Gerade musste ich bei heise.de lesen, das in den aktuellen Versionen von WordPress (<= 2.8.3) das Ausperren des Admins durch einen Fehler in der Datei wp-login.php möglich ist. Es ist damit nicht möglich, sich Zugang zum Adminbereich (oder dergleichen) zu verschaffen. Im Entwicklungszweig wurde das Problem behoben und zwar durch einen einfachen „Trick“. In wp-login.php muss nur diese Zeile:
if ( empty( $key ) )

durch diese ersetzt werden:

if ( empty( $key ) || is_array( $key ) )

Wer allerdings schon ausgesperrt ist, dem sollten folgende Links helfen können: Resetting Your Passwort bzw. im speziellen Emergency Passwort Reset Script.

Nachtrag: Wie ich gerade noch bei Caschy gelesen habe, scheint es wohl auszureichen, sich als Admin einfach ein neues Passwort zusenden zu lassen. Weiterhin verweist er noch auf einen älteren Beitrag von sich, zur Absicherung von WordPress (Zugriffbeschränkungen via .htaccess).

Nachtrag 2: Nun hat auch Golem.de eine entsprechende Meldung veröffentlicht und es scheint so, als würde die Lücke schon recht