Wordpress is een veelgebruikt content management system (CMS) wat ook kwetsbaarheden kan bevatten. Deze kwetsbaarheden worden snel misbruikt.

De scanservice die SURFcert aanbood is gestopt, omdat de licentievoorwaarden van de software en database waar onze scanservice op gebaseerd was deze vorm van "security scan as a service" niet meer toelaten.

Alternatieve opties voor instellingen die een scandienst willen blijven afnemen

Opvallend is dat veel diensten werken met een wordpress plugin en de resultaten geven in dezelfde wordpress. Dat maakt het scannen makkelijker (binnen wordpress kan van alles opgevraagd worden) maar dan kunnen de resultaten niet via e-mail naar een soc, wat bij de SURFcert wordpress scan dienst een gewaardeerde aanpak was.

• Instellingen nemen zelf de dienst af bij wpscan https://wpscan.com/pricing valt onder Automattic
• Jetpack protect plugin van dezelfde makers https://jetpack.com/protect/ waarbij je de info in een dashboard in wordpress krijgt (geen mail dus), valt ook onder Automattic
• wpsec (oude naam wpscans.com, meervoud dus) https://wpsec.com/ instellingen zouden dit zelf af moeten nemen
• hackertarget https://hackertarget.com/wordpress-security-scan/ idem
• Security ninja plugin https://wordpress.org/plugins/security-ninja/ geeft dus ook info in een dashboard in wordpress (geen mail dus)
• Pentest tools wordpress scanner https://pentest-tools.com/cms-vulnerability-scanning/wordpress-scanner-online-wpscan instellingen zouden dit zelf af moeten nemen
• WP neuron wordpress hosting en scanning https://wpneuron.com/wordpress-vulnerability-scanner/
• Quttera plugin https://wordpress.org/plugins/quttera-web-malware-scanner/ info in een dashboard, wil graag plusdiensten verkopen
• Sucuri https://sitecheck.sucuri.net/ eerste testje gratis, wil graag plusdiensten verkopen
• Vulners wordpress plugin https://vulners.com/plugins 30-day trial, daarna betalen

Ontwikkeling eigen SURFcert wordpress security plugin

Binnen SURFcert word gewerkt aan het automatisch beschikbaar maken van actuele scanresultaten via het netwerkdashboard. We onderzoeken ook de optie om een wordpress plugin te ontwikkelen die versienummers rapporteert naar een systeem van SURFcert wat dan de actuele beveiligingsstatus van die versies controleert en de resultaten geeft in het netwerkdashboard en eventueel via e-mail (afhankelijk van ernst bevindingen).

Dit past in een bredere ontwikkeling rond het netwerkdashboard om informatie die niet urgent genoeg is voor een SURFcert incident wel beschikbaar te stellen zodat aangesloten instellingen ook verder aan hun mogelijke kwetsbaarheden kunnen werken.

Maar dit is een ontwikkeling, en we zoeken nog testers: instellingen die een wordpress plugin willen installeren die naar een server van SURFcert de versienummers van wordpress-core en alle plugins (ook inactieve plugins) rapporteert.