Sicherheitslücke in WordPress 2.5

Sicherheitslücke in WordPress 2.5

Auch die neue Version von WordPress bricht nicht mit der Tradition kritischer Sicherheitslücken in der Software. Durch eine Hintertür ist es möglich, beliebige Datenbankabfragen von außen durchzuführen – so kann unter anderem der ganze Blog gelöscht oder aber als SPAM-Schleuder missbraucht werden. Verantwortlich dafür ist der Aufruf ignore_user_abort(true) in der Datei wp-cron.php des Stammverzeichnisses.

Abhilfe schafft entweder das Löschen der entsprechenden Datei oder aber die wesentlich sicherer Verwendung eines Authentifizierungsschlüssels im derzeit verwendeten Theme.

Dazu muss in der Datei header.php des Themes in die letzte Zeile folgendes eingefügt werden:

<?php
define('AUTHKEY','QXByaWwsIEFwcmlsIQ==');
echo base64_decode(AUTHKEY);
?>

Damit wird in jede von außen aufgerufene Seite der offizielle Sicherheitscode von wordpress.org eingebunden, der bei Aufruf der Datenbank unbefugte Zugriffe verhindert.

49 Replies to “Sicherheitslücke in WordPress 2.5”

  1. :) Gibt bestimmt genug User die erst nach dem ‚Bugfixing‘ die Kommentare lesen…und sich nichtüber das ‚echo‘ wundern…

  2. Hab‘ zwar vermutet, dass es ein Scherz sein könnte. Aber verstehe zu wenig von PHP und WordPress, um das zu verstehen…

  3. Oha! Noch einer, auf den ich reingefallen wäre. Passt bloß auf mir sowas. Ihr habt ’nen Ruf zu verlieren. Nachher nimmt Euch keiner mehr Ernst. ;)

    Zu den Aprilscherzen auf anderen Webseiten hatte ich heute schon mal hier was geschrieben. Auf jeden Fall ist die Nummer mit dem Authkey sehr, sehr einfallsreich, wenngleich durch diese Fummeleien einige Blogs zumindest heute nicht mehr erreichbar sein werden.
    An diesem Tag, darf man aber auch gar nichts Ernst nehmen.

  4. Pingback: Online-Blog.net
  5. Pingback: Mr. MacTVs Blog
  6. Thomas,
    Du bist ein kleines Schweinchen! Da sind wir WebSozis ja „gnädiger“ gewesen dieses Jahr (und es gibt trotzdem welche, die uns das abgenommen haben/hätten *gg*).

    zorros Kommentar ist übrigens auch gelungen, nur mal so *uuuund wech hier*

    Tschö und Gruß an den CHEF
    Nobbi

  7. Sowas regt mich echt auf!
    Ist das jetzt ein Aprilscherz oder nicht?
    Gibt es jetzt diese „Sicherheitslücke“ real oder nicht?
    Ich find es ziemlich daneben, mit sowas Scherze zu treiben – es gibt genug Laien, die sich eben mit solchen WP-Finessen nicht auskennen und derart dämliche „Scherze“ eben nicht ausmachen können.

    Also: wat is nu?

  8. Also ich kann mich immer mal wieder drüber aufregen, wenn Artikel nicht richtig und vor allem nicht vollständig gelesen werden oder mal ein Blick über die durchaus überschaubare Anzahl an Kommentaren gescheut wird.

    Das „Laien-Argument“ ist übrigens eines der schwächsten überhaupt in dem Fall, denn der Laie „holt“ sich die Software, also sicherlich auch weitere Infos, dort, wo sie angeboten wird: Auf der offiziellen Seite!

  9. Abgesehen davon gibt es keine perfekte Programme. Es gibt immer ein Bug das noch nicht gefunden, entdeckt wurde.

  10. die überschrift deines postes erweckte sogar am 2. april noch angst und schrecken in mir ^^…

    viele grüße

  11. Wie gut, dass ich über den 01. April komplett weg war und erst heute wieder online bin. So brauche ich mir gar nicht erst Gedanken darüber zu machen, dass dieses Posting einen seltsamen Geruch hatte – mal abgesehen davon, dass ich frühstens in vier Wochen auf 2.5 updaten werde :)

  12. hmm damit bekommste wahrscheinlich auch heute noch massig besucher (wie mich) über google rein die das glauben, wa?

    netter gag :)

  13. Pingback: TalkPress
  14. Gut gelungen? Ach kommt. Ich möchte nicht glauben, das PHPler und Blogger wirklich so grünschnäbelig sind.
    Wer solchen Code in sein Blog einbaut, kennt sich wenig oder gar nicht mit PHP bzw. mit dem Encoding von Daten aus.

    Ein einfaches Dekodieren des Base64-Strings ‚QXByaWwsIEFwcmlsIQ==‘ sollte doch wohl möglich sein und die Intention entschleiern.

    Sollte jemand solchen Code trotzdem eingebaut haben, so zeigt es sich gut wie Social Engineering oder Social Hacking funktioniert.
    Einfach mehr oder weniger gefährlichen Code dem Nutzer zeigen und den dann die Lücke einbauen lassen ;)

    Einen schönen Gruß noch
    aus Drakonia

über Thomas Boley

Geboren wurde ich im Jahre des Herren 1971 in Wesel am Niederrhein – die Kommentare an dieser Stelle bezüglich des Bürgermeisters bitte verkneifen! Mein Verhältnis zu dieser Stadt würde wohl den Umfang dieser Seite sprengen. Nur soviel sei gesagt: Es ist durchaus durchwachsen, worin es sich aber nicht von meinem Verhältnis zu Bielefeld unterscheidet. Nach dem üblichen Werdegang (Kindergarten, Schule, Abitur, Zivildienst) und den üblichen jugendlichen Irrungen und Wirrungen verschlug es mich zum Studium nach Bielefeld verschlagen. 18 Jahre später ging es dann zurück an den Rhein, in die Domstadt Köln. mehr erfahren