Zugriff auf sogenannte WP Rest API beschränken

Zugriff auf sogenannte WP Rest API beschränken

Warum es wichtig ist, den Zugriff auf die WP REST API einzuschränken

Kritischer Fehler erlaubt es nicht autorisierten Besuchern, jeden Beitrag auf Ihrer Website zu bearbeiten.

Hast Du eine WordPress-basierte Website? Herzlichen Glückwunsch! Sie bietet ein großartiges Tool für Hacker vom ersten Tag an. Es ist die WordPress REST API, die standardmäßig aktiviert ist. Die WP REST API erlaubt es, fast alle Aktionen und administrativen Aufgaben auf einer Website aus der Ferne auszuführen. Die WordPress REST API ist standardmäßig ab WordPress Version 4.7.0 aktiviert.

Aber es ist eine noch nicht ganz ausgereifte Technologie und ihr Code enthält derzeit einige Bugs. Deshalb musst Du den Zugriff auf die REST-API mit einem Sicherheitsplugin wie WP Cerber einschränken. Bitte, nehmt es ernst, Leute, denn ich habe schlechte Nachrichten für euch. Kürzlich, gleich nachdem eine neue Version von WordPress 4.7 veröffentlicht wurde, wurde ein kritischer Fehler gefunden. Dieser Fehler erlaubt es nicht autorisierten Besuchern, jeden Beitrag auf Deiner Website zu bearbeiten. Der Fehler wurde von Ryan Dewhurst gefunden und vom WordPress-Team allerdings schon in WordPress 4.7.2 behoben.

Die Vorgängerversion WordPress 4.7.1, die als Sicherheits- und Wartungsrelease angekündigt wurde und acht Fehler behebt. Leider ist der REST-API-Fehler noch nicht ganz behoben. Das lässt Millionen von Websites ungeschützt auf der ganzen Welt zurück. Es ist schwer zu glauben, aber die Aktualisierung von WordPress auf Shared Hostings kann bis zu mehreren Wochen, ja bei einem meiner Hoster gar Monate, dauern. Wie viele Websites wurden bereits gehackt und infiziert? Das weiss niemand genau, da viele Nutzer keine Ahnung haben und ihrem Hoster voll vertrauen. Dieser aber die Verantwortung den Nutzern per Vertrag aufbürdet.

Seitdem die REST-API für jede Website stillschweigend aktiviert wurde, wurden 20 (zwanzig) Fehler entdeckt und behoben. Es ist eine ganze Reihe von Fehlern für die Technologie verantwortlich, die es jedem ermöglicht, administrative Aufgaben auf einer Website im Hintergrund auszuführen.

Das WP Cerber Security Plugin ermöglicht es Dir, den Zugriff auf die REST API vollständig zu blockieren. Egal, wie viele Bugs REST API hat. Um den Schutz zu aktivieren, gehe einfach auf die Registerkarte”Härten” auf der Plugin-Administrationsseite und aktivieren Sie die Option “Zugriff auf die WordPress REST-API blockieren”. Optional kannst Du den Zugriff auf die REST-API für Hosts aus der White IP Access List zulassen.

Sicherheitsrisiken in 3 WordPress-Plugins

Sicherheitsrisiken in WordPress-Plugins

[ACHTUNG] Sicherheitsrisiken in folgenden WordPress​-Plugins: Formidable Forms, Duplicator und Yoast SEO Plugins

Die Angriffe auf WordPress-Seiten in den letzten Wochen, siehe hier, haben wiederum deutlich gezeigt wie wichtig es für jeden WordPress-Nutzer ist, regelmäßig folgendes zu tun:

  1. Regelmäßige sein WordPress zu sichern
  2. Regelmäßige sein WordPress upzudaten
  3. Regelmäßige seine WordPress-Plugins abzudaten
  4. Die folgenden WordPress-Plugins zur Sicherheit zu nutzen:
  5. Wordfence Security
  6. Cerber
  7. All-in -one-Security

So das war jetzt allgemein geschrieben. Mitte November hat Wordfence.com in einem Blogartikel darauf hingewiesen, dass die oben genannten WordPress-Plugins eine Sicherheitslücke aufweisen. Wobei wohl für die Allermeisten die 2 WordPress-Plugins. Duplicator und Yoast Seo infrage kommen dürften.

meine dringende Empfehlung lautet, sofort ein Update durchzuführen, unabhängig davon, ob Sie die Premium-Version von Wordfence verwenden oder nicht.

Die Details der Sicherheitslücken sind im Folgenden aufgeführt, wobei ich wie schon oben erwähnt nur auf die WordPress-Plugins Duplicator und Yoast Seo eingehe:

Duplicator 1.2.28 und älter anfällig für gespeichertes XSS
WPVulnDB berichtet auch, dass der Duplicator, der auf über 1 Million aktiven Sites läuft, eine gespeicherte Cross-Site-Scripting-Schwachstelle behoben hat, die die Versionen 1.2.28 und älter betrifft. In diesem Bericht wurden auch die Code-Änderungen berücksichtigt.

