{"id":1483,"date":"2007-05-29T12:54:16","date_gmt":"2007-05-29T10:54:16","guid":{"rendered":"http:\/\/bloggingtom.ch\/?p=1483"},"modified":"2007-05-29T13:19:22","modified_gmt":"2007-05-29T11:19:22","slug":"wordpress-und-die-sicherheit","status":"publish","type":"post","link":"https:\/\/bloggingtom.ch\/blog\/archives\/2007\/05\/29\/wordpress-und-die-sicherheit\/","title":{"rendered":"WordPress und die Sicherheit"},"content":{"rendered":"<p>Rein gef\u00fchlsm\u00e4ssig hat die Anzahl der Updates und Upgrades von WordPress in den letzten Monaten, nicht zuletzt durch diverse Sicherheitsl\u00fccken, ziemlich zugenommen. Dass auf Sicherheitsl\u00fccken rasch reagiert wird, ist nicht nur l\u00f6blich sondern auch notwendig. Allerdings scheint im Kampf mit der Zeit auch die saubere Programmierung zu leiden, denn die Sicherheitsprobleme h\u00e4ufen sich. Kaum ist eine neue Version verf\u00fcgbar, werden auch schon die ersten Exploits herumgereicht. <\/p>\n<p>Neuestes Beispiel ist die knapp 13 Tage alte WordPress Version 2.2 &#8222;Getz&#8220;, wo aufgrund eines Fehlers <a href=\"http:\/\/www.buayacorp.com\/archivos\/sql-injection-en-wordpress-22-exploit-incluido\/\" target=\"_blank\" >die Tabelle <em>wp_users<\/em> ausgelesen<\/a> werden kann. Voraussetzung daf\u00fcr ist allerdings ein g\u00fcltiges Login auf dem Blog des Opfers (ein einfaches &#8222;Registrierter Leser&#8220;-Konto gen\u00fcgt jedoch bereits). Einen Workaround <a href=\"http:\/\/www.buayacorp.com\/archivos\/sql-injection-en-wordpress-22-exploit-incluido\/\" target=\"_blank\" >beschreibt Alex auf seiner Seite<\/a>:<\/p>\n<p>Dazu muss in der Datei xmlrpc.php die Zeile 541 wie folgt ge\u00e4ndert werden:<\/p>\n<p><code>$max_results = (int) $args[4];<\/code><\/p>\n<p>WordPress hat diesen Workaround gestern auch in die Entwicklerversion <a href=\"http:\/\/trac.wordpress.org\/changeset\/5570\" target=\"_blank\" >\u00fcbernommen<\/a>, im derzeit angebotenen Download-Paket ist die \u00c4nderung allerdings nicht enthalten.<\/p>\n<p>Von den Usern selbst wird in vielen F\u00e4llen aber auch die Pflege der eingesetzten Plugins vernachl\u00e4ssigt, was nicht minder gef\u00e4hrlich ist. So zum Beispiel beim Plugin wp-db-backup, welches standardm\u00e4ssig bei den Installationspaketen von WordPress 2.0.x enthalten war. Bis zur wp-db-backup-Version 2.0 war es einem Angreifer n\u00e4mlich m\u00f6glich, sich die <a href=\"http:\/\/www.buayacorp.com\/archivos\/wp-db-backup-tus-datos-son-mios\/\" target=\"_blank\" >Datenbanktabellen bequem per eMail<\/a> zusenden zu lassen. Abhilfe schafft das <a href=\"http:\/\/www.ilfilosofo.com\/blog\/wp-db-backup\/\" target=\"_blank\" >Update auf die Version 2.1.2 des Plugins<\/a>. Aufgrund der Tatsache, dass das Plugin zusammen mit den WordPress-Installationspaketen ausgeliefert wurde, ist die &#8222;Chance&#8220; gross, dass wp-db-backup nach wie vor in grosser Zahl in der fehlerhaften Version genutzt wird.<\/p>\n<p>Es liegt also nicht nur an den WordPress-Entwicklern, f\u00fcr die entsprechende Sicherheit zu sorgen. Auch die Anwender sollten sich regelm\u00e4ssig Zeit nehmen, Plugins und eigene Erweiterungen zu \u00fcberpr\u00fcfen.<\/p>\n<p>(via <a href=\"http:\/\/www.clazh.com\/wordpress-22-security-alert-sql-injection-exploit\/\" target=\"_blank\" >Clazh<\/a>)<\/p>\n<p><strong>[Update]<\/strong><br \/>\nWenn wir schon gerade bei Schwachstellen von WordPress-Plugins sind: Ein aktueller Fall betrifft das <a href=\"http:\/\/www.acmetech.com\/blog\/2005\/07\/26\/adsense-deluxe-wordpress-plugin\/\" target=\"_blank\" >AdSense-Deluxe-Plugin<\/a>, wo offenbar <a href=\"http:\/\/www.clazh.com\/wordpress-security-alert-adsense-deluxe-vulnerable\/\" target=\"_blank\" >die Adsense-ID ausgetauscht<\/a> werden kann. Noch gibt es keinen offiziellen Bugfix, doch David Kierznowski stellt auf seiner Seite <a href=\"http:\/\/michaeldaw.org\/alerts\/alerts-200507\/\" target=\"_blank\" >einen tempor\u00e4ren Fix<\/a> bereit.