c't 23/2020
S. 28
Titel
c’t deckt auf: Verräterisches Wordpress

Datenklau durch die ­Hintertür

Wie unzureichend geschützte Wordpress-Installationen Daten preisgeben

Wordpress gilt als vielseitiges und einfach zu wartendes CMS. Doch viele Admins vergessen, die mächtigen Schnittstellen zu schützen, und ermöglichen so ungewollt den Zugriff auf nicht öffentliche Inhalte und Dateien.

Von Mirko Dölle und Jan Mahn

Wordpress ist das weltweit wohl meistgenutzte CMS, es kommt in großen Konzernen genauso zum Einsatz wie bei privaten Homepages. Viele Provider bieten Wordpress als Komplettpaket inklusive Webserver an, und für die grundlegende Bedienung braucht es kein Informatikstudium. Doch das System hat Tücken: So erlauben viele Wordpress-­Installationen über die Hintertür Zugriff auf Daten, die der Betreiber eigentlich gar nicht veröffentlichen wollte.

Die Ursache für die ungeplante Geschwätzigkeit ist die Programmierschnittstelle, das JSON-API, über das man Wordpress mit anderen Programmen verbinden kann. Dass diese Schnittstelle ohne wei­tere Maßnahmen nicht gegen lesende ­Zugriffe geschützt ist, verrät die offizielle Dokumentation leider nicht an prominenter Stelle.

Kommentare lesen (13 Beiträge)