1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

WP 5.4 Download(seite) ohne Login

Dieses Thema im Forum "Allgemeines" wurde erstellt von Moritz66, 15. Juni 2020.

  1. Moritz66

    Moritz66 Well-Known Member

    Registriert seit:
    6. Januar 2010
    Beiträge:
    49
    Zustimmungen:
    0
    Hallo,
    bei mir läuft der WP-Downloadmanager, um zu verhindern, das man im Browser in der Statusleiste den kompletten Pfad der Datei sehen kann. Jetzt kann man nur noch die Download-ID sehen. Die Downloadseite können nur Mitglieder sehen und aufrufen. Jetzt habe ich einen Zugriff bemerkt, das ein nicht angemeldeter die Page_ID aufgerufen hat, und dann auch den Download starten konnte. IP war aus Rumänien. Ich habe mir mal die Page-ID gemerkt und unangemeldet aufgerufen… wurde mir verweigert. Ich möchte es einfach verstehn wie der aus Rumänien das konnte…

    Gruß Moritz
     
  2. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    7.363
    Zustimmungen:
    738
    Wie/wo genau hast Du einen Zugriff bemerkt, der nicht angemeldet war? Und wo/wie den gestarteten Download?

    Link zum Website? Page_ID der fraglichen Seite?
     
  3. Moritz66

    Moritz66 Well-Known Member

    Registriert seit:
    6. Januar 2010
    Beiträge:
    49
    Zustimmungen:
    0
    Bemerkt habe ich das in meiner Server-Log, da er nicht die Anmeldeprozedure (wp-login.php) durchlaufen ist. Er war noch nie auf unserer Seite, also auch keine Cookies...
    Seite ist: http://railworksmanager.korsoft.eu/?page_id=252 und auf dieser Seite ist ein Button der mit der Download-id belegt ist. Solltest Du es schaffen dann sag mir bitte bescheid, aber bei mir ging es nicht unangemeldet.

    Gruß Moritz
     
  4. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    7.363
    Zustimmungen:
    738
    Über die REST-API kommt man an den Seiteninhalt, dort drin stehen zwei Downloadlinks, beide lassen sich direkt abrufen.
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Du kannst die REST-API für nicht angemeldete Besucher z.B. über ein Plugin wie Disable REST API o.ä. deaktivieren bzw. einschränken.
     
    #4 b3317133, 15. Juni 2020
    Zuletzt bearbeitet: 15. Juni 2020
  5. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    7.363
    Zustimmungen:
    738
    Ergänzung: Man kann derzeit alternativ auch einen WordPress Account registrieren, der dann sofort regulären Zugriff auf diese Seite und die Downloadlinks hat.
     
  6. Moritz66

    Moritz66 Well-Known Member

    Registriert seit:
    6. Januar 2010
    Beiträge:
    49
    Zustimmungen:
    0
    Hab vielen Dank für Deine Hilfe. Aber ist das dann nicht eine Sicherheitslücke von Wordpress?
    Habe das Plugin sofort installiert. DANKE !!!

    P.S. aber hätte der die 252 nicht wissen müssen? Du hattest die ja...

    Gruß Moritz
     
  7. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    7.363
    Zustimmungen:
    738
    Dazu gibt es verschiedene Meinungen. Die Entwickler von WordPress betrachten die REST-API an sich nicht als Sicherheitslücke:
    In Deinem Fall war/ist die Lücke im Plugin, das a) den Zugriff auf die Seite (unvollständig) beschränkt hat und b) keine Nonce o.ä. Sicherheitsmechanismen in den Downloadlinks nutzt, evtl. ist das Plugin dafür aber auch gar nicht gedacht.

    Die 252 konnte/kann man z.B. über die Auflistung aller Seiten über die REST-API finden, oder auch einfach über die WordPress Suche:
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Ergänzung: Lt. Screenshots des vermutlich genutzten Download Plugins kann man offenbar bei der jeweiligen Datei auch beschränken, wer sie herunterladen kann, siehe "Allowed to Download", evtl. ist das auch noch ein Ansatz, die direkt abrufbaren Downloadlinks (wenn man sie denn hat) zu unterbinden. Vielleicht wurde ein Downloadlink auch einfach irgendwo weitergegeben o.ä., ganz ohne REST-API und ähnliche Dinge.
     
    #7 b3317133, 15. Juni 2020
    Zuletzt bearbeitet: 15. Juni 2020
  8. Moritz66

    Moritz66 Well-Known Member

    Registriert seit:
    6. Januar 2010
    Beiträge:
    49
    Zustimmungen:
    0
    Also dann finde ich das es doch eine Sicherheitslücke ist...

    Ich danke Dir für die ausführliche Hilfe.

    Gruß Moritz
     
  9. mensmaximus

    mensmaximus Well-Known Member

    Registriert seit:
    24. Juli 2014
    Beiträge:
    8.284
    Zustimmungen:
    310
    Die REST-API ist nur ein anderer Weg die Daten aus WordPress abzurufen, als die normale Anzeige im Browser. Wenn Du Zugriffsbeschränkungen auf Deiner Seite haben willst, musst Du das auch für die REST-API tun. Ein gutes Plugin wird das auch tun.
     
    Kurt Singer gefällt das.
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden