Wordpress-Sicherheit: Wie bescheiden geschützte Installationen Daten preisgeben

Viele Admins vergessen mächtige Schnittstellen in Wordpress zu schützen und ermöglichen so ungewollt den Zugriff auf nicht öffentliche Inhalte und Dateien.

Artikel verschenken

6

(Bild: serato/shutterstock.com)

23.10.2020, 07:50 Uhr

Lesezeit: 8 Min.

c't Magazin

Von

Mirko Dölle
Jan Mahn

Wordpress-Sicherheit: Wie bescheiden geschützte Installationen Daten preisgeben
API als offene Hintertür
Einrichtungsfehler
Abhilfe

Artikel in c't 23/2020 lesen

Wordpress ist das weltweit wohl meistgenutzte CMS, es kommt in großen Konzernen genauso zum Einsatz wie bei privaten Homepages. Viele Provider bieten Wordpress als Komplettpaket inklusive Webserver an, und für die grundlegende Bedienung braucht es kein Informatikstudium. Doch das System hat Tücken: So erlauben viele Wordpress-Installationen über die Hintertür Zugriff auf Daten, die der Betreiber eigentlich gar nicht veröffentlichen wollte.

Die Ursache für die ungeplante Geschwätzigkeit ist die Programmierschnittstelle, das JSON-API, über das man Wordpress mit anderen Programmen verbinden kann. Dass diese Schnittstelle ohne weitere Maßnahmen nicht gegen lesende Zugriffe geschützt ist, verrät die offizielle Dokumentation leider nicht an prominenter Stelle.

Über diesen Kanal können Neugierige leicht Musiktitel noch vor dem geplanten Veröffentlichungstermin herunterladen oder gelangen sogar an streng vertrauliche interne Dokumente. Die Hintertür erlaubt es aber Angreifern auch, vorab und ohne rechtliche Risiken wertvolle Informationen über das CMS zu sammeln, die sie dann zum Beispiel für Brute-Force-Angriffe auf Passwörter einsetzen können. Für effizientes Brute-Force kommt gern die zweite Schnittstelle mit dem Namen XML-RPC zum Einsatz.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Elektroauto Mercedes EQA 300 4Matic im Test: Fährt gut, lädt gemächlich

Mercedes hat sein kleinstes Elektroauto ein wenig überarbeitet. Es fährt gediegen, kann bei der Spitzenladeleistung allerdings nicht glänzen.

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Mit KI-Sprechtrainern lassen sich Konversationen auf einer anderen Sprache wie mit einem richtigen Menschen führen – ohne Angst, sich zu blamieren.

Virtualisierungsoftware: Alternativen zu VMware

VMware ist vielen Bereichen nicht mehr das Maß der Dinge. Wir sehen uns die spannendsten Alternativen an, von denen viele sogar kostenlos oder Open Source sind.

Ein dunkelblauer Hintergrund mit kleinen roten Strichen. Im Vordergrund auf der linken Seite ist ein Universiäts Absolventen Hut.

Karrierewechsel: Warum sich ein Informatikstudium auch für Quereinsteiger lohnt

Drei Jahre lang Mathematik, Logik und Programmieren lernen. Das Informatikstudium ist ein klassischer Weg in die IT. Wir zeigen, wie es abläuft.

Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten

Mit der Software Caddy lassen sich mit verschiedenen Domains unterschiedliche Server im gleichen Netzwerk aufrufen. Wir zeigen, wie es geht.

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

Viele prominente Websites bieten das sichere Einloggen per Passkey an. Die Eingabe des Passworts fällt flach und Phishing gehört der Vergangenheit an.

Passkeys in eigenen Anwendungen

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Elektroauto Mercedes EQA 300 4Matic im Test: Fährt gut, lädt gemächlich

Mercedes hat sein kleinstes Elektroauto ein wenig überarbeitet. Es fährt gediegen, kann bei der Spitzenladeleistung allerdings nicht glänzen.

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Mit KI-Sprechtrainern lassen sich Konversationen auf einer anderen Sprache wie mit einem richtigen Menschen führen – ohne Angst, sich zu blamieren.

Virtualisierungsoftware: Alternativen zu VMware

VMware ist vielen Bereichen nicht mehr das Maß der Dinge. Wir sehen uns die spannendsten Alternativen an, von denen viele sogar kostenlos oder Open Source sind.

Karrierewechsel: Warum sich ein Informatikstudium auch für Quereinsteiger lohnt

Drei Jahre lang Mathematik, Logik und Programmieren lernen. Das Informatikstudium ist ein klassischer Weg in die IT. Wir zeigen, wie es abläuft.

Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten

Mit der Software Caddy lassen sich mit verschiedenen Domains unterschiedliche Server im gleichen Netzwerk aufrufen. Wir zeigen, wie es geht.

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

Viele prominente Websites bieten das sichere Einloggen per Passkey an. Die Eingabe des Passworts fällt flach und Phishing gehört der Vergangenheit an.

Passkeys in eigenen Anwendungen

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Wordpress-Sicherheit: Wie bescheiden geschützte Installationen Daten preisgeben

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Elektroauto Mercedes EQA 300 4Matic im Test: Fährt gut, lädt gemächlich

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Virtualisierungsoftware: Alternativen zu VMware

Karrierewechsel: Warum sich ein Informatikstudium auch für Quereinsteiger lohnt

Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Elektroauto Mercedes EQA 300 4Matic im Test: Fährt gut, lädt gemächlich

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Virtualisierungsoftware: Alternativen zu VMware

Karrierewechsel: Warum sich ein Informatikstudium auch für Quereinsteiger lohnt

Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.