Datenklau durch die Hintertür
Wie unzureichend geschützte Wordpress-Installationen Daten preisgeben
Wordpress gilt als vielseitiges und einfach zu wartendes CMS. Doch viele Admins vergessen, die mächtigen Schnittstellen zu schützen, und ermöglichen so ungewollt den Zugriff auf nicht öffentliche Inhalte und Dateien.
Wordpress ist das weltweit wohl meistgenutzte CMS, es kommt in großen Konzernen genauso zum Einsatz wie bei privaten Homepages. Viele Provider bieten Wordpress als Komplettpaket inklusive Webserver an, und für die grundlegende Bedienung braucht es kein Informatikstudium. Doch das System hat Tücken: So erlauben viele Wordpress-Installationen über die Hintertür Zugriff auf Daten, die der Betreiber eigentlich gar nicht veröffentlichen wollte.
Die Ursache für die ungeplante Geschwätzigkeit ist die Programmierschnittstelle, das JSON-API, über das man Wordpress mit anderen Programmen verbinden kann. Dass diese Schnittstelle ohne weitere Maßnahmen nicht gegen lesende Zugriffe geschützt ist, verrät die offizielle Dokumentation leider nicht an prominenter Stelle.