toegang is het een koud kunstje om zijn plugins/ folder uit te lezen. En uit die informatie kan ik meteen een aantal dingen afleiden.

Clopin maakt – uiteraard -gebruik van WordPress.
Ik weet nu welke plugins Clopin op zijn WordPress blog heeft draaien.
Aan de hand van de data waarop de files en folders werden aangemaakt zie ik of er oudere en nieuwere plugins tussen staan.
Ik ken nu niet alleen de actieve plugins – waaronder de plugins die in alle stilte hun werk doen -, maar ook alle, waartussen wel eens oudere, vergeten versies zitten, inactieve plugins.
Ik weet meteen ook het model webserver en eventuele modules waarop Clopin.be draait.

Het spreekt voor zich dat dit vrij interessante informatie is voor kwaadwillige hackers. Door veiligheidslekken in oudere plugins uit te buiten, kunnen die wel eens lelijk huis houden. Niet dat ik daarmee iets nieuws vertel, maar ik vind het een mooie aanleiding om dit probleem even aan te kaarten. Ook anderen bloggers tonen eveneens voor Jan, Pier en Pol welke plugins ze op hun blog hebben draaien. Google indexeert die volledige folder trouwens. En nog een pak meer.

Anderen zijn voorzienig geweest en schermen de boel volledig. Probeer maar eens met die laatste google zoekopdracht dezelfde informatie te achterhalen en naar hun plugins/ folder te surfen.

Wat kan je hieraan doen?

Wel, je kan verschillende strategieën gebruiken. De meest eenvoudige is een – al dan niet lege – index.php file in de folder te droppen waardoor je de inhoud van de folder onzichtbaar wordt. Of je, als je wat avontuurlijk bent aangelegd, een .htaccess file aanmaken die toegang tot de folder blokkeert. Let wel op dat je de boel niet te hard dicht timmert waardoor je blog kapot gaat.

Lees meteen ook even dit artikel met 3 eenvoudige tips om je WordPress website te beveiligen. (via bram.us)

O ja, ik ben zelf een tweetal jaar geleden het slachtoffer geweest van een hacker. Ik heb de tips in kwestie toen al toegepast. Geen overbodige luxe dus.

Gehacked (2)

matthias@netsensei.nl (Matthias Vandermaesen) — Wed, 13 Sep 2006 13:13:41 +0000

Ja. Ik ben gehacked. Ik weet niet hoe, of wat. Dat zal de komende dagen moeten worden uitgewezen. De hacker beperkte zich tot de ‘categories’ van WordPress: hij heeft alle categoriën hernoemd met een eigen mooie boodschap. Tot slot heeft hij een meta tag kunnen invoegen die automatisch bezoekers afleidde naar zijn eigen mooie website.

Al bij al geen grote schade maar het is een boodschap: je bent nooit helemaal veilig! Ik denk dat ik nog geluk heb gehad dat ik de afgelopen jaren nooit eerder ben gehacked geweest. Ik draai nochtans de laatste versie van WordPress met een aantal plugins en de K2 theme. Een vrij standaard installatie. Voorlopig heb ik alle plugins uitgeschakeld en heb ik het standaard Kubrick theme opstaan. K2 maakt nogal gebruik van een aantal fancy javascript en andere truken. Ik hoop zo verdere problemen te vermijden. Als er toch nog iets gebeurt, dan weet ik dat het aan WordPress zelf ligt. Ik heb ondertussen ook een extra backup gemaakt van mijn databank. Stel dat het zaakje escaleert, kan ik altijd terugkeren.

Ik hoop dit weekend eens een inspectie uit te voeren. Ik hoop dat het geen issue is met WordPress zelf. Indien ja, dan hoop ik dat dit snel zal gepatched worden, als ik het kan terugleiden tot een bestaande bugreport.

Zo. Ik hoop dat mijn lezers in deze duistere tijden ook een oogje in het zeil helpen houden. En natuurlijk waarschuw ik iedereen die WordPress gebruikt voor dit gevaar!!

Hacker on Netsensei

Haxxorz l33t security

Gehacked (2)