WordPress-Security #03

In der Beitrags-Reihe „CycleSEC WordPress-Security“ befassen wir uns im CycleSEC-Blog mit Härtungsmaßnahmen, die Sie bei entsprechendem Schutzbedarf Ihrer WordPress-Webseite umsetzen können.

WordPress begann 2003 als Blog-Software. Heute liegt das Content Management System (CMS) in der Verbreitung unangefochten auf Platz 1 [1, 2, 3]. Grund genug, sich mit erweiterten Sicherheitsfunktionalitäten für WordPress zu beschäftigen.

HTTP TRACE ist eine Standard-Funktion vieler Webserver, die bei Cross-Site-Tracing (CST) in Verbindung mit Cross-Site-Scripting (CSS) ausgenutzt werden können [4]. CST ist im Gegensatz zu CSS gefährlicher, weil es nicht auf den selben Webserver beschränkt ist, sondern durch die TRACE-Funktion jeder beliebige Webserver genutzt werden kann, um die Daten eines Opfers abzugreifen. Gedacht ist die Funktion eigentlich zum Debugging.

Schwachstelle

Die TRACE-Funktion gibt zurück, was von einer Anfrage eines Clients beim Server angekommen ist.

Angriffsszenario

Cross-Site-Tracing (CST): Durch Ausnutzung von Browser-Schwachstellen können in einem Cross-Site-Scripting-Szenario von einem Angreifer sensible Daten der Website-Benutzer abgefangen werden.

Härtungsmaßnahme

Machen Sie immer Backups und regelmäßige Recovery-Tests, bevor Sie Einstellungen an Ihrer WordPress verändern. Die wichtigste Härtungsmaßnahme sind häufig aktuelle und funktionstüchtige Backups!

Zur Steigerung der Sicherheit Ihrer WordPress-Installation können Sie HTTP TRACE auf ihrem Webserver deaktivieren.

Umsetzung

Die Härtungsmaßnahme lässt sich leicht umsetzen, indem man die folgenden Zeilen in der .htaccess-Datei im Wurzelverzeichnis einfügt:

Quellen

[1] W3Techs.com, Historical yearly trends in the usage of content management systems for websites

[2] WEBKALKULATOR, CMS Marktanteile & CMS Budgets

[3] CMSCrawler, Statistics for Germany

[4] Jeremiah Grossman, Cross Site Tracing