Von allen guten und bösen Geistern verlassen

Sicherheitslücke in WordPress 2.5

Auch die neue Version von WordPress bricht nicht mit der Tradition kritischer Sicherheitslücken in der Software. Durch eine Hintertür ist es möglich, beliebige Datenbankabfragen von außen durchzuführen – so kann unter anderem der ganze Blog gelöscht oder aber als SPAM-Schleuder missbraucht werden. Verantwortlich dafür ist der Aufruf ignore_user_abort(true) in der Datei wp-cron.php des Stammverzeichnisses.

Abhilfe schafft entweder das Löschen der entsprechenden Datei oder aber die wesentlich sicherer Verwendung eines Authentifizierungsschlüssels im derzeit verwendeten Theme.

Dazu muss in der Datei header.php des Themes in die letzte Zeile folgendes eingefügt werden:

<?php
define('AUTHKEY','QXByaWwsIEFwcmlsIQ==');
echo base64_decode(AUTHKEY);
?>

Damit wird in jede von außen aufgerufene Seite der offizielle Sicherheitscode von wordpress.org eingebunden, der bei Aufruf der Datenbank unbefugte Zugriffe verhindert.

49 Kommentare

  1. :) Gibt bestimmt genug User die erst nach dem ‚Bugfixing‘ die Kommentare lesen…und sich nichtüber das ‚echo‘ wundern…

  2. Hab‘ zwar vermutet, dass es ein Scherz sein könnte. Aber verstehe zu wenig von PHP und WordPress, um das zu verstehen…

  3. Oha! Noch einer, auf den ich reingefallen wäre. Passt bloß auf mir sowas. Ihr habt ’nen Ruf zu verlieren. Nachher nimmt Euch keiner mehr Ernst. ;)

    Zu den Aprilscherzen auf anderen Webseiten hatte ich heute schon mal hier was geschrieben. Auf jeden Fall ist die Nummer mit dem Authkey sehr, sehr einfallsreich, wenngleich durch diese Fummeleien einige Blogs zumindest heute nicht mehr erreichbar sein werden.
    An diesem Tag, darf man aber auch gar nichts Ernst nehmen.

  4. Pingback: Online-Blog.net
  5. Pingback: Mr. MacTVs Blog
  6. Thomas,
    Du bist ein kleines Schweinchen! Da sind wir WebSozis ja „gnädiger“ gewesen dieses Jahr (und es gibt trotzdem welche, die uns das abgenommen haben/hätten *gg*).

    zorros Kommentar ist übrigens auch gelungen, nur mal so *uuuund wech hier*

    Tschö und Gruß an den CHEF
    Nobbi

  7. Sowas regt mich echt auf!
    Ist das jetzt ein Aprilscherz oder nicht?
    Gibt es jetzt diese „Sicherheitslücke“ real oder nicht?
    Ich find es ziemlich daneben, mit sowas Scherze zu treiben – es gibt genug Laien, die sich eben mit solchen WP-Finessen nicht auskennen und derart dämliche „Scherze“ eben nicht ausmachen können.

    Also: wat is nu?

  8. Also ich kann mich immer mal wieder drüber aufregen, wenn Artikel nicht richtig und vor allem nicht vollständig gelesen werden oder mal ein Blick über die durchaus überschaubare Anzahl an Kommentaren gescheut wird.

    Das „Laien-Argument“ ist übrigens eines der schwächsten überhaupt in dem Fall, denn der Laie „holt“ sich die Software, also sicherlich auch weitere Infos, dort, wo sie angeboten wird: Auf der offiziellen Seite!

  9. Wie gut, dass ich über den 01. April komplett weg war und erst heute wieder online bin. So brauche ich mir gar nicht erst Gedanken darüber zu machen, dass dieses Posting einen seltsamen Geruch hatte – mal abgesehen davon, dass ich frühstens in vier Wochen auf 2.5 updaten werde :)

  10. Pingback: TalkPress
  11. Gut gelungen? Ach kommt. Ich möchte nicht glauben, das PHPler und Blogger wirklich so grünschnäbelig sind.
    Wer solchen Code in sein Blog einbaut, kennt sich wenig oder gar nicht mit PHP bzw. mit dem Encoding von Daten aus.

    Ein einfaches Dekodieren des Base64-Strings ‚QXByaWwsIEFwcmlsIQ==‘ sollte doch wohl möglich sein und die Intention entschleiern.

    Sollte jemand solchen Code trotzdem eingebaut haben, so zeigt es sich gut wie Social Engineering oder Social Hacking funktioniert.
    Einfach mehr oder weniger gefährlichen Code dem Nutzer zeigen und den dann die Lücke einbauen lassen ;)

    Einen schönen Gruß noch
    aus Drakonia

Comments are closed.

DSGVO Cookie Consent mit Real Cookie Banner