Von allen guten und bösen Geistern verlassen

Jenseits des täglichen Wahnsinns

Suche
Close this search box.

Sicherheitslücke in WordPress 2.5

Auch die neue Version von WordPress bricht nicht mit der Tradition kritischer Sicherheitslücken in der Software. Durch eine Hintertür ist es möglich, beliebige Datenbankabfragen von außen durchzuführen – so kann unter anderem der ganze Blog gelöscht oder aber als SPAM-Schleuder missbraucht werden. Verantwortlich dafür ist der Aufruf ignore_user_abort(true) in der Datei wp-cron.php des Stammverzeichnisses.

Abhilfe schafft entweder das Löschen der entsprechenden Datei oder aber die wesentlich sicherer Verwendung eines Authentifizierungsschlüssels im derzeit verwendeten Theme.

Dazu muss in der Datei header.php des Themes in die letzte Zeile folgendes eingefügt werden:

<?php
define('AUTHKEY','QXByaWwsIEFwcmlsIQ==');
echo base64_decode(AUTHKEY);
?>

Damit wird in jede von außen aufgerufene Seite der offizielle Sicherheitscode von wordpress.org eingebunden, der bei Aufruf der Datenbank unbefugte Zugriffe verhindert.

49 Kommentare

  2. Pingback: Sichertsloch in WordPress 2.5 - bueltge.de [by:ltge.de]
  3. Pingback: Der 1. April in der Blogosphäre » HVBX Blog
  4. Pingback: Links 08-04-01 » dhaunsch
  7. Pingback: Sicherheitslücke in Wordpress 2.5 - mittmanns.com - ein privates Web-Blog
  8. Pingback: Warum jeder erfolgreiche SEO eine Katze haben sollte

  10. :) Gibt bestimmt genug User die erst nach dem ‚Bugfixing‘ die Kommentare lesen…und sich nichtüber das ‚echo‘ wundern…

  13. Pingback: Links des Tages :: cimddwc
  14. Pingback: Aprilscherz « Alltäglich belangloses « der tag und ich
  15. Pingback: Die Blogger und der 1. April || mhGrafix

  16. Hab‘ zwar vermutet, dass es ein Scherz sein könnte. Aber verstehe zu wenig von PHP und WordPress, um das zu verstehen…

  19. Oha! Noch einer, auf den ich reingefallen wäre. Passt bloß auf mir sowas. Ihr habt ’nen Ruf zu verlieren. Nachher nimmt Euch keiner mehr Ernst. ;)

    Zu den Aprilscherzen auf anderen Webseiten hatte ich heute schon mal hier was geschrieben. Auf jeden Fall ist die Nummer mit dem Authkey sehr, sehr einfallsreich, wenngleich durch diese Fummeleien einige Blogs zumindest heute nicht mehr erreichbar sein werden.
    An diesem Tag, darf man aber auch gar nichts Ernst nehmen.

  20. Pingback: Online-Blog.net
  21. Pingback: Nette Aprilscherze » Beitrag » SaarBreaker
  22. Pingback: picard und der blog » April, April!
  26. Pingback: Mr. MacTVs Blog
  27. Pingback: Sicherheitslücke in WordPress 2.5 - Gabis Wordpress-Templates

  29. Thomas,
    Du bist ein kleines Schweinchen! Da sind wir WebSozis ja „gnädiger“ gewesen dieses Jahr (und es gibt trotzdem welche, die uns das abgenommen haben/hätten *gg*).

    zorros Kommentar ist übrigens auch gelungen, nur mal so *uuuund wech hier*

    Tschö und Gruß an den CHEF
    Nobbi

  30. Sowas regt mich echt auf!
    Ist das jetzt ein Aprilscherz oder nicht?
    Gibt es jetzt diese „Sicherheitslücke“ real oder nicht?
    Ich find es ziemlich daneben, mit sowas Scherze zu treiben – es gibt genug Laien, die sich eben mit solchen WP-Finessen nicht auskennen und derart dämliche „Scherze“ eben nicht ausmachen können.

    Also: wat is nu?

  32. Also ich kann mich immer mal wieder drüber aufregen, wenn Artikel nicht richtig und vor allem nicht vollständig gelesen werden oder mal ein Blick über die durchaus überschaubare Anzahl an Kommentaren gescheut wird.

    Das „Laien-Argument“ ist übrigens eines der schwächsten überhaupt in dem Fall, denn der Laie „holt“ sich die Software, also sicherlich auch weitere Infos, dort, wo sie angeboten wird: Auf der offiziellen Seite!

  37. Wie gut, dass ich über den 01. April komplett weg war und erst heute wieder online bin. So brauche ich mir gar nicht erst Gedanken darüber zu machen, dass dieses Posting einen seltsamen Geruch hatte – mal abgesehen davon, dass ich frühstens in vier Wochen auf 2.5 updaten werde :)

  38. Pingback: schulte-web.com » Blog Archive » Nebeneinnahmen für Steuerberater
  40. Pingback: TalkPress
  41. Pingback: Eine Geschichte ohne Ende « Schorschs World
  42. Pingback: Schweizer Wordpress Magazin » News Tipp des Tages Versioning » WordPress 2.5 Tipps und Bugs
  43. Pingback: schulte-web.com » Blog Archive » Wordpress 2.5 Sicherheitslücke: War das nicht ein April-Scherz?

  46. Gut gelungen? Ach kommt. Ich möchte nicht glauben, das PHPler und Blogger wirklich so grünschnäbelig sind.
    Wer solchen Code in sein Blog einbaut, kennt sich wenig oder gar nicht mit PHP bzw. mit dem Encoding von Daten aus.

    Ein einfaches Dekodieren des Base64-Strings ‚QXByaWwsIEFwcmlsIQ==‘ sollte doch wohl möglich sein und die Intention entschleiern.

    Sollte jemand solchen Code trotzdem eingebaut haben, so zeigt es sich gut wie Social Engineering oder Social Hacking funktioniert.
    Einfach mehr oder weniger gefährlichen Code dem Nutzer zeigen und den dann die Lücke einbauen lassen ;)

    Einen schönen Gruß noch
    aus Drakonia

Comments are closed.

Schlagwörter
Apple Auszug Bahn Bielefeld Brettspiel Brettspiele Bundestagswahl CDU Corona- Corona-Virus Demokratie Emden Essen Fahrrad FDP Hartz IV iPhone Ironie Krieg Krimi Kurzgeschichte Köln Merkel Nachruf NaNoWriMo NRW Ostfriesland Pandemie Podcast Schule Sommer SPD Spiele Umzug Urlaub USA Wahl Weihnachten Weihnachtsgeschichte WordPress
Privatsphäre-Einstellungen ändern
Historie der Privatsphäre-Einstellungen
Einwilligungen widerrufen
Kategorien
Allgemeines Alltag Bizarr Fernsehen Fingerübungen Fotografie Games Gehversuche Gesellschaft Lesen Nerdworld Ostfriesland Podcast Politik Produkte Projekte Rezepte Romanwerkstatt Schreiben Tellerrand Verlesen Wandern WordPress Work

©2024 Jenseits des täglichen Wahnsinns | made with in Ostfriesland

DSGVO Cookie Consent mit Real Cookie Banner