Linke soep

Met maar een heel klein beetje voorkennis kun je een heleboel sites eenvoudig hacken. Vandaag kreeg ik bijvoorbeeld een ongetwijfeld geautomatiseerd bezoekje van een kwaadwillende die op de volgende manier probeerde de vertrouwelijke gegevens van deze site te bemachtigen.

http://feij.nl/wp-content/themes/urbancity/lib/scripts/download.php?file=../../../../../../config.php

In het ruime aanbod van gratis WordPress thema’s worden foutjes gemaakt, bewust of onbewust. Als je een aantrekkelijk thema hebt dat veel wordt toegepast of uitgeprobeerd zal dat ruim rondzwerven en kun je best een scan-rondje maken. Dat is weliswaar al ontdekt (WordPress Urban City theme suffers from an arbitrary file download vulnerability) maar zal niet door iedereen direct als gevaarlijk worden gezien. Ik was me er bijvoorbeeld ook niet van bewust en controleer niet eerst alle code van de thema’s die ik probeer. Ik gebruik deze thema’s overigens niet.

Als de websitehoster keurig zorgt dat de MySQL database niet zomaar van buiten het eigen netwerk kan worden benaderd valt de schade hier nog mee, maar dat is niet overal het geval. De moraal: verwijder je niet gebruikte thema’s.