Lücke in WordPress 2.8.2 erklärt

WordPress scheint sich sicherheitstechnisch immer mehr in Richtung Joomla zu bewegen. Aktuell gibt es eine Lücke, die Nutzern mit dem Status eines Abonnenten volle Admin-Rechte einräumt.

Bei WordPress scheint man ja “Security by Obscurity” zum Motto gemacht zu haben. Spätestens seit folgender Code zur vermeintlichen Fehlerbehebung im Forum aufgetaucht ist, hätte ich aber eine Reaktion seitens WordPress Deutschland erwartet:

if ( strstr($_SERVER['REQUEST_URI'], '//') ) { wp_redirect(( empty ( $_SERVER['HTTPS'] ) ? 'http' : 'https' ) . '://'. $_SERVER['HTTP_HOST'] . str_replace('//', '/', $_SERVER['REQUEST_URI']), 301 ); die(); }

Link zum Google-Cache

WordPress, ich könnte kotzen… ^^

Security, Wordpress

Sven Hennig - Beratung zu Privater Krankenversicherung und Berufsunfähigkeitsversicherung

Verwandte Beiträge
Kommentare (1)

#1 geschrieben von pixel-monster
vor 11 Monaten

Zitieren

Tja irgendwie eigenartig. Seitdem es den Sprung der WP 2.5 gibt, kommen vermehrt Fehler auf. Vorallem wenn man dran denkt das WP ständig und immer Tests fährt und da doch einige fähige Leute nach Sicherheitslücken schauen. Liegt es vielleicht daran das man versucht guten Code noch besser zu machen? Allein das Problem mit dem PHP Memory Limit…Dann jetzt das mit dem Sicherheitsleck. Irgendwann ist doch mal gut, das passiert aber eben wenn man vorhandenen Code immer wieder versucht komplett Neu aufzustellen.

Als Dienstleister würde man denjenigen der sowas verbockt n Kopf kürzer machen und du hättest die längste Zeit für den Kunden programmiert…

macht einem schon etwas angst wenn man so auf WP schaut…und der updatewahn nervt…

Bisher keine Trackbacks.

Neues Theme? Ja oder Nein…

vor 3 Monaten - 8 Kommentare

Ich spiele aktuell mit dem Gedanken, auf Parkrocker.com ein neues Theme zu nutzen. In die engere Wahl ist folgendes gekommen (müsste natürlich noch individuell angepasst werden): Im direkten Vergleich dazu nochmal das aktuelle Theme: Was sagt Ihr dazu?

Cute Profiles mit WPtouch verwenden

vor 7 Monaten - Keine Kommentare

Der chr1spy hat mich gerade darauf hingewiesen, dass durch das Plugin “Cute Profiles” das WPtouch-Theme verunstaltet wird. Die Lösung des Problems ist wirklich mehr als simpel. Einfach in den Einstellungen von “Cute Profiles” auf “Manual Insertion” umstellen und in das Web-Theme seiner WordPress-Installation den Aufruf <?php put_cute_profiles(); ?> einfügen. Dann passt es auch mit WPtouch.

WordPress 2.8 – Test einer modifizierten mo.php

vor 10 Monaten - 1 Kommentar

Auf code-styling.de habe ich gerade einen Artikel zur Reduzierung des Speicherverbrauchs von WordPress 2.8 entdeckt. Dort wird eine modifizierte mo.php für die deutsche Sprachdatei angeboten. Original mo.php Modifizierte mo.php Um Gehör im WordPress Trac zu finden, wären möglichst viele Rückmeldungen dazu nicht schlecht. Also frisch auf zum Testen und dann Rückmeldung in den Kommentaren bei

