WordPress ist als das derzeit beliebteste CMS im Web immer wieder Angriffsziel für Hacker. Ein Weg, Zugang zu WordPress-Websites zu bekommen ist die XML-RPC-Schnittstelle, auch wenn diese sicherlich nicht das erste ist, was einem zum Thema WordPress und Sicherheit einfällt. Diese Schnittstelle ist in Sache „Sicherheitsrisiko“ jedoch nicht zu unterschätzen.
Seit der WordPress-Version 3.5 ist die XML-RPC-Schnittstelle standardmäßig aktiviert. Über diese werden nicht nur nützliche Funktionen bereitgestellt, sondern auch Angreifer nutzen die Schnittstelle, um ihre Angriffe durchzuführen. Diese nutzen die xmlrpc.php für ihre Bruce-Force-Angriffe gegen WordPress, was mit relativ wenig Aufwand und guten Erfolgschancen einhergeht.
Wird die XML-RPC-Schnittstelle nicht benötigt, ist es daher ratsam, diese zu deaktivieren.
WordPress-Websites können nicht nur direkt über das Backend verwaltet werden, sondern auch über Smartphone-Apps oder externe Programme. Die Schnittstelle ist dann ein nützliches Werkzeug um Inhalte bequem von unterwegs zu pflegen. Des Weiteren kümmert sich die XML-RPC-Schnittstelle um die Pingbacks. Die Pingback-API ermöglicht eine Art „Vernetzung“ zwischen den Blogs und dient gleichzeitig als Schnittstelle, um WordPress über externe Programme verwalten zu können. Unterstützt werden neben der WordPress API auch die Blogger API, die metaWeblog API, die Movable Type API, und die Pingback API.
Solltet ihr diese Funktionen nicht nutzen, ist es ratsam, die Schnittstelle zu deaktivieren.
Nicht nur passwortgeschütze Bereiche sondern auch die XML-RPC-Schnittstelle gehören zu beliebten Zielen der Angreifer. Wenn der Adminbereich selbst gut abgesichert ist, zum Beispiel durch sichere Passwörter oder sogar mehrstufige Authentifizierungsverfahren, suchen Angreifer sich neue und einfachere Wege. Einer dieser Wege sind Bruce-Force Angriffe auf die XML-RPC-Schnittstelle.
Einfach ausschalten geht bei den aktuellen WordPress-Versionen leider nicht. Das Magazin Dr. Web hat aber einen einfachen Work-Around bereitgestellt, mit dem ihr in drei einfachen Schritten die Schnittstelle deaktivieren könnt.
1. Schnittstelle über einen Filter deaktiveren
Den folgenden Code in die function.php des Themes eintragen.
Embed-Code:
<script src="https://gist.github.com/anonymous/d89ca7b58f4eb8f36273.js"></script>
2. Den HTTP-Header Eintrag deaktivieren
Den folgenden Code in der function.php des Themes ergänzen.
Embed-Code:
<script src="https://gist.github.com/anonymous/02cfcb73c70a64925752.js"></script>
3. Die xmlrpc.php in der .htaccess blocken
Wichtig: Vor Änderungen an der .htaccess ein Backup anlegen!
Der folgenden Eintrag sollte oberhalb von „#Begin WordPress“ stehen Embed-Code:
<script src="https://gist.github.com/anonymous/61f3e4f75436532a50eb.js"></script>
Wir hoffen, wir konnten euch mit diesen 3 kleinen Schritten helfen, euer WordPress etwas sicherer zu machen.
Detailliertere Informationen erhalten ihr unter: http://www.drweb.de/magazin/wordpress-sicherheit-die-xml-rpc-schnittstelle-abschalten-68045/
Schreibe einen Kommentar