wp-json | json-api | leaking | quick fix
Wenn das C’t Magazin so frei im Büro herumliegt kann man ja auch mal als nicht Techniker, die Admins ärgern. Ja das geht ganz schnell, so schnell das der Weg zur Kaffeemaschine und zurück nicht ausreicht um vor der Erledigung des vermeintlichen Problems wieder zurück beim Admin zu sein.
Eine unzureichend geschützte #WordPress Installation gibt Daten preis. Den ganzen Artikel und die Hintergrundinfromationen kann man sich in Ruhe in der Ausgabe 23/20 v 24.10.2020 ab Seite 28 durchlesen.
Ja es geht schneller als man denkt, ja es kann ein Problem mit der #DSGVO geben wenn Bilder betroffen sind, ja es ist augenscheinlich schnell behoben, wenn ich mir das zufriedene Grinsen unseres Admins anschau.
Was war bzw. was ist zu tun um für Abhilfe zu sorgen, lt. C’t Magazin gibt es 2 Möglichkeiten
a) Absicherung mit HTTP-Basic-Auth
b) in der functions.php des verwendeten Themes die von C’t bereitgestellte Funktion add_filter()
hinzuzufügen
Man braucht nicht raten was der Admin gemacht hat.
Müsste ich jetzt bei einer #DSGVO relevanten Panne argumentieren das diese Maßnahme nicht Stand der Technik, oder nicht verhältnismäßig im Aufwand oder den Kosten sei, würde ich mir richtig schwer tun. Aber ich bring den Admins ja auch nur den Kaffee 😉