Security is a process!

CycleSEC WordPress-Security #04: Online-Editoren deaktivieren

WordPress-Security #04

In der Beitrags-Reihe CycleSEC WordPress-Security“ befassen wir uns im CycleSEC-Blog mit Härtungsmaßnahmen, die Sie bei entsprechendem Schutzbedarf Ihrer WordPress-Webseite umsetzen können.

WordPress begann 2003 als Blog-Software. Heute liegt das Content Management System (CMS) in der Verbreitung unangefochten auf Platz 1 [1, 2, 3]. Grund genug, sich mit erweiterten Sicherheitsfunktionalitäten für WordPress zu beschäftigen.

Die meisten Sicherheitsmaßnahmen sollen verhindern, dass privilegierte User-Accounts kompromittiert werden. Was aber, wenn das Kind erst mal in den Brunnen gefallen ist? Gezielte Härtungsmaßnahmen können dann ggf. das Schadensausmaß reduzieren bzw. eindämmen. Hierzu müssen alle Funktionalitäten deaktiviert werden, die nicht unbedingt benötigt werden.

Eine dieser in WordPress vorhandenen aber selten wirklich benötigten Funktionen ist der Online-Editor, mit dem man im Dashboard die PHP-Quelldateien verändern kann. Änderungen, die dort vorgenommen werden, gingen bei einem Update der Seite ohnehin wieder verloren und müssten bei jedem Update nachgepflegt werden. Diese manuelle nachzupflegenden Anpassungen könnten für Administratoren darüber hinaus ein Hinderungsgrund für Updates sein.

Mit einem gekaperten Administrator-Konto kann man nicht nur beliebige Beiträge und Seiten im Dashboard neu erstellen oder löschen. Das wäre ärgerlich, aber auch auffällig.

Schwachstelle

Die unter „Design – Editor“ und „Plugins – Editor“ verfügbaren Online Editoren können allerdings dafür genutzt werden, die PHP-Quelldateien beliebig zu verändern.

Angriffsszenario

Angreifer nutzen ein gekapertes Admin-Konto, um die PHP-Quelldateien der WordPress zu verändern. Hier vorgenommene Änderungen können einen größeren Schaden anrichten und sind sehr viel schwerer zu entdecken. Die Funktion der gesamten Webseite kann so verändert werden – nicht nur deren Content.

Härtungsmaßnahme

Machen Sie immer Backups und regelmäßige Recovery-Tests, bevor Sie Einstellungen an Ihrer WordPress verändern. Die wichtigste Härtungsmaßnahme sind häufig aktuelle und funktionstüchtige Backups!

Zur Härtung Ihrer WordPress können die im Dashboard unter „Design – Editor“ und „Plugins – Editor“ angebotenen Online-Datei-Editoren in der „wp-config.php“ deaktiviert werden [5].

Umsetzung

Die Härtungsmaßnahme lässt sich leicht umsetzen, indem Sie die folgende Zeile in Ihrer „wp-config.php“ einfügen:

define( 'DISALLOW_FILE_EDIT', true );

Die PHP-Quelldateien der Themes und der Plugins können dann nur noch durch einen manuellen Upload – z.B. via SFTP – angepasst werden.

Quellen

[1] W3Techs.com, Historical yearly trends in the usage of content management systems for websites

[2] WEBKALKULATOR, CMS Marktanteile & CMS Budgets

[3] CMSCrawler, Statistics for Germany

[4] Jeremiah Grossman, Cross Site Tracing

[5] WordPress.org, Editing wp-config.php

Hinweis

Der Inhalt dieses Beitrags wurde mit Sorgfalt und auf Grundlage der uns bekannten Informationen erstellt. Da wir keine Informationen zu Ihrer konkreten Anwendungssituation und Ihrer spezifischen Bedrohungslage haben, kann für die Umsetzung der hier gegeben Empfehlungen keine Gewähr übernommen werden.

Sicherheitsmaßnahmen können andere, ganz eigene Risiken beinhalten und verursachen. Die durch CycleSEC gegebenen Empfehlungen zielen darauf ab,  Risiken für die Informations- und IT-Sicherheit zu reduzieren. In den meisten Fällen können Risiken  nicht vollständig vermieden werden.

Veröffentlicht am

Photo of author

Dieser Beitrag kommt von

CycleSEC Redaktion

Die CycleSEC GmbH wurde 2015 als wissenschaftliche Ausgründung der Fachhochschule Münster gegründet. Seit 2017 ist das Unternehmen im alleinigen Besitz des Gründers Sebastian Klipper. CycleSEC hat seinen Sitz in Hamburg. Aus dem Norden der Republik bietet die CycleSEC GmbH ihr Beratungsportfolio in ganz Deutschland und darüber hinaus an.

Sie haben noch Fragen?

Nehmen Sie Kontakt zu uns auf:

Hier geht's zum Kontaktformular

Bitte stimmen Sie der Benutzung von Cookies durch diese Webseite zu. Weitere Informationen

Informationen zu Coockies

Diese Webseite verwendet so genannte Cookies. Sie dienen dazu, die Webseite, insbesondere die Kommentarfunktion nutzerfreundlicher, effektiver und sicherer zu machen. Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert. Cookies richten auf Ihrem Rechner keinen Schaden an und enthalten keine Viren.

Wenn Sie auf "Akzeptieren" klicken, erklären Sie sich mit der Nutzung von Cookies einverstanden.

Schließen