Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Meeste webapplicaties niet up-to-date

  • Door
  • Arnout Veenman
  • geplaatst op
  • 30 juli 2010 08:01 uur

Het is slecht gesteld met de veiligheid van webapplicaties. Zo blijkt dat het merendeel van de installaties van de meest gebruikte webapplicaties niet up-to-date is. Dit heeft het bedrijf Qualys ontdekt van de met hun zojuist vrijgegeven opensource tool BlindElephant. Deze tool maakt het mogelijk om de versie van geïnstalleerde webapplicaties op basis van fingerprinting van statische bestanden via het web vast te stellen.

Volgens het onderzoek van Qualys is geen enkele PHPbb installatie up-to-date en alle installaties zijn daardoor kwetsbaar voor hackers. Het is niet veel beter gesteld met de installaties van andere webapplicaties. Ook het grootste deel van de phpMyAdmin installaties blijkt lek te zijn. De volledige lijst met de webapplicaties die door Qualys is onderzocht ziet er als volgt uit: PHPbb (100%), Mediawiki (95%), Joomla! (92%), MovableType (91%), phpMyAdmin (85%), Moodle (74%), Drupal (70%) en SPIP (65%).

Opvallend is dat WordPress installaties opvallend vaak wel up-to-date zijn. Van alle WordPress installaties is maar 4% niet up-to-date. De reden hiervoor lijkt te zijn dat het updaten van WordPress (inclusief alle plugins en themes) een kwestie is van  één enkele muisklik. Vermoedelijk is de oorzaak van het feit dat de installaties van andere webapplicaties niet up-to-date zijn, een combinatie van gemakzucht alsook dat het vaak een crime is om webapplicaties (handmatig) te updaten.

vincent, 30 juli 2010 9:25 am

Jammer dat er geen verwijzing naar het onderzoek gemeld is. Hoe groot is bijvoorbeeld de populatie van deze steekproef? Ik kan met namelijk niet voorstellen dat er werkelijk geen enkele phpBB installatie te vinden is die niet de laatste versie draait. Dat geeft te denken hoe betrouwbaar de overige getallen zijn.

Wordpress geeft overigens een een vrij irritante melding op alle admin pagina's mbt updaten. Je wilt wel updaten om dat ding daar weg te krijgen. Dat zal ook wel schelen ;)

De tool lijkt me vooral erg nuttig voor de scriptkiddies/scanners/...

Suzanne [Byte Internet], 30 juli 2010 11:11 am

Inderdaad jammer dat er niet meer informatie over het onderzoek wordt gegeven, maar de boodschap van het artikel blijft natuurlijk erg belangrijk. Het tijdig updaten van webapplicaties is essentieel om een site te beschermen tegen hacks. Veel mensen denken dat het risico wel meevalt of dat hun site te klein of onbelangrijk is. Het zijn echter juist sites met standaard software zoals Joomla, Drupal en WordPress die het slachtoffer worden, vooral daar waar budget en tijd voor beveiliging ontbreekt.

Omdat veel website eigenaren zich niet bewust zijn van de risico’s, vinden we bij Byte Internet dat hier ook een belangrijke taak ligt voor de hoster. Deze dient het upgraden zo eenvoudig mogelijk te maken en zorgen dat er duidelijke uitleg beschikbaar is. Daarnaast dienen er duidelijke en tijdige berichtgeving en reminders te zijn over upgrades en veiligheidslekken en risico’s van verouderde versies. Meer hierover leggen we uit op onze site: http://www.byte.nl/docs/Waarom-Software-Upgrades.html.

Lennie, 31 juli 2010 5:35 pm

Dan te bedenken dat Wordpress volgens deze statistiek ook nog de grootste is:

http://w3techs.com/technologies/overview/content_management/all

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.