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Rein gef\u00fchlsm\u00e4ssig hat die Anzahl der Updates und Upgrades von WordPress in den letzten Monaten, nicht zuletzt durch diverse Sicherheitsl\u00fccken, ziemlich zugenommen. Dass auf Sicherheitsl\u00fccken rasch reagiert wird, ist nicht nur l\u00f6blich sondern auch notwendig. Allerdings scheint im Kampf mit der Zeit auch die saubere Programmierung zu leiden, denn die Sicherheitsprobleme h\u00e4ufen sich. Kaum ist [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"twitterCardType":"","cardImageID":0,"cardImage":"","cardTitle":"","cardDesc":"","cardImageAlt":"","cardPlayer":"","cardPlayerWidth":0,"cardPlayerHeight":0,"cardPlayerStream":"","cardPlayerCodec":"","_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[7],"tags":[],"class_list":["post-1483","post","type-post","status-publish","format-standard","hentry","category-wordpress"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.1.1 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>Wordpress und die Sicherheit - BloggingTom<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/bloggingtom.ch\/blog\/archives\/2007\/05\/29\/wordpress-und-die-sicherheit\/\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"BloggingTom\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"2\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/bloggingtom.ch\/blog\/archives\/2007\/05\/29\/wordpress-und-die-sicherheit\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/bloggingtom.ch\/blog\/archives\/2007\/05\/29\/wordpress-und-die-sicherheit\/\"},\"author\":{\"name\":\"BloggingTom\",\"@id\":\"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/f6c8d3d5f30c10217b69ac72723e9d1c\"},\"headline\":\"WordPress und die Sicherheit\",\"datePublished\":\"2007-05-29T10:54:16+00:00\",\"dateModified\":\"2007-05-29T11:19:22+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/bloggingtom.ch\/blog\/archives\/2007\/05\/29\/wordpress-und-die-sicherheit\/\"},\"wordCount\":336,\"commentCount\":22,\"publisher\":{\"@id\":\"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/f6c8d3d5f30c10217b69ac72723e9d1c\"},\"articleSection\":[\"Wordpress\"],\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/bloggingtom.ch\/blog\/archives\/2007\/05\/29\/wordpress-und-die-sicherheit\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/bloggingtom.ch\/blog\/archives\/2007\/05\/29\/wordpress-und-die-sicherheit\/\",\"url\":\"https:\/\/bloggingtom.ch\/blog\/archives\/2007\/05\/29\/wordpress-und-die-sicherheit\/\",\"name\":\"Wordpress und die Sicherheit - BloggingTom\",\"isPartOf\":{\"@id\":\"https:\/\/bloggingtom.ch\/blog\/#website\"},\"datePublished\":\"2007-05-29T10:54:16+00:00\",\"dateModified\":\"2007-05-29T11:19:22+00:00\",\"breadcrumb\":{\"@id\":\"https:\/\/bloggingtom.ch\/blog\/archives\/2007\/05\/29\/wordpress-und-die-sicherheit\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/bloggingtom.ch\/blog\/archives\/2007\/05\/29\/wordpress-und-die-sicherheit\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/bloggingtom.ch\/blog\/archives\/2007\/05\/29\/wordpress-und-die-sicherheit\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/bloggingtom.ch\/blog\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"WordPress und die Sicherheit\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/bloggingtom.ch\/blog\/#website\",\"url\":\"https:\/\/bloggingtom.ch\/blog\/\",\"name\":\"BloggingTom\",\"description\":\"Die t\u00e4glichen Abenteuer im Cyberspace...\",\"publisher\":{\"@id\":\"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/f6c8d3d5f30c10217b69ac72723e9d1c\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/bloggingtom.ch\/blog\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":[\"Person\",\"Organization\"],\"@id\":\"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/f6c8d3d5f30c10217b69ac72723e9d1c\",\"name\":\"BloggingTom\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/17c2b6a2966fc102465cf177587d359e4dac41adfaab355352baee5d5d46f277?