CycleSEC WordPress-Security #03: HTTP TRACE deaktivieren Hardening-Tipps für das verbreitete CMS...

In der Beitrags-Reihe CycleSEC WordPress-Security“ befassen wir uns im CycleSEC-Blog mit Härtungsmaßnahmen, die Sie bei entsprechendem Schutzbedarf Ihrer WordPress-Webseite umsetzen können.

Trenner-CycleSEC-Logos-Transparent

WordPress begann 2003 als Blog-Software. Heute liegt das Content Management System (CMS) in der Verbreitung unangefochten auf Platz 1 [1, 2, 3]. Grund genug, sich mit erweiterten Sicherheitsfunktionalitäten der WordPress zu beschäftigen.

HTTP TRACE ist eine Standard-Funktion vieler Webserver, die bei Cross-Site-Tracing (CST) in Verbindung mit Cross-Site-Scripting (CSS) ausgenutzt werden können [4]. CST ist im Gegensatz zu CSS gefährlicher, weil es nicht auf den selben Webserver beschränkt ist, sondern durch die TRACE-Funktion jeder beliebige Webserver genutzt werden kann, um die Daten eines Opfers abzugreifen. Gedacht ist die Funktion eigentlich zum Debugging.

Schwachstelle

Die TRACE-Funktion gibt zurück, was von einer Anfrage eines Clients beim Server angekommen ist.

Angriffsszenario

Cross-Site-Tracing (CST): Durch Ausnutzung von Browser-Schwachstellen können in einem Cross-Site-Scripting-Szenario von einem Angreifer sensible Daten der Website-Benutzer abgefangen werden.

Härtungsmaßnahme

Machen Sie immer Backups und regelmäßige Recovery-Tests, bevor Sie Einstellungen an Ihrer WordPress verändern. Die wichtigste Härtungsmaßnahme sind häufig aktuelle und funktionstüchtige Backups!

Zur Steigerung der Sicherheit Ihrer WordPress-Installation können Sie HTTP TRACE auf ihrem Webserver deaktivieren.

Umsetzung

Die Härtungsmaßnahme lässt sich leicht umsetzen, indem man die folgenden Zeilen in der .htaccess-Datei im Wurzelverzeichnis einfügt:

Alle Beiträge aus der Reihe

Quellen

    Quellen

    Hinweis:

    Der Inhalt dieses Beitrags wurde mit Sorgfalt und auf Grundlage der uns bekannten Informationen erstellt. Da wir keine Informationen zu Ihrer konkreten Anwendungssituation und Ihrer spezifischen Bedrohungslage haben, kann für die Umsetzung der hier gegeben Empfehlungen keine Gewähr übernommen werden.

    Sicherheitsmaßnahmen können andere, ganz eigene Risiken beinhalten und verursachen. Die durch CycleSEC gegebenen Empfehlungen zielen darauf ab,  Risiken für die Informations- und IT-Sicherheit zu reduzieren. In den meisten Fällen können Risiken  nicht vollständig vermieden werden.

Schreibe einen Kommentar