WordPress und die Sicherheit

tastaturisiert am Dienstag, 29. Mai 2007 um 12:54:16 Uhr

Rein gefühlsmässig hat die Anzahl der Updates und Upgrades von WordPress in den letzten Monaten, nicht zuletzt durch diverse Sicherheitslücken, ziemlich zugenommen. Dass auf Sicherheitslücken rasch reagiert wird, ist nicht nur löblich sondern auch notwendig. Allerdings scheint im Kampf mit der Zeit auch die saubere Programmierung zu leiden, denn die Sicherheitsprobleme häufen sich. Kaum ist eine neue Version verfügbar, werden auch schon die ersten Exploits herumgereicht.

Neuestes Beispiel ist die knapp 13 Tage alte WordPress Version 2.2 “Getz”, wo aufgrund eines Fehlers die Tabelle wp_users ausgelesen werden kann. Voraussetzung dafür ist allerdings ein gültiges Login auf dem Blog des Opfers (ein einfaches “Registrierter Leser”-Konto genügt jedoch bereits). Einen Workaround beschreibt Alex auf seiner Seite:

Dazu muss in der Datei xmlrpc.php die Zeile 541 wie folgt geändert werden:

$max_results = (int) $args[4];

WordPress hat diesen Workaround gestern auch in die Entwicklerversion übernommen, im derzeit angebotenen Download-Paket ist die Änderung allerdings nicht enthalten.

Von den Usern selbst wird in vielen Fällen aber auch die Pflege der eingesetzten Plugins vernachlässigt, was nicht minder gefährlich ist. So zum Beispiel beim Plugin wp-db-backup, welches standardmässig bei den Installationspaketen von WordPress 2.0.x enthalten war. Bis zur wp-db-backup-Version 2.0 war es einem Angreifer nämlich möglich, sich die Datenbanktabellen bequem per eMail zusenden zu lassen. Abhilfe schafft das Update auf die Version 2.1.2 des Plugins. Aufgrund der Tatsache, dass das Plugin zusammen mit den WordPress-Installationspaketen ausgeliefert wurde, ist die “Chance” gross, dass wp-db-backup nach wie vor in grosser Zahl in der fehlerhaften Version genutzt wird.

Es liegt also nicht nur an den WordPress-Entwicklern, für die entsprechende Sicherheit zu sorgen. Auch die Anwender sollten sich regelmässig Zeit nehmen, Plugins und eigene Erweiterungen zu überprüfen.

(via Clazh)

[Update]
Wenn wir schon gerade bei Schwachstellen von WordPress-Plugins sind: Ein aktueller Fall betrifft das AdSense-Deluxe-Plugin, wo offenbar die Adsense-ID ausgetauscht werden kann. Noch gibt es keinen offiziellen Bugfix, doch David Kierznowski stellt auf seiner Seite einen temporären Fix bereit.

von BloggingTom, abgelegt unter Wordpress



10 Trackbacks / Pings

12 Kommentare zu “WordPress und die Sicherheit”