Mike Kuketz
2. Februar 2017 | 10:28 Uhr

WordPress Schwachstelle: Content Injection Vulnerability

Wie bereits berichtet: WordPress ist zu einer Eierlegenden Wollmilchsau geworden. Die in WordPress 4.7.0 per default aktivierte REST API erlaubt durch eine Lücke das Ändern von Inhalten – Remote! Es gilt auch weiterhin: Wer WordPress einigermaßen sicher nutzen möchte, der sollte sich nicht auf die Entwickler und die immer neu eingebauten Funktionen verlassen. Präventiv habe ich daher unmittelbar nach Erscheinen der Version 4.7.0 aufgezeigt, wie sich die REST API für nicht authentifizierte Nutzer sperren lässt. Das Code-Snippet für die functions.php:

// Returning an authentication error if a user who is not logged in tries to query the REST API
add_filter( 'rest_authentication_errors', function( $access ) {
   if( ! is_user_logged_in() ) {
      return new WP_Error( 'rest_API_cannot_access', __( 'Only authenticated users can access the REST API.', 'disable-json-api' ), array( 'status' => rest_authorization_required_code() ) );
   }
return $access; 
});

Hinweis: In Version 4.7.2 wurde die Lücke geschlossen. Ich rate dennoch zum Einbau des Code-Snippets. Sicher ist sicher.

Du kannst den Blog aktiv unterstützen! Mitmachen ➡
Ähnliche Beiträge
WordPress Wollmilchsau
2. März 2016

Eierlegende Wollmilchsau – WordPress Sicherheit Teil2

Eine Standard-Installation von WordPress ist für den sicheren und datenschutzkonformen Praxisbetrieb ungeeignet.
Security Plugins
19. Mai 2013

Security Plugins – WordPress absichern Teil3

Lässt sich WordPress mit Security Plugins präventiv gegen Script-Kiddies, Bots und Co. absichern?
Serverseitiger-Schutz
27. Juni 2013

Serverseitiger Schutz – WordPress absichern Teil5

Weitere .htaccess Code-Snippets für Apache und nginx sorgen für eine erweiterte, serverseitige Absicherung gegen Hacker und Script-Kiddies.
WordPress-Sicherheit
12. Februar 2016

Der richtige Hoster – WordPress Sicherheit Teil1

Die Sicherheit und Geschwindigkeit einer WordPress-Installation wird immer vom Hosting-Anbieter beeinflusst.
WordPress-Schwachstellen
7. Dezember 2016

Schwachstellen in Plugins und Themes – WordPress Sicherheit Teil3

WordPress: Tipps zur Vorbeugung gegen die Auswirkung von Schwachstellen in Plugins und Themes
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.