CycleSEC WordPress-Security #04: Online-Editoren deaktivieren
WordPress-Security #04
In der Beitrags-Reihe „CycleSEC WordPress-Security“ befassen wir uns im CycleSEC-Blog mit Härtungsmaßnahmen, die Sie bei entsprechendem Schutzbedarf Ihrer WordPress-Webseite umsetzen können.
WordPress begann 2003 als Blog-Software. Heute liegt das Content Management System (CMS) in der Verbreitung unangefochten auf Platz 1 [1, 2, 3]. Grund genug, sich mit erweiterten Sicherheitsfunktionalitäten für WordPress zu beschäftigen.
Die meisten Sicherheitsmaßnahmen sollen verhindern, dass privilegierte User-Accounts kompromittiert werden. Was aber, wenn das Kind erst mal in den Brunnen gefallen ist? Gezielte Härtungsmaßnahmen können dann ggf. das Schadensausmaß reduzieren bzw. eindämmen. Hierzu müssen alle Funktionalitäten deaktiviert werden, die nicht unbedingt benötigt werden.
Eine dieser in WordPress vorhandenen aber selten wirklich benötigten Funktionen ist der Online-Editor, mit dem man im Dashboard die PHP-Quelldateien verändern kann. Änderungen, die dort vorgenommen werden, gingen bei einem Update der Seite ohnehin wieder verloren und müssten bei jedem Update nachgepflegt werden. Diese manuelle nachzupflegenden Anpassungen könnten für Administratoren darüber hinaus ein Hinderungsgrund für Updates sein.
Mit einem gekaperten Administrator-Konto kann man nicht nur beliebige Beiträge und Seiten im Dashboard neu erstellen oder löschen. Das wäre ärgerlich, aber auch auffällig.
Schwachstelle
Die unter „Design – Editor“ und „Plugins – Editor“ verfügbaren Online Editoren können allerdings dafür genutzt werden, die PHP-Quelldateien beliebig zu verändern.
Angriffsszenario
Angreifer nutzen ein gekapertes Admin-Konto, um die PHP-Quelldateien der WordPress zu verändern. Hier vorgenommene Änderungen können einen größeren Schaden anrichten und sind sehr viel schwerer zu entdecken. Die Funktion der gesamten Webseite kann so verändert werden – nicht nur deren Content.
Härtungsmaßnahme
Machen Sie immer Backups und regelmäßige Recovery-Tests, bevor Sie Einstellungen an Ihrer WordPress verändern. Die wichtigste Härtungsmaßnahme sind häufig aktuelle und funktionstüchtige Backups!
Zur Härtung Ihrer WordPress können die im Dashboard unter „Design – Editor“ und „Plugins – Editor“ angebotenen Online-Datei-Editoren in der „wp-config.php“ deaktiviert werden [5].
Umsetzung
Die Härtungsmaßnahme lässt sich leicht umsetzen, indem Sie die folgende Zeile in Ihrer „wp-config.php“ einfügen:
define( 'DISALLOW_FILE_EDIT', true );
Die PHP-Quelldateien der Themes und der Plugins können dann nur noch durch einen manuellen Upload – z.B. via SFTP – angepasst werden.
Alle Beiträge aus der Reihe
CycleSEC WordPress-Security #01: Login-URL verschleiern
CycleSEC WordPress-Security #02: Absichern der wp-config.php
CycleSEC WordPress-Security #03: HTTP TRACE deaktivieren
CycleSEC WordPress-Security #04: Online-Editoren deaktivieren
CycleSEC WordPress-Security #05: Zwei-Faktor-Authentifizierung
Quellen
[1] W3Techs.com, Historical yearly trends in the usage of content management systems for websites
[2] WEBKALKULATOR, CMS Marktanteile & CMS Budgets
[3] CMSCrawler, Statistics for Germany
[4] Jeremiah Grossman, Cross Site Tracing
[5] WordPress.org, Editing wp-config.php
Hinweis
Der Inhalt dieses Beitrags wurde mit Sorgfalt und auf Grundlage der uns bekannten Informationen erstellt. Da wir keine Informationen zu Ihrer konkreten Anwendungssituation und Ihrer spezifischen Bedrohungslage haben, kann für die Umsetzung der hier gegeben Empfehlungen keine Gewähr übernommen werden.
Sicherheitsmaßnahmen können andere, ganz eigene Risiken beinhalten und verursachen. Die durch CycleSEC gegebenen Empfehlungen zielen darauf ab, Risiken für die Informations- und IT-Sicherheit zu reduzieren. In den meisten Fällen können Risiken nicht vollständig vermieden werden.