klafft in nahezu allen WordPress-Installationen.
Dass eine Vielzahl von Plug-Ins Sicherheitsrisiken mit sich bringen, hat wohl schon jeder gehört.
Aber auch sparsames Verwenden von Plug-Ins bedeutet nicht immer mehr Sicherheit.
Ein riesiges Loch, gross wie ein Scheunentor, bietet sich dar, wenn man im Webbrowser die Adresse der WordPress-Installation mal ein bisschen modifiziert.
Aus „https://www.xxxxxxxx.de/“ kann man dann, wenn man vermutet, eine mit WordPress erstellte Seite oder einen Blog vor sich zu haben, mal versuchen, die Adresse etwas zu erweitern: „https://www.xxxxxxxx.de/wp-json“ und – oh Wunder – die Seite füllt sich jetzt mit interessanten Angaben:
Ups! Das ist ja schon mal ’ne Menge an Hinweisen, wie man Mediendateien „abpflücken“ könnte. Mancher Hinweis kann das Hacken der Webseite schön erleichtern.
Wie kommt das?
Jedes Theme, das man installiert und dann aktiviert, kann sowas ermöglichen.
Wollen wir sowas?
Eher nicht!
Das kann man einfach haben:
Einfach im Verzeichnis des jeweiligen Themes mal nach einer Datei „function.php“ suchen.
Diese dann um einen Codeschnipsel ergänzen:
add_filter( 'rest_authentication_errors', function( $result ) { if ( ! empty( $result ) ) { return $result; } if ( ! is_user_logged_in() ) { return new WP_Error( '401', 'not allowed.', array('status' => 401) ); } return $result; });
und der erneute Aufruf ergibt dieses Ergebnis: