Verzeichnislisting im Webserver sollte deaktiviert werden
Bei einem der wohl beliebtesten WordPress PlugIn, dem W3 Total Cache, das zur Optimierung der Performance einer WordPress-Webseite verwendet wird haben Hacker nun eine Möglichkeit entdeckt an Passwörter zu kommen, über die man den Zugriff zum System erlangen kann! Dafür sind zwar ein paar bestimmte Konstellationen nötig, jedoch existieren in Hackerkreisen schon Scripts welche diese Voraussetzungen voll automatisch checken! D.h. Hackern ist es möglich voll automatisiert nach dieser offenen Sicherheitslücke im Web zu suchen was das Gefahrenpotential natürlich gewaltig erhöht! Doch was kann man dagegen tun?
Im Prinzip ist der „Schutz“ gegen dieses Sicherheitsloch recht einfach und jeder professionelle Webmaster wird damit eh kein Problem haben, da es sich um eine allgemein gültige Sicherheitsoption handelt!
Damit das Sicherheitsloch genutzt werden kann, muss auf die Cache Dateien von W3 Total Cache zugegriffen werden können! D.h. ein Zugriff auf das Verzeichnis „/wp-content/w3tc/dbcache/“ muss zum browsen geöffnet sein! Dies ist der Fall, wenn am Server das Feature „directory listings“ aktiviert ist!
Ist es nicht aktiviert, sollte man beim Aufruf dieser Seite eine Fehlermeldung bekommen:
Ist dies der Fall ist man relativ sicher vor Angriffen! Solltet man hier nun das Verzeichnis sehen, sollte man umgehend das „directory listing“ auf „off“ stellen oder dieses Verzeichnis z.B. über die htaccess sperren! Was natürlich den ultimativen Schutz gegen Zugriffe bietet!
Tags:
- w3 cache