Haxxorz l33t security

matthias@netsensei.nl (Matthias Vandermaesen) — Sat, 27 Sep 2008 08:22:37 +0000

Welja, ik ben natuurlijk nieuwsgierig naar de mate waarin mijn plugin wordt geïnstalleerd en opgepikt. En natuurlijk durf ik dan al eens rond te googlen. Dus gooide ik even wp-mollom als trefwoord door Google.

Wat mij opviel in het lijstje was dit:

Inderdaad, een open directory bij Clopin. Blijkbaar heeft Clopin niet alleen de plugin op zijn blog gegooid, maar ineens de volledige wp-mollom/ folder inclusief screenshots. Via die toegang is het een koud kunstje om zijn plugins/ folder uit te lezen. En uit die informatie kan ik meteen een aantal dingen afleiden.

Clopin maakt – uiteraard -gebruik van WordPress.
Ik weet nu welke plugins Clopin op zijn WordPress blog heeft draaien.
Aan de hand van de data waarop de files en folders werden aangemaakt zie ik of er oudere en nieuwere plugins tussen staan.
Ik ken nu niet alleen de actieve plugins – waaronder de plugins die in alle stilte hun werk doen -, maar ook alle, waartussen wel eens oudere, vergeten versies zitten, inactieve plugins.
Ik weet meteen ook het model webserver en eventuele modules waarop Clopin.be draait.

Het spreekt voor zich dat dit vrij interessante informatie is voor kwaadwillige hackers. Door veiligheidslekken in oudere plugins uit te buiten, kunnen die wel eens lelijk huis houden. Niet dat ik daarmee iets nieuws vertel, maar ik vind het een mooie aanleiding om dit probleem even aan te kaarten. Ook anderen bloggers tonen eveneens voor Jan, Pier en Pol welke plugins ze op hun blog hebben draaien. Google indexeert die volledige folder trouwens. En nog een pak meer.

Anderen zijn voorzienig geweest en schermen de boel volledig. Probeer maar eens met die laatste google zoekopdracht dezelfde informatie te achterhalen en naar hun plugins/ folder te surfen.

Wat kan je hieraan doen?

Wel, je kan verschillende strategieën gebruiken. De meest eenvoudige is een – al dan niet lege – index.php file in de folder te droppen waardoor je de inhoud van de folder onzichtbaar wordt. Of je, als je wat avontuurlijk bent aangelegd, een .htaccess file aanmaken die toegang tot de folder blokkeert. Let wel op dat je de boel niet te hard dicht timmert waardoor je blog kapot gaat.

Lees meteen ook even dit artikel met 3 eenvoudige tips om je WordPress website te beveiligen. (via bram.us)

O ja, ik ben zelf een tweetal jaar geleden het slachtoffer geweest van een hacker. Ik heb de tips in kwestie toen al toegepast. Geen overbodige luxe dus.

Trip around the world

matthias@netsensei.nl (Matthias Vandermaesen) — Fri, 01 Dec 2006 11:23:47 +0000

Tijd om zelf eens iets te lanceren. Een tijdje terug had ik stokje ergens zien passeren: trip around the world. Het idee is eenvoudig: via Google Maps neem je een screenshot van een locatie. Bijvoorbeeld Kaap Hoorn. Die plaats je op je blog waarna je lezers moeten raden om welk plaatsje het gaat. De eerste die het juist heeft mag zelf een nieuwe locatie zoeken op Google Maps en het op zijn blog gooien. En zo gaan we door ad nauseam of zo.

Ik begin dus maar meteen met een weggever…

O ja, een tip: zorg ervoor dat de bestandsnaam van je beeldje de locatie niet verraadt 😉

Screenshot on Netsensei

Haxxorz l33t security

Trip around the world