Die Bemühungen der WordPress-Entwickler gehen in letzter Zeit nach einem öffentlichen Rüffel von Matt Mullenweg vermehrt in Richtung “Perfektion der Sicherheit”, und so dichtet WordPress Lücken beinahe im Wochentakt. Als weitere Sicherheitsmaßnahme gegen Cracker, die über einen geknackten Administrationsaccount in eine fremde WordPress-Seite eindringen konnten, beschränkt WordPress ab der kommenden Version 2.8.5 die in der Mediathek erlaubten Dateitypen.

Eingeschränkte Uploads für Administratoren

Bis dato haben ja Administratoren jegliche Freiheiten in der Auswahl der Dateitypen, die sie ins Medienarchiv ihrer Site laden können: Ob JPEG-Bilder, Flashfilme oder OpenOffice-Dokumente – WordPress speichert uneingeschränkt jeden Dateityp auf der Website. “Gewöhnliche” Benutzer ohne Administratorrechte dagegen dürfen weitaus weniger und müssen sich auf eine bestimmte Auswahl gemäß der sogenannten MIME-Type-Whitelist beschränken.

Ab WordPress 2.8.5 gilt diese Whitelist auch für Administratoren, die damit erstmalig mit der Fehlermeldung “Der Dateityp entspricht nicht den Sicherheitsrichtlinien. Bitte einen anderen versuchen.” oder “File type does not meet security guidelines. Try another.” konfrontiert werden können.

WordPress-Meldung "Der Dateityp entspricht nicht den Sicherheitsrichtlinien. Bitte einen anderen versuchen."

Ungefilterte Uploads konfigurieren

Wer trotzdem weiterhin uneingeschränkte Uploads benötigt, kann die Sicherheitsprüfung über eine zusätzliche Zeile in der Datei wp-config.php komplett ausschalten:

define ('ALLOW_UNFILTERED_UPLOADS', true);

Dateitypen für die Mediathek freigeben

Das vollständige Ausschalten der Sicherheitsmaßnahmen ist in vielen Fällen aber ohnehin nicht notwendig: Über das Plugin WordPress mime-config von WordPress-Entwickler Peter Westwood alias “westi” lässt sich die Liste der erlaubten Dateitypen anpassen und erweitern.

WordPress-Plugin PJW Mime Config

(Quelle: WordPress Core Trac, Ticket 10692)

30. August 2009, 09:59 − Abgelegt in

Kommentare

Warum nun die Einschränkungen auch für Admins?
Wenn ich Kontrolle über einen Admin-Account eines Blogs habe, hätte ich ganz andere Möglichkeiten Schaden anzurichten. Warum sollte ich das dann über die Mediathek machen?

Oder kann es sein das ich das falsch verstehe? Benutze Wordpress selber nur zum privaten Bloggen…

Roberto · 2. September 2009, 03:12 · #

Sehe ich genauso. Erkenne keinen Sicherheitsgewinn. Wenn der böse Bube eh schon admin ist, ist lange vorher was schief gelaufen.

Tom · 2. September 2009, 12:17 · #

Ich glaube, das ist anders gedacht ?
Es gibt ja gewisse Dateitypen die, wenn sie angreifbar sind, ein Sicherheitsrisiko darstellen und diese sollen wohl für nicht so computeraffine Menschen ausgeklammert werden.

Gucky · 5. September 2009, 18:06 · #

Es gibt ja intelligente Leute, die aktive (also prinzipiell angreifbare) Inhalte (Skripte, Flash, Videos, Audio, PDF) blockieren und nur für Seiten ihres Vertrauens aktivieren. Wenn aktive Inhalte einfach nur in eine solche Seite des Vertrauens eingebunden aber von einem anderen Server bereitgestellt werden, werden sie trotzdem blockiert. Wenn diese aktiven Inhalte aber auch von der Seite des Vertrauens bereitgestellt werden, also dort im Admin-Panel hoch geladen wurden, werden sie NICHT blockiert. Somit wird ein gelungener Angriff sehr viel wahrscheinlicher.

Es hat also durchaus seinen Sinn bestimmte Dateitypen auch für Admins zu blockieren. Somit schadet ein geknackter Admin-Acount zwar den Inhalten des Blogs, nicht aber den Besuchern!

Viele Grüße,
Andy

— Andy · 8. Oktober 2009, 13:21 · #

Und was passiert wenn ich die Daten per FTP in das Upload Verzeichnis lade?

— Eike · 21. Oktober 2009, 19:28 · #

Uploads über FTP kann WordPress nicht beeinflussen. Die Whitelist wird nur für Mediathek-Inhalte verwendet, die über den WP-Admin erstellt werden.

Robert · 22. Oktober 2009, 06:11 · #

Nix passiert, Eike der beste tipp ist selbst aus zu probieren.. ;-)
Und schnell draus lernen.. ;)
Hans

— Hans · 17. Februar 2010, 13:30 · #

Falls die Datei nicht akteptiert wird, kann man sie doch einfach in ein ZIP verpacken.

— Sam · 22. Januar 2013, 21:51 · #



Textile-Hilfe