Wordpress

WordPress: Verbergen von Benutzernamen und ID Zuordnung (WordPress User IDs and User Names disclosure)

Wenn man bei einer WordPress Webseite die URL “http://www.example.com/?author=1? angibt, dann erhält man eine Liste der Artikel des entsprechenden Benutzers und seinen Namen.

Das klingt auf den ersten Blick nicht sonderlich schlimm – erlaubt jedoch die Zuordnung der Benutzernamen und das Zuordnen dieser Namen zur internen Benutzer ID.

Aber: Das zeigt auf, dass ...

  1. die Benutzer-IDs generisch (fortlaufend) erzeugt werden und man dadurch herausfinden kann, wieviele Benutzer auf der WordPress Installation arbeiten
  2. eine Benutzer-ID vergeben / aktiviert ist
  3. durch die Umleitung Schwachstellen entstehen können

Diese Schwachstelle in WordPress kann durch eine Ergänzung in der .htaccess Datei gesperrt werden:

1
2
RewriteCond %{QUERY_STRING} author=\d
RewriteRule ^ /? [L,R=301]

Diese Ergänzung leitet entsprechende Anfragen auf die Startseite (bzw. das Rootverzeichnis) des Webservers um. Die Daten können auf diese Weise nicht ausgelesen werden.

 

Dieser Artikel hat Dir geholfen ?
.. und Dir nerviges Ausprobieren, Suchen und Zeit erspart ?

Dann würde ich mich sehr freuen, wenn Du diese werbefreie Hilfeseite mit einer kleinen Anerkennung unterstützen würdest.
Vielen Dank !		PayPal Donate QR Code

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

vier × 5 =