WordPress: REST API ermöglicht “Konten-Harvesting”

Veröffentlicht am 26. Dezember 2016 von Günter Born

In WordPress 4.7 (WordPress Version 4.7 verfügbar) wurde eine neue REST API eingeführt. Über diese API können Plugins auf den WordPress-Blog zugreifen. Aber auch Angreifer machen sich die REST API zunutze, um die Namen von Nutzerkonten abzufragen.

Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)

Sind die Kontennamen einer WordPress-Installation bekannt, versuchen die Angreifer die Kennwörter per Bute-Force-Attacke zu knacken und den Blog zu übernehmen. Gerade in den letzten Monaten haben die Versuche, Konten bei WordPress zu knacken, zugenommen.

WordPress-Angriffe
(Quelle: Wordfence.com)

Die Sicherheitsspezialisten von WordFence weisen in diesem Blog-Beitrag auf die neue Gefahr hin. Hacker suchen wohl aktiv nach Sicherheitslücken in Plugins, um die Nutzernamen von WordPress-Konten abfragen zu können. Manche Administratoren deaktivieren daher die REST API. Bei WordFence geht man einen anderen Weg, indem eine Firewall die betreffenden Angriffe abweist. Das WordFence Sicherheits-Plugin für WordPress ist zwischenzeitlich so modifiziert, dass es solche Angriffe erkennen und abweisen kann. Weitere Details sind in obigem Blog-Beitrag zu finden.

Dieser Beitrag wurde unter Sicherheit, WordPress abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.