7
WordPress: Sicherheit vs. Wurm/Plugin-Update…
Seit dem Wochenende mehren sich die Berichte über Einbrüche in WordPress-Installationen. Allerdings mussten die Seitenbesitzer kleinlaut zugeben, noch immer eine ältere Versionen von WordPress benutzt zu haben (weblogtoolscollection.com, smashingmagazin.com). Ob es nun ein Wurm ist oder ob es gezielte Einbrüche sind kann ich nicht beurteilen, wer aber herausfinden will, ob auch sein Blog betroffen ist der findet bei Lorelle weitere Informationen. Auch Matt hat sich dem Thema angenommen und erinnert nochmals dringlich daran, stets auf die aktuellste Version upzudaten (und bei WordPress geht das ja eigentlich recht einfach mit ein paar Mausklicks). [Update] In der Zwischenzeit gibt es auch eine Meldung bei Golem.de dazu, wobei mich ja eigentlich noch immer mehr Informationen zur Art der Verbreitung interessieren würden. [/Update]
Aus diesem Grund und der Tatsache, das ich die Tage einen Angriff auf ein WordPress-Plugin „live“ erleben konnte (nicht erfolgreich, weil bei mir das Plugin nicht im Einsatz ist) hab ich mich entschlossen meinen Plugins (Gallery Widget, Floatbox Plus, TinyCode und hype it!) ein kleines Update zu spendieren. Durch ein paar Zeilen sollte nun der direkte Zugriff auf die PHP-Skripts blockiert werden und somit verhindern, das Fehlermeldungen nach aussen gelangen bzw. mögliche Angriffe über meine Plugins an WordPress vorbei vorgenommen werden könnten.
Es wundert mich, da derartige Mechanismen eigentlich Standard sein sollten (bei Joomla z.B. habe ich derartiges schon häufiger gesehen) aber im Codex wird dazu nichts gesagt. Es ist kein Beispiel/Hinweis vorhanden bzw. Methode die sinnvollerweise genutzt werden sollte/könnte. Die bei mir verwendete Variante ist sicherlich nicht die Beste, aber sollte zumindest erstmal weiterhelfen. Für die Zukunft würde ich mir eine durch WordPress vorgegebene Variante wünschen, die sinnigerweise in jedem Plugin zur Pflicht werden sollte.
7. September 2009 um 16:49:48
Danke für die Info – wäre nett, wenn Du Deine „paar Zeilen“, die das Problem beheben, mit uns teilen könntest – nicht jeder kann ein Update auf die neuste WP-Version fahren, wenn die Plugins dafür nicht geeignet sind (einer der großen Nachteile von WP).
7. September 2009 um 16:56:14
Oh Sorry, wenn das falsch rüberkam. Die paar Zeilen haben nichts mit der Sicherheitslücke die der Wurm nutzt zu tun, sondern sollen lediglich die Sicherheit meiner Plugins erhöhen (es soll ja nicht irgendwann mal ne Schlagzeile geben, das meine Plugins für einen Hackversuch zu missbrauchen waren).
Bei den betroffenen Sicherheitslücke gibt es derzeit meines Wissens keinen Patch (wäre zwar wünschenswert). Aber selbst wenn, so ist es eigentlich grundsätzlich sinnvoll immer die aktuellste Version zu nutzen (gilt nicht nur für WordPress).
Nur aus Neugier, welche Plugins halten dich denn von einem Update ab? (werden sie nicht mehr gepflegt?)