Laut einem Posting im WordPress Support Forum besteht bei scheinbar allen WordPress-Versionen ein Sicherheitsproblem, wenn auf dem jeweiligen Web-Server PHP mit der Option register_globals=on
konfiguriert ist.
An gleicher Stelle ist gibt es
- ein PHP-Script, mit dem festellen kann, ob die entsprechende PHP-Konfiguration beim eigenen Web-Space besteht,
- eine gefixte Version der
wp-settings.php
sowie - Hinweise auf andere Workarounds.
Das Test-Script brachte leider das Ergebnis, dass bei meinem Hoster das PHP mit register_globals=on
läuft. 🙁 Also bestand Handlungsbedarf…
Die neue wp-settings.php
lies sich problemlos ins System integrieren. Ob das Problem gelöst ist, kann ich mangels Zugriff auf den Exploit nicht feststellen. Daher habe ich sicherheitshalber zusätzlich einen Workaround eingesetzt, der über die .htaccess
im PHP register_globals=off
setzt und damit den Exploit PHP-seitig wirkungslos macht.
Aber Vorsicht: Wenn WordPress statische Seiten erstellt (oder aus anderen Gründen bereits eine .htaccess
vorhanden ist), dann darf keine neue .htaccess
erstellt werden, sondern die bestehende Datei muss um die Zeile register_globals=off
ergänzt werden. Details siehe hier.
Im Hinblick darauf, dass bei fh bereits am 9. August über den Exploit zu lesen war, finde ich, dass die Reaktion seitens WordPress recht spät kommt. Auch wenn die gepatchtet Version vielleicht noch nicht fertig war, hätte angesichts der Berichte auf diversen Webseiten und den entsprechenden Postings im Support Forum der Workaround über die .htaccess
etwas früher veröffentlicht werden könnensollen. Es wäre auch schön, wenn die Kunde vom Sicherheitsloch und dem Fix über das WordPress-Entwickler-Blog gekommen wäre und damit über den Tellerrand bzw. das Dashboard dargestellt worden wäre…
Weiterhin ist mir aufgefallen, dass bei dass bei fh als Hotfix eine Ergänzung der index.php
empfohlen wurde, während der Fix von WordPress eine Änderung der wp-settings.php
ist. Ich kann jedoch nicht einschätzen, was die besser Lösung ist.
Während ich an diesem Posting schreibe (unterbrochen vom Abendessen), ist die neue Version 1.5.2 von WordPress herausgekommen. Diesmal kommt die Info auch über den Tellerrand bzw. das Dashboard.
[Posting bei fh über Basic Thinking wiedergefunden]
Pingback: Basic Thinking Blog » Wordpress 1.5.2 draussen