Copying sources and texts (also in parts) for publishing without our permission is NOT ALLOWED. We are fed up with finding our work on other sites (like stackoverflow).
Das Kopieren von Quellcode und Texten (auch in Auszügen) ist nicht erlaubt. Wir haben es gründlich satt, unsere Arbeit auf anderen Webseiten zu finden.

Copying for non-public usage is allowed.           Das private Kopieren und Benutzen ist natürlich erlaubt und erwünscht.
09. Jun 2014
Teaser

WordPress: Verbergen von Benutzernamen und ID Zuordnung (WordPress User IDs and User Names disclosure)

Wenn man bei einer WordPress Webseite die URL “http://www.example.com/?author=1” angibt, dann erhält man eine Liste der Artikel des entsprechenden Benutzers und seinen Namen.

Das klingt auf den ersten Blick nicht sonderlich schlimm – erlaubt jedoch die Zuordnung der Benutzernamen und das Zuordnen dieser Namen zur internen Benutzer ID.

Aber: Das zeigt auf, dass …

  1. die Benutzer-IDs generisch (fortlaufend) erzeugt werden und man dadurch herausfinden kann, wieviele Benutzer auf der WordPress Installation arbeiten
  2. eine Benutzer-ID vergeben / aktiviert ist
  3. durch die Umleitung Schwachstellen entstehen können

Diese Schwachstelle in WordPress kann durch eine Ergänzung in der .htaccess Datei gesperrt werden:

RewriteCond %{QUERY_STRING} author=\d
RewriteRule ^ /? [L,R=301]

Diese Ergänzung leitet entsprechende Anfragen auf die Startseite (bzw. das Rootverzeichnis) des Webservers um. Die Daten können auf diese Weise nicht ausgelesen werden.