Sicherheitslücke in WordPress 2.5

Auch die neue Version von WordPress bricht nicht mit der Tradition kritischer Sicherheitslücken in der Software. Durch eine Hintertür ist es möglich, beliebige Datenbankabfragen von außen durchzuführen – so kann unter anderem der ganze Blog gelöscht oder aber als SPAM-Schleuder missbraucht werden. Verantwortlich dafür ist der Aufruf ignore_user_abort(true) in der Datei wp-cron.php des Stammverzeichnisses.

Abhilfe schafft entweder das Löschen der entsprechenden Datei oder aber die wesentlich sicherer Verwendung eines Authentifizierungsschlüssels im derzeit verwendeten Theme.

Dazu muss in der Datei header.php des Themes in die letzte Zeile folgendes eingefügt werden:

<?php
define('AUTHKEY','QXByaWwsIEFwcmlsIQ==');
echo base64_decode(AUTHKEY);
?>

Damit wird in jede von außen aufgerufene Seite der offizielle Sicherheitscode von wordpress.org eingebunden, der bei Aufruf der Datenbank unbefugte Zugriffe verhindert.

Comments are closed.