Auch die neue Version von WordPress bricht nicht mit der Tradition kritischer Sicherheitslücken in der Software. Durch eine Hintertür ist es möglich, beliebige Datenbankabfragen von außen durchzuführen – so kann unter anderem der ganze Blog gelöscht oder aber als SPAM-Schleuder missbraucht werden. Verantwortlich dafür ist der Aufruf ignore_user_abort(true) in der Datei wp-cron.php des Stammverzeichnisses.
Abhilfe schafft entweder das Löschen der entsprechenden Datei oder aber die wesentlich sicherer Verwendung eines Authentifizierungsschlüssels im derzeit verwendeten Theme.
Dazu muss in der Datei header.php des Themes in die letzte Zeile folgendes eingefügt werden:
<?php
define('AUTHKEY','QXByaWwsIEFwcmlsIQ==');
echo base64_decode(AUTHKEY);
?>
Damit wird in jede von außen aufgerufene Seite der offizielle Sicherheitscode von wordpress.org eingebunden, der bei Aufruf der Datenbank unbefugte Zugriffe verhindert.
49 Kommentare
Erstklassig !!!
häää ?!
Argh…
Wirlich klasse Scherz. Nur mag ich so was nicht mit Sicherheitslücken.
Gruß Rainer
Och Rainer, verrate doch nicht alles!
:) Gibt bestimmt genug User die erst nach dem ‚Bugfixing‘ die Kommentare lesen…und sich nichtüber das ‚echo‘ wundern…
Sehr schön ;-) Hab gut gelacht :D
Muhahahahaha! Genial!
Hab‘ zwar vermutet, dass es ein Scherz sein könnte. Aber verstehe zu wenig von PHP und WordPress, um das zu verstehen…
Da lachen wohl viele schon mal rein vor Erleichterung ;-)
Wirklich nicht schlecht gemacht. An diesem Tag sollte man bei bestimmten Meldungen aufpassen.
Oha! Noch einer, auf den ich reingefallen wäre. Passt bloß auf mir sowas. Ihr habt ’nen Ruf zu verlieren. Nachher nimmt Euch keiner mehr Ernst. ;)
Zu den Aprilscherzen auf anderen Webseiten hatte ich heute schon mal hier was geschrieben. Auf jeden Fall ist die Nummer mit dem Authkey sehr, sehr einfallsreich, wenngleich durch diese Fummeleien einige Blogs zumindest heute nicht mehr erreichbar sein werden.
An diesem Tag, darf man aber auch gar nichts Ernst nehmen.
wie wäre es mit einem update für mygallery?
Gruss
Da stand einigen wohl schon der Schweiß auf der Stirn. Der April fängt ja gut an.
Klasse gemacht!
Super! :-D
Obwohl es sich um einen Aprilscherz handelt würde mich das bei WP nicht wundern :D
Thomas,
Du bist ein kleines Schweinchen! Da sind wir WebSozis ja „gnädiger“ gewesen dieses Jahr (und es gibt trotzdem welche, die uns das abgenommen haben/hätten *gg*).
zorros Kommentar ist übrigens auch gelungen, nur mal so *uuuund wech hier*
Tschö und Gruß an den CHEF
Nobbi
Sowas regt mich echt auf!
Ist das jetzt ein Aprilscherz oder nicht?
Gibt es jetzt diese „Sicherheitslücke“ real oder nicht?
Ich find es ziemlich daneben, mit sowas Scherze zu treiben – es gibt genug Laien, die sich eben mit solchen WP-Finessen nicht auskennen und derart dämliche „Scherze“ eben nicht ausmachen können.
Also: wat is nu?
Nach dem Lesen der Kommentare sollte eigentlich klar sein, dass es sich um einen „Scherz“ handelt.
Also ich kann mich immer mal wieder drüber aufregen, wenn Artikel nicht richtig und vor allem nicht vollständig gelesen werden oder mal ein Blick über die durchaus überschaubare Anzahl an Kommentaren gescheut wird.
Das „Laien-Argument“ ist übrigens eines der schwächsten überhaupt in dem Fall, denn der Laie „holt“ sich die Software, also sicherlich auch weitere Infos, dort, wo sie angeboten wird: Auf der offiziellen Seite!
Abgesehen davon gibt es keine perfekte Programme. Es gibt immer ein Bug das noch nicht gefunden, entdeckt wurde.
die überschrift deines postes erweckte sogar am 2. april noch angst und schrecken in mir ^^…
viele grüße
ja ein wirklich guter! hut ab :)
oh no, bin druff reingefallen :D
nice one hehehe
Wie gut, dass ich über den 01. April komplett weg war und erst heute wieder online bin. So brauche ich mir gar nicht erst Gedanken darüber zu machen, dass dieses Posting einen seltsamen Geruch hatte – mal abgesehen davon, dass ich frühstens in vier Wochen auf 2.5 updaten werde :)
hmm damit bekommste wahrscheinlich auch heute noch massig besucher (wie mich) über google rein die das glauben, wa?
netter gag :)
Echt guter Scherz… habs eben gelesen und sogar jetzt noch angst gehabt^^
gut gelungen ;)
Boah… ich hatte gerade schon angst um meinen Blog :D
ihr seid solche *******^^
wie könnt ihr sowas nur machen :D
…
Gut gelungen? Ach kommt. Ich möchte nicht glauben, das PHPler und Blogger wirklich so grünschnäbelig sind.
Wer solchen Code in sein Blog einbaut, kennt sich wenig oder gar nicht mit PHP bzw. mit dem Encoding von Daten aus.
Ein einfaches Dekodieren des Base64-Strings ‚QXByaWwsIEFwcmlsIQ==‘ sollte doch wohl möglich sein und die Intention entschleiern.
Sollte jemand solchen Code trotzdem eingebaut haben, so zeigt es sich gut wie Social Engineering oder Social Hacking funktioniert.
Einfach mehr oder weniger gefährlichen Code dem Nutzer zeigen und den dann die Lücke einbauen lassen ;)
Einen schönen Gruß noch
aus Drakonia
Also wenn hier jemand einem Ansgt machen kann dann ihr :D Dann kann ich ja jetzt unbesorgt meine Blogs ausbauen ;)
Danke für die Info!
hahaha..
Comments are closed.