Onder vuur | 3
click voor groter
Toen ik in 2003 bedacht om eamelje.net voortaan op WordPress te draaien, was niet te voorspellen dat dit CMS enkele jaren daarna zo vreselijk populair zou worden. Mijn keuze was er éen uit gemakzucht. Ik snapte zo ongeveer hoe het spul werkte.
MovableType leek de best ontwikkelde software voor een weblog, op dat moment. Maar ik begreep niets van de manier waarop daarmee de pagina’s werden vormgegeven. En dat de hele database herbouwd leek te worden na zoiets simpels als het posten van een berichtje, pleitte evenmin voor dat systeem.
Ook aan de alternatieven was altijd wel iets vreemds, of onhandigs.
Ruim een jaar later al wilde MovableType ineens geld voor zijn software, dus stapten veel toonaangevende webloggers over naar WordPress. En al spoedig kondigden zich ook de eerste massale problemen aan. Als maar genoeg mensen dezelfde programmatuur gebruiken online, kunnen al hun weblogs met wat simpele scriptjes misbruikt worden. Duizenden spamberichten in de commentaarboxen was de eerste overlast, misbruik van de ping- en de trackback-functies de tweede.
Maar dat een CMS vele gebruikers kent, heeft dan éen voordeel. Als die zich collectief tegen indringers keren, worden er ook spoedig oplossingen ontwikkeld. Commentspam is nu in elk geval geen probleem meer.
Ontstaat er wel een andere moeilijkheid. Niet iedereen die een eigen website wil bijhouden, neemt daarvoor genoegen met het klassieke weblogformaat. En WordPress is op alle mogelijke manieren uitgebreid, en via plugins voorzien van allerhande nieuwe eigenschappen. Het fundamentele probleem daarbij is dat al die extra’s niet altijd even zorgvuldig geprogrammeerd zijn.
Dus naast de standaardkwetsbaarheden die elke software heeft die wel eens een opdracht moet uitvoeren, komen er door het gebruik van plugins vele extra lekken in WordPress bij.
Daarom konden mijn weblogs vorige week zo maar gehackt worden, in de zin dat kwaadwillenden wat scripts naar de server konden kopiëren.
Gelukkig lijkt het daar bij te zijn gebleven.
Jammer genoeg weet ik nog altijd niet precies welke plugins precies het lek veroorzaakten, en kost het even tijd de functionaliteit van die dingen hard in de standaardscripts te programmeren.
[x]#5669 fan maandag 9 maart 2009 @ 11:39:20