Nächtlicher WordPress-Terror

vor 1 Jahr - 2 Kommentare

Gestern Abend ging mit dem WordPress-System vom Blog hier die Post ab. Nach dem Publizieren eines neuen Beitrags enstand bei manchen Besuchern ein noch nicht vollständig abgeklärter Fehler. Der Beitrag ließ sich regulär aufrufen, bei einem Reload der Seite verabschiedete sich dann erst die CSS, die Startseite quittierte mit einem 403. Ganz toll… Den Fehler

TOR Exit-Nodes blocken

vor 1 Jahr - Keine Kommentare

Wer Besucher aus dem TOR-Netzwerk aussperren möchte, ergänzt einfach seine htaccess mit den Zeilen aus folgender Datei. Die Liste müsste ziemlich aktuell sein: TOR Exit-Nodes blocken

Tweet This mit WordPress

vor 1 Jahr - 1 Kommentar

Frank Bueltge hatte kürzlich eine Codeschnipsel präsent, mit dem man seinem Blog eine nette, kleine Tweet This-Funktion hinzufügen konnte. Ich habe den Code entsprechend für meine Zwecke geändert und ihn auf die API von Cli.gs umgeschrieben. Für die functions.php des Templates: <?php if ( !function_exists(‘fb_getcligsurl’) ) { function fb_getcligsurl( $url ) { $fp = fopen(

Festplatten dauerhaft löschen

vor 1 Jahr - Keine Kommentare

Wer seine Daten nicht auf ebay mitveräußern möchte oder gerade keine Bohrmaschine zur Hand hat, freut sich bestimmt über das Linux-Tool shred. shred überschreibt vorgegebene Dateien mit zufälligem Inhalt. Da unter Linux alles eine Datei ist, kann man damit auch Festplatten mehrfach überschreiben. Die Anweisung dazu wird nach folgendem Muster formuliert: shred -n 5 -vz

Micro-Blog Twitter gehackt

vor 1 Jahr - Keine Kommentare

Wie auf Heise zu lesen war, wurden einige Twitter-Accounts prominenter Persönlichkeiten “gehackt”. Insgesamt handelt es sich um 33 Accounts, unter anderem von Barack Obama, Britney Spears oder CNN-Sprecher Rick Sanchez. Zugang verschafften sich die Unbekannten offenbar mit Hilfe der Tools des Twitter-Teams, die sonst zum zurücksetzen von Konten genutzt werden. Diese Tools sind nun erstmal

RSS Stream-Plugin

vor 1 Jahr - Keine Kommentare

Ein interessantes Lifestream-Plugin für WordPress gibt es bei rick.jinlabs.com. Mit RSS Stream kann man diverse Social Feeds (z.B. Twitter, Jaiku, Delicious, Flickr, Facebook, Last.fm, Photobucket) sowie jeden beliebigen RSS-Feed in einen eigenen Lifestream einbinden. Bei mir sieht das so aus: Parkrocker’s Lifestream.

Tango/GNOME Smilies für WordPress

vor 1 Jahr - 1 Kommentar

Wer auch genervt ist von den unschönen WordPress-Smilies, sollte vielleicht mal dieses Plugin hier testen: Tango/GNOME Smilies für WordPress Alt: Neu:

Lücke in WordPress 2.8.2 erklärt

Bisher keine Trackbacks.

Neues Theme? Ja oder Nein…

Cute Profiles mit WPtouch verwenden

WordPress 2.8 – Test einer modifizierten mo.php

Nächtlicher WordPress-Terror

TOR Exit-Nodes blocken

Tweet This mit WordPress

Festplatten dauerhaft löschen

Micro-Blog Twitter gehackt

RSS Stream-Plugin

Tango/GNOME Smilies für WordPress

Meine neuesten Tweets

Letzte Artikel

Letzte Kommentare

Archiv

Google Reader-Empfehlungen

Blogroll

Lücke in WordPress 2.8.2 erklärt

Bisher keine Trackbacks.

Meine neuesten Tweets

Letzte Artikel

Letzte Kommentare

Tags

Archiv

Google Reader-Empfehlungen

Blogroll