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/17c2b6a2966fc102465cf177587d359e4dac41adfaab355352baee5d5d46f277?s=96&d=mm&r=g\",\"caption\":\"BloggingTom\"},\"logo\":{\"@id\":\"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/image\/\"},\"sameAs\":[\"http:\/\/bloggingtom.ch\"],\"url\":\"https:\/\/bloggingtom.ch\/blog\/archives\/author\/bloggingtom\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Wordpress und die Sicherheit - BloggingTom","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/bloggingtom.ch\/blog\/archives\/2007\/05\/29\/wordpress-und-die-sicherheit\/","twitter_misc":{"Verfasst von":"BloggingTom","Gesch\u00e4tzte Lesezeit":"2\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/bloggingtom.ch\/blog\/archives\/2007\/05\/29\/wordpress-und-die-sicherheit\/#article","isPartOf":{"@id":"https:\/\/bloggingtom.ch\/blog\/archives\/2007\/05\/29\/wordpress-und-die-sicherheit\/"},"author":{"name":"BloggingTom","@id":"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/f6c8d3d5f30c10217b69ac72723e9d1c"},"headline":"WordPress und die Sicherheit","datePublished":"2007-05-29T10:54:16+00:00","dateModified":"2007-05-29T11:19:22+00:00","mainEntityOfPage":{"@id":"https:\/\/bloggingtom.ch\/blog\/archives\/2007\/05\/29\/wordpress-und-die-sicherheit\/"},"wordCount":336,"commentCount":22,"publisher":{"@id":"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/f6c8d3d5f30c10217b69ac72723e9d1c"},"articleSection":["Wordpress"],"inLanguage":"de","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/bloggingtom.ch\/blog\/archives\/2007\/05\/29\/wordpress-und-die-sicherheit\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/bloggingtom.ch\/blog\/archives\/2007\/05\/29\/wordpress-und-die-sicherheit\/","url":"https:\/\/bloggingtom.ch\/blog\/archives\/2007\/05\/29\/wordpress-und-die-sicherheit\/","name":"Wordpress und die Sicherheit - BloggingTom","isPartOf":{"@id":"https:\/\/bloggingtom.ch\/blog\/#website"},"datePublished":"2007-05-29T10:54:16+00:00","dateModified":"2007-05-29T11:19:22+00:00","breadcrumb":{"@id":"https:\/\/bloggingtom.ch\/blog\/archives\/2007\/05\/29\/wordpress-und-die-sicherheit\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/bloggingtom.ch\/blog\/archives\/2007\/05\/29\/wordpress-und-die-sicherheit\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/bloggingtom.ch\/blog\/archives\/2007\/05\/29\/wordpress-und-die-sicherheit\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/bloggingtom.ch\/blog\/"},{"@type":"ListItem","position":2,"name":"WordPress und die Sicherheit"}]},{"@type":"WebSite","@id":"https:\/\/bloggingtom.ch\/blog\/#website","url":"https:\/\/bloggingtom.ch\/blog\/","name":"BloggingTom","description":"Die t\u00e4glichen Abenteuer im Cyberspace...","publisher":{"@id":"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/f6c8d3d5f30c10217b69ac72723e9d1c"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/bloggingtom.ch\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":["Person","Organization"],"@id":"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/f6c8d3d5f30c10217b69ac72723e9d1c","name":"BloggingTom","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/17c2b6a2966fc102465cf177587d359e4dac41adfaab355352baee5d5d46f277?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/17c2b6a2966fc102465cf177587d359e4dac41adfaab355352baee5d5d46f277?s=96&d=mm&r=g","caption":"BloggingTom"},"logo":{"@id":"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/image\/"},"sameAs":["http:\/\/bloggingtom.ch"],"url":"https:\/\/bloggingtom.ch\/blog\/archives\/author\/bloggingtom\/"}]}},"jetpack_featured_media_url":"","jetpack_shortlink":"https:\/\/wp.me\/pa6Ev-nV","jetpack_likes_enabled":true,"jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/bloggingtom.ch\/blog\/wp-json\/wp\/v2\/posts\/1483","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bloggingtom.ch\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/bloggingtom.ch\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/bloggingtom.ch\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/bloggingtom.ch\/blog\/wp-json\/wp\/v2\/comments?post=1483"}],"version-history":[{"count":0,"href":"https:\/\/bloggingtom.ch\/blog\/wp-json\/wp\/v2\/posts\/1483\/revisions"}],"wp:attachment":[{"href":"https:\/\/bloggingtom.ch\/blog\/wp-json\/wp\/v2\/media?parent=1483"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/bloggingtom.ch\/blog\/wp-json\/wp\/v2\/categories?post=1483"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/bloggingtom.ch\/blog\/wp-json\/wp\/v2\/tags?post=1483"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}