Wordpress-Sicherheit: Wie bescheiden geschützte Installationen Daten preisgeben

Viele Admins vergessen mächtige Schnittstellen in Wordpress zu schützen und ermöglichen so ungewollt den Zugriff auf nicht öffentliche Inhalte und Dateien.

Lesezeit: 8 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 6 Beiträge

(Bild: serato/shutterstock.com)

Von
  • Mirko Dölle
  • Jan Mahn
Inhaltsverzeichnis

Wordpress ist das weltweit wohl meistgenutzte CMS, es kommt in großen Konzernen genauso zum Einsatz wie bei privaten Homepages. Viele Provider bieten Wordpress als Komplettpaket inklusive Webserver an, und für die grundlegende Bedienung braucht es kein Informatikstudium. Doch das System hat Tücken: So erlauben viele Wordpress-Installationen über die Hintertür Zugriff auf Daten, die der Betreiber eigentlich gar nicht veröffentlichen wollte.

Die Ursache für die ungeplante Geschwätzigkeit ist die Programmierschnittstelle, das JSON-API, über das man Wordpress mit anderen Programmen verbinden kann. Dass diese Schnittstelle ohne weitere Maßnahmen nicht gegen lesende Zugriffe geschützt ist, verrät die offizielle Dokumentation leider nicht an prominenter Stelle.

Weltweite Datenlecks

Über diesen Kanal können Neugierige leicht Musiktitel noch vor dem geplanten Veröffentlichungstermin herunterladen oder gelangen sogar an streng vertrauliche interne Dokumente. Die Hintertür erlaubt es aber Angreifern auch, vorab und ohne rechtliche Risiken wertvolle Informationen über das CMS zu sammeln, die sie dann zum Beispiel für Brute-Force-Angriffe auf Passwörter einsetzen können. Für effizientes Brute-Force kommt gern die zweite Schnittstelle mit dem Namen XML-RPC zum Einsatz.