CycleSEC WordPress-Security #04: Online-Editoren deaktivieren Hardening-Tipps für das verbreitete CMS...

der Beitrags-Reihe CycleSEC WordPress-Security“ befassen wir uns im CycleSEC-Blog mit Härtungsmaßnahmen, die Sie bei entsprechendem Schutzbedarf Ihrer WordPress-Webseite umsetzen sollten.

Trenner-CycleSEC-Logos-Transparent

WordPress begann 2003 als Blog-Software. Heute liegt das Content Management System (CMS) in der Verbreitung unangefochten auf Platz 1 [1, 2, 3]. Grund genug, sich mit erweiterten Sicherheitsfunktionalitäten der WordPress zu beschäftigen.

Die meisten Sicherheitsmaßnahmen sollen verhindern, dass privilegierte User-Accounts kompromittiert werden. Was aber, wenn das Kind erst mal in den Brunnen gefallen ist? Gezielte Härtungsmaßnahmen können dann ggf. das Schadensausmaß reduzieren bzw. eindämmen. Hierzu müssen alle Funktionalitäten deaktiviert werden, die nicht unbedingt benötigt werden.

Eine dieser in WordPress vorhandenen aber selten wirklich benötigten Funktionen ist der Online-Editor, mit dem man im Dashboard die PHP-Quelldateien verändern kann. Änderungen, die dort vorgenommen werden, gingen bei einem Update der Seite ohnehin wieder verloren und müssten bei jedem Update nachgepflegt werden. Diese manuelle nachzupflegenden Anpassungen könnten für Administratoren darüber hinaus ein Hinderungsgrund für Updates sein.

Mit einem gekaperten Administrator-Konto kann man nicht nur beliebige Beiträge und Seiten im Dashboard neu erstellen oder löschen. Das wäre ärgerlich, aber auch auffällig.

Schwachstelle

Die unter „Design – Editor“ und „Plugins – Editor“ verfügbaren Online Editoren können allerdings dafür genutzt werden, die PHP-Quelldateien beliebig zu verändern.

Angriffsszenario

Angreifer nutzen ein gekapertes Admin-Konto, um die PHP-Quelldateien der WordPress zu verändern. Hier vorgenommene Änderungen können einen größeren Schaden anrichten und sind sehr viel schwerer zu entdecken. Die Funktion der gesamten Webseite kann so verändert werden – nicht nur deren Content.

Härtungsmaßnahme

Machen Sie immer Backups und regelmäßige Recovery-Tests, bevor Sie Einstellungen an Ihrer WordPress verändern. Die wichtigste Härtungsmaßnahme sind häufig aktuelle und funktionstüchtige Backups!

Zur Härtung Ihrer WordPress können die im Dashboard unter „Design – Editor“ und „Plugins – Editor“ angebotenen Online-Datei-Editoren in der „wp-config.php“ deaktiviert werden [5].

Umsetzung

Die Härtungsmaßnahme lässt sich leicht umsetzen, indem Sie die folgende Zeile in Ihrer „wp-config.php“ einfügen:

define( 'DISALLOW_FILE_EDIT', true );

Die PHP-Quelldateien der Themes und der Plugins können dann nur noch durch einen manuellen Upload – z.B. via SFTP – angepasst werden.

Alle Beiträge aus der Reihe

Quellen

Hinweis:

Der Inhalt dieses Beitrags wurde mit Sorgfalt und auf Grundlage der uns bekannten Informationen erstellt. Da wir keine Informationen zu Ihrer konkreten Anwendungssituation und Ihrer spezifischen Bedrohungslage haben, kann für die Umsetzung der hier gegeben Empfehlungen keine Gewähr übernommen werden.

Sicherheitsmaßnahmen können andere, ganz eigene Risiken beinhalten und verursachen. Die durch CycleSEC gegebenen Empfehlungen zielen darauf ab,  Risiken für die Informations- und IT-Sicherheit zu reduzieren. In den meisten Fällen können Risiken  nicht vollständig vermieden werden.

Schreibe einen Kommentar