Sicherheitslücke in WP 2.01 oder Heise Luft
Heise versorgt uns mit News. Hausverstand muss jeder selber mitbringen. Panik ist nicht nötig. Oder soll nur mal wieder ein Open Source mies gemacht werden.
- HTMLentities getrimmt
- Die URL beim Autor wird nicht mehr angezeigt.
Keine URL mehr in den Kommentaren
Heise² ruft es in die ganze Welt hinaus: WordPress 2.01 hat massive Sicherheitsprobleme. Laien bekommen die Panik. Open Source wird wieder einmal ins schlechte Licht gerückt.
Wie jetzt vorgehen? Ist mein Blog noch sicher? Seh ich es Morgen noch am Bildschirm oder wurde es vernichtet?
Was muss ich tun?
- Nimm Dir ein großes Häferl Kaffee – von mir aus auch Tee – auf alle Fälle etwas Beruhigendes und lies.
Neosecurityteam.net hat es sich offenbar zur Aufgabe gemacht Sicherheitslücken zu finden. Eine noble Sache, doch wer dies macht, der sollte auch wirklich übergenau arbeiten.
- Wenn Du als Administrator angemeldet bist, dann – und nur dann – kannst Du auch JavaScript in einen Kommentar schreiben.
- Dies kannst Du also nur auf Deinen eigenen Blog machen.
- Daher ist es nicht nötig voller Panik den Sicherheitspatch durchzuführen.
Was der bewirkt siehst und liest Du oben beim Bild.
Magst Du diesen dennoch ausführen, weil Du irre Sorge hast und verunsichert bist:
- Sichere Dir die wp-comments-post.php. Die findest Du direkt im sogenannten Root Verzeichnis.
- Öffne sie mit einem Editor Deiner Wahl.
- Suche nach “trim” und ändere wie folgt:
$comment_author = htmlentities(trim($_POST['author'])); $comment_author_email = htmlentities(trim($_POST['email'])); $comment_author_url = htmlentities(trim($_POST['url'])); $comment_content = htmlentities(trim($_POST['comment']));
Man kann die Ordner sehen, wenn man meinedomain.de/wp-includes im Browser aufruft!
Dies kann man per htaccess lösen.
Achtung Hausverstand:
Unabhängig davon, wer Dein Blog hacken mag, der sieht sowieso, dass Du WordPress benutzt. Der Hacker braucht sich nur WordPress herunterladen und weiß was es für Ordner gibt und was da drin steht.
Wenn Du magst lies den Artikel von Tinyurl. Dieser ist in Englisch und erzählt noch genauer als ich, was es mit den vermeintlich so irre gefährlichen Sicherheitslöchern auf sich hat. Auch auf WordPress.de und WordPress.org wird darüber diskutiert.
WP 2.02 wird sicher bald erscheinen. Bis dahin poste selber keine gefährlichen Scripte in die Kommentare Deines eigenen Blogs und vergiß nicht:
Du hast als Administrator die Möglichkeit die ganze Datenbank zu löschen. Wie man dieses Sicherheitsloch umgeht, weiß ich definitiv noch nicht.
PC ausschalten. Internet abmelden….
Don’t panic, wie es so schön auf deutsch heißt. Aber immer ein waches Auge haben. Vor allem auf Journale, die mit schöner Regelmässigkeit Open Source Software als Sicherheitslöcher darstellen. Dies sollte Dich skeptisch machen.
2
Heise Meldung vom:02.03.2006 12:12
Mit dem Titel:Sicherheitslücken im Blog-System Wordpress
Wenn WebDesign-in.de auf eine andere Internetpräsenz verlinkt, dann ist dies eine Referenz.
Nicht jede Meldung von heise ist diese Referenz wert.
Basis Know-how CSS
Internetmarketing
zu : Sicherheitslücke in WP 2.01 oder Heise Luft 
Rechtliches
Impressum
Ich habe jetzt alle sicherheitsbedenklichen PHP-Files gepatcht. Bitte den neuen Patch einspielen, da der letzte nur die Kommentarfunktion gefixt hat.
http://www.stellwag.us/2006/03/02/sicherheitslocher-in-wordpress/
LG, Philippe
“Mal wieder” eine Warnung – doch ganz übergehen sollte man sie nicht. Ist erst mal eine Sicherheitslücke bekannt, dann lassen sich vor allem die “Kids” dazu anstiften, diese auch auszuprobieren…