Wordpress Installationen: JSon Sicherheitsproblem

Wer seinen Podcast über Wordpress Installation betreibt, ich habe gerade einen Heise c‘t Artikel (23/2020) gelesen, und bei meinen Installationen tatsächlich Daten gefunden, die ich nicht im Netz haben möchte.

Hängt mal

/index.php/wp-json/wp/v2/users
/index.php/wp-json/wp/v2/media

an Eure Website URL an. Zeigt Usernamen, zeigt URL zu Dateien, auch wenn sie nicht in Posts verwendet werden. Ich sehe da mal für mich Handlungsbedarf.

Zum Artikel (Paywall):

Datenklau durch die ­Hintertür: Wie unzureichend geschützte Wordpress-Installationen Daten preisgeben

Wordpress gilt als vielseitiges und einfach zu wartendes CMS. Doch viele Admins vergessen, die mächtigen Schnittstellen zu schützen, und ermöglichen so ungewollt den Zugriff auf nicht öffentliche Inhalte und Dateien.

https://www.heise.de/select/ct/2020/23/2024809460577976425

1 Like

Es gibt viele Wege / Plugins, die API endpoints zu deaktivieren. Ich möchte aber warnen, die WordPress API ganz zu deaktivieren, da dann z.B. Podlove Publisher / Web Player nicht mehr funktionieren (und ggf. andere Themes/Plugins, die darauf basieren).

Ein Sicherheitsproblem ist das nicht. Es gibt auch eine offizielle Aussage von WordPress dazu, die finde ich aber gerade nicht.

1 Like