Duplicator Version 1.2.29 behebt dieses Problem, aber ihr Changelog erwähnt keine Sicherheitslücke (für Version 1.2.29 gibt es derzeit überhaupt keinen Eintrag). Wordfence verfügt über einen integrierten Schutz vor solchen Angriffen, so dass sowohl Premium- als auch Gratisbenutzer sicher sein sollten.

Yoast SEO 5.7.1 und älter anfällig für unauthentifiziertes XSS
Ryan Dewhurst’s WPVulnDB berichtet, dass Yoast SEO eine unauthentifizierte Cross-Site-Scripting-Schwachstelle behoben hat, die die Versionen 5.7.1 und älter betraf. Die Code-Änderung, die den Fix anzeigt, ist mit dem WPVulnDB-Report verknüpft. In der Version Yoast SEO 6.0 ist die Lücke behoben.

Schlussfolgerung

Ich ermutigen dich, diese Sicherheitslücken mit deinen Freunden in den Sozialen Medien zu teilen, um Website-Besitzer vor Schaden zu schützen.

WordPress 4.9 bringt Verbesserungen

WordPress 4.9

Was ist neu in WordPress 4.9

WordPress 4.9 bringt zahlreiche Verbesserungen. Lt. WordPress.org sind die Verbesserungen im Bereich der Hauptanpassungen, aber auch bei der Codefehlerprüfung und mehr zu finden!

WordPress 4.9
© wordpress.org

WordPress 4.9 “Tipton”, so heißt die neue Version und ist, zu Ehren des Jazzmusikers und Bandleaders Billy Tipton benannt. 

WordPress 4.9 "Tipton" ist seit dem 16.Nov. 2017 bereit zum Einsatz.

Ob als Update oder als Download-Version zur Neuinstallation.

Die hauptsächlichen Verbesserungen der WP-4.9-Version sind im Customizer und in der Menügestaltung, die vereinfacht wurde, anzutreffen.

Die Verbesserungen im Customizer betreffen. So kann beispielsweise, ein neues Design zu einem bestimmten Stichtag gezeigt werden.

Als Beispiel sei einmal der Nikolaus-Tag erwähnt. So könnte man jetzt an Nikolaus, oder zu Ostern jeweils ein spezielles Design oder Template an und dann auch wieder ausschalten. Wie finden Sie das?

Aber auch im Inneren sind am Code weitere Verbesserungen vorgenommen worden. Diese sind exemplarisch:

  • Systax-Highlighting bei CSS & HTML Code
  • Warnungen bei Speichern von fehlerhaftem Code
  • Ein neues Gallery-Widget
  • Ein sogenannter Add-Media-Button in allen Widgets
  • Verbesserungen in Customizer JS API

Und noch einige weitere Verbesserungen.

Klar ist jedoch, dass die vielen Optimierungen einen weiteren Stabilisierungseffekt haben. Aber auch das muss man Bedenken, jeder Erweiterung birgt auch wieder Risiken.

Meine Empfehlung ist, warten Sie noch einige Tage mit dem Update, da jedes Update auch wieder einen kleinen Fehler haben kann. Schauen Sie im Internet und entscheiden dann, nach einer Sicherung, das Update zu machen.

Ich wünsche Ihnen viel Erfolg und wenn Ihnen dieser kleine Bericht gefallen hat, schreiben Sie mir gerne einen Kommentar.

Herzliche Grüße aus Calau

Jörg Rothhardt

Für alle noch das Video

Kein Platzhalter-Bild ausgewählt

Bitte wähle ein Platzhalter-Bild im Backend

Video anzeigen?

Wenn du eingebettete Videos auf dieser Seiten sehen möchtest, werden personenbezogene Daten (IP-Adresse) an den Betreiber des Videoportals gesendet. Daher ist es möglich, dass der Videoanbieter deine Zugriffe speichert und dein Verhalten analysieren kann.

Wenn du den Link hier unten anklickst, wird ein Cookie auf deinem Computer gesetzt, sodass die Website weiß, dass du der Anzeige von eingebetteten Videos in deinem Browser zugestimmt hast. Dieses Cookie speichert keine personenbezogenen Daten, es erkennt lediglich, dass eine Einwilligung für die Anzeige der Videos in deinem Browser erfolgt ist.

Erfahre mehr über diesen Aspekt der Datenschutzeinstellungen auf dieser Seite: Datenschutzerklärung

Videos anzeigen

Alternativ kannst du auch diesen Link benutzen, der dich direkt zum Video auf die Website des Videoanbieters bringt: www.youtube.com/watch?v=lG3ADyOcYEc