WP / Lavaral

[derocco]

Ich habe eine funktionierende Webapplikation auf WP mit APP, paypal Bezahlmodul etc.
Die wird genutzt um PDF zu generieren mit User Accounts etc für die Verwaltung von Lagerflächen, accounting läuft darüber etc. etc. 0
Ziemlich komplexes Ding.

Gebaut wurde es von einem WP Spezi basieren auf meinen Usecases

Nun haben wir wohl letzte Nacht einen erfolgreichen Angriuff auf die Seite gehabt.

WP scheint da halt etwas anfällig zu sein.

Mit wurde geraten die ganze Applikation neu bauen zu lassen auf Lavaral.

Wie stehen Sich die 2 gegenüber?
Ich fand bei WP die table structur immer zum kotzen, denn alles wird da in posts und postmeta abgelegt mit var(536870911)
Das KANN ja nicht performen wenn ich da zb eine ID Ablege und nach der scanne.

Lavaral scheint da "Normaler" daher zu kommen wenn ich ERD''s ansehe.

 

[SomeDifferent]

Du meinst mit WP WordPress?

Laravel und Wordpress sind zwei grundlegend verschiedene Dinge. Wordpress ist ein CMS. Laravel ein PHP-Framework. Theoretisch könntest du Laravel nutzen um ein CMS zu erstellen. Allerdings auch sämtliche andere Webapplikationen.

Komplexe und auf deinen Anwendungsfall zugeschnittene Anwendungen würde ich niemals nie mit Wordpress umsetzen. Abgesehen von Sicherheitsmerkmalen sind dort Anpassungen doch nur über Umwege und Tricks möglich. Dafür ist Wordpress nunmal nicht wirklich ausgelegt und erzeugt mächtig Overhead.

Ja, ich würde deine Software abseits von Wordpress neu aufbauen. Ob du nun Laravel oder andere Frameworks einsetzt, bleibt dir überlassen.

 

[Joshinator]

Naja, was für eine Lücke wurde denn ausgenutzt? Uralte Wordpress-Version die nie geupdated wurde? Irgendein unsicheres Plugin? Hat einer der Mitarbeiter das Passwort auf nem Postit am Bildschirm? Oder ist Test123 kein sicheres Passwort? Oder war es wirklich ein Wordpress-Problem?

In Laravel kann der Entwickler genauso Schweizer-Käse programmieren.
Wordpress ist der Ikea-Bausatz und Laravel ist der Werkzeugkasten wo du dir selbst deine Möbel zusammenschneidest. Wordpress hat (grade mit Plugins) unglaublich viele Funktionalitäten, aber wenn du ein Bett-Bausatz kaufst und daraus ein Regal machst ist das halt kein tolles Regal.
Laravel hat auch einige fertige Bauteile, aber das ist eher "statt einer Handsäge hast du ne Stichsäge", bauen muss der Entwickler am Ende immer noch.

Wenn das Geld für einen kompletten Neubau da ist und die Limitierungen/Sicherheit von Wordpress ein Problem ist, klar warum nicht einmal sauber anfangen und genau das bauen lassen was ihr braucht.
Aber da ist es nun egal ob Laravel oder gar eine andere Sprache, es ist ein enormer Unterschied ob man Wordpress umbiegt oder sich sein eigenes System entwickeln lässt.

 

[derocco]

Naja, was für eine Lücke wurde denn ausgenutzt? Uralte Wordpress-Version die nie geupdated wurde? Irgendein unsicheres Plugin? Hat einer der Mitarbeiter das Passwort auf nem Postit am Bildschirm? Oder ist Test123 kein sicheres Passwort? Oder war es wirklich ein Wordpress-Problem?

In Laravel kann der Entwickler genauso Schweizer-Käse programmieren.
Wordpress ist der Ikea-Bausatz und Laravel ist der Werkzeugkasten wo du dir selbst deine Möbel zusammenschneidest. Wordpress hat (grade mit Plugins) unglaublich viele Funktionalitäten, aber wenn du ein Bett-Bausatz kaufst und daraus ein Regal machst ist das halt kein tolles Regal.
Laravel hat auch einige fertige Bauteile, aber das ist eher "statt einer Handsäge hast du ne Stichsäge", bauen muss der Entwickler am Ende immer noch.

Wenn das Geld für einen kompletten Neubau da ist und die Limitierungen/Sicherheit von Wordpress ein Problem ist, klar warum nicht einmal sauber anfangen und genau das bauen lassen was ihr braucht.
Aber da ist es nun egal ob Laravel oder gar eine andere Sprache, es ist ein enormer Unterschied ob man Wordpress umbiegt oder sich sein eigenes System entwickeln lässt.

Wie der breach passiert ist ist unklar.

Passwort ist stark, sogar 2 Phasen autentifizierung vie google auth

Uralt nicht aber hat sicher 1/2 jahr kein updte bekommen.
Plugins kann ich nicht sagen. Diverses läuft da über custom plugins (upload von CSV files die dann Reocrds erzeugen etc)

 

[M4ttX]

Plugins kann ich nicht sagen. Diverses läuft da über custom plugins (upload von CSV files die dann Reocrds erzeugen etc)

Das ist kann auf dasselbe rauslaufen, wie nicht upgedatete Plugins. Der wird einmal geschrieben und nicht mehr angegriffen und kann zum Einfallstor werden oder eines sein.

Besonders wenn du damit auch noch direkt auf die Datenbank zugreifst, kann das das auch genau der Grund sein, warum der Angriff erfolgreich war. Ich hoffe das da mindestens die Eingaben 'escaped' wurden.

 

[derocco]

Das ist kann auf dasselbe rauslaufen, wie nicht upgedatete Plugins. Der wird einmal geschrieben und nicht mehr angegriffen und kann zum Einfallstor werden oder eines sein.

Besonders wenn du damit auch noch direkt auf die Datenbank zugreifst, kann das das auch genau der Grund sein, warum der Angriff erfolgreich war. Ich hoffe das da mindestens die Eingaben 'escaped' wurden.

Ja darauf wurde geachtet. Daher ist es ja so verwirrend.
Es sieht so aus als ob das löschen via FTP lief.