WordPress: REST API ermöglicht “Konten-Harvesting”

Publiziert am 26. Dezember 2016 von Günter Born

In WordPress 4.7 (WordPress Version 4.7 verfügbar) wurde eine neue REST API eingeführt. Über diese API können Plugins auf den WordPress-Blog zugreifen. Aber auch Angreifer machen sich die REST API zunutze, um die Namen von Nutzerkonten abzufragen.

Anzeige

Sind die Kontennamen einer WordPress-Installation bekannt, versuchen die Angreifer die Kennwörter per Bute-Force-Attacke zu knacken und den Blog zu übernehmen. Gerade in den letzten Monaten haben die Versuche, Konten bei WordPress zu knacken, zugenommen.

WordPress-Angriffe
(Quelle: Wordfence.com)

Die Sicherheitsspezialisten von WordFence weisen in diesem Blog-Beitrag auf die neue Gefahr hin. Hacker suchen wohl aktiv nach Sicherheitslücken in Plugins, um die Nutzernamen von WordPress-Konten abfragen zu können. Manche Administratoren deaktivieren daher die REST API. Bei WordFence geht man einen anderen Weg, indem eine Firewall die betreffenden Angriffe abweist. Das WordFence Sicherheits-Plugin für WordPress ist zwischenzeitlich so modifiziert, dass es solche Angriffe erkennen und abweisen kann. Weitere Details sind in obigem Blog-Beitrag zu finden.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, WordPress abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.