WordPress: Starke Angriffswellen auf XML-RPC Schnittstelle

Leute, es nervt mich, wenn ich immer wieder lesen muss, dass mal wieder WordPress unter Beschuss steht. Dann nageln wir das System eben zu. Ein wirklicher Austausch, wie er unter Bloggern üblich und gewünscht ist, findet dann zwar nicht mehr statt. Aber wenn Blogger eh nicht auf andere Blogger verlinken, ist es doch eh nicht weiter schlimm. Dann machen wir die XML-RPC Schnittstelle für die Pingbacks dicht, und dann ist Frieden.

Jetzt sollen Attacken auf WordPress so laufen, dass Angreifer hunderte Passwörter in einem einzigen Login-Versuch über die XML-RPC verwenden, um sich Zutritt zur WordPress-Installation zu verschaffen. Die nutzen tatsächlich dieses alte Protokoll für Ihre Spielchen? Das glauben Sie nicht? Ich eigentlich auch nicht, aber es muss so sein. Es gibt in XML-RPC eine MEthode namens „system.multicall“, mit der innerhalb eines Aufrufs mehrere Methoden aufgerufen werden können. Damit können mehrere Befehle mit einer HTTP-Anforderung abgesetzt werden.

Und der Theorie zufolge ist es wohl gar möglich, hunderte Passwörter mit einem solchen „Request“ abzurufen. Das machen dann die Angreifer, indem sie die „system.multicall“ missbrauchen. Und hier wurde beobachtet, dass solche Attacken in den letzten Tagen enorm zugenommen haben. Alle gingen über die XML-RPC. Jetzt könnte man hergehen und diese Schnittstelle stilllegen. Das wurde mir auch schon mal empfohlen. Aber was gewinnt man dadurch? Einen Großteil der Funktionalitäten wie Pingbacks oder die ganzen Sachen, die JetPack mitbringt oder von anderen Plugins genutzt werden, können wir dann einstampfen.

In der Endkonsequenz wäre das dann, dass wir alle WordPress-Blogs eigentlich schließen können. Wäre den Angreifern dann geholfen? Natürlich wird empfohlen, einen kostenpflichtigen Cloud-Dienst zu nutzen, um WordPress effektiv und wirksam zu schützen. Aber wäre das denn wirklich im Sinne des Erfinders? Noch einmal die Frage: Was gewinnen wir damit? Ich meine: Außer dass wir unsere Blogs zunageln und eigentlich das Bloggen sein lassen können? Es muss doch auch anders funktionieren. Das Zusperren der XML-RPS Schnittstelle ist es jedenfalls nicht.

Das könnte Sie auch interessieren:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

×SaveYourInternet

Liebe Besucherin, lieber Besucher,

vielen Dank für Ihr Interesse. Leider steht unser Service heute nicht zur Verfügung. Wir protestieren gemeinsam mit der Autorenschaft der Wikipedia gegen Teile der geplanten EU-Urheberrechtsreform, die im Parlament der Europäischen Union Ende März verabschiedet werden soll, und schalten unsere Seite für 24 Stunden ab.

Monatelang haben EU-Kommission, EU-Parlament und der EU-Rat im sogenannten Trilog hinter verschlossenen Türen an einem neuen EU-Urheberrecht gearbeitet. Im Kern geht es darum, die finanziellen Interessen der großen Medienkonzerne gegenüber Betreibern von Internetplattformen durchzusetzen.

Ausgetragen wird dieser Konflikt auf den Rücken der Internetnutzer und Kreativen. Diese müssen nach dem aktuellen Entwurf mit erheblichen Einschränkungen rechnen. Das freie Internet, wie wir es kennen, könnte zu einem „Filternet“ verkommen, in dem Plattformbetreiber darüber entscheiden müssen, was wir schreiben, hochladen und sehen dürfen. Denn das geplante Gesetz schreibt Internetseiten und Apps vor, dass sie hochgeladene Inhalte präventiv auf Urheberrechtsverletzungen prüfen müssen. Selbst kleinere Unternehmen müssten demnach fehleranfällige, teure und technisch unausgereifte Uploadfilter einsetzen (Artikel 13) und für minimale Textausschnitte aus Presseerzeugnissen Lizenzen erwerben, um das sogenannte Leistungsschutzrecht einzuhalten (Artikel 11).

Wenn Sie unsere Kritik an der geplanten Urheberrechtsreform teilen, werden Sie aktiv: