Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Wordpress broedt op keurmerk voor veilige plug-ins

Door: Jasper Bakker | 04 mei 2011 07:11

Apple

De makers van Wordpress willen onveilige plug-ins aanpakken en zo de beveiliging van het open source CMS op te krikken. Er komt een keuring maar het wordt “geen Apple app store”.

“We kunnen op dit moment plug-ins die gehost zijn in de plug-ins directory niet modereren. Het is simpelweg teveel code [om door te nemen - red.]. Maar we hebben wel betere manieren nodig om plug-ins ‘op te heffen’ als de developers daarvan niet reageren op security-meldingen”, zegt Wordpress-hoofdontwikkelaar Mark Jaquith. Hij reageert op vragen van Webwereld over de onveiligheid van plug-ins voor veelgebruikte content management systemen (CMS’en) als Wordpress, Joomla en Drupal.

Toezicht

Die onveiligheid is naar voren gekomen uit onderzoek door HP’s security-tak TippingPoint. Onveilige plug-ins zorgen bij het onderliggende systeem security-problemen op. “Plug-ins zijn net zo krachtig als WordPress zelf. Het mes snijdt aan twee kanten.”

De ontwikkelaars van het CMS kunnen volgens Jaquith niet veel doen tegen onveilige plug-ins. “De core-software kan exploits niet voorkomen.” Wel overweegt WordPress om monitoring in te stellen voor bestandswijzigingen, wat gebruikers moet waarschuwen voor mogelijke problemen.

Jaquith vertelt dat Wordpress nu bezig is aan een systeem om plug-ins beter te controleren. “Ik wil niet dat de plug-in repository wordt zoals Apple’s app store, waar elke code-update eerst goedgekeurd moet worden. Maar we kunnen er wel beter op toezien, zonder daarmee plug-in developers onnodig te belasten.”

Keurmerk

Hij maakt nog onderscheid tussen plug-ins van ontwikkelaars die ook code bijdragen aan WordPress en die van ‘externe’ partijen. De plug-ins van eerstgenoemden zijn volgens hem van hogere kwaliteit en “hebben veel minder security-kwesties.”

Jaquith zegt dat Wordpress dat onderscheid ook wil duidelijk maken aan gebruikers. “We onderzoeken nu een manier om die vertrouwensfactor te communiceren aan Wordpress-gebruikers, zodat ze weten dat een plug-in maker weet wat hij doet.” Het is nog niet duidelijk hoe en op wat voor termijn zo’n ‘keurmerk’ vorm krijgt.

Mike Dausin, manager van HP Tippingpoints DVLabs, vertelt aan Webwereld dat controle van plug-ins, zoals webbrowser al doen, zeker een goede tegenmaatregel zou zijn. “Sommige CMS’en doen dat al enigszins door ‘officiële’ plug-ins [te presenteren - red.]. Ik denk dat dat in de toekomst een standaardfunctie wordt in alle CMS’en.”

Boosdoeners

Wordpress-hoofdontwikkelaar Jaquith erkent dat veel kwetsbaarheden in CMS’en voortkomen uit ongepatchte (of qua patches achterlopende) plug-ins. Dat is de conclusie van het CMS-onderzoek van HP’s DVLabs. “Dat is zeker waar.”

“De WordPress-kern wordt gemonitord door vele, vele ogen. We kunnen security-fixes relatief snel uitbrengen. Als iemand security-problemen heeft met de Wordpress-core dan is dat altijd omdat ze niet hebben ge-update. Niet omdat wij niet snel genoeg hebben gepatcht”, claimt hij.

Externe developers

Plug-ins hebben volgens hem een veel slechtere voorgeschiedenis wat security betreft. “Veel daarvan zijn gemaakt door een enkele ontwikkelaar, die het misschien niet aankan om een veilige webapplicatie te schrijven.”

Daarnaast speelt kennisgebrek mee, zegt Jaquith. WordPress wil dat aanpakken met onder meer ontwikkelaarsbijeenkomsten en cursussen. “En ik heb nog wel enkele ideetjes voor trainingen door derde partijen.”

Dausin van HP wijst erop dat security afwingen zeer moeilijk is. “Je hebt dan zeer goede documentatie nodig én het druist in tegen het voornaamste ‘verkoopargument’ voor deze software. De developers willen hun software nuttig maken voor een zo groot mogelijk aantal gebruikers. De beste manier om dat te doen, is zo min mogelijk beperkingen opleggen aan andere developers die je product willen uitbreiden.”

0 Reacties op: Wordpress broedt op keurmerk voor veilige plug-ins

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • Er zijn nog geen reacties op dit artikel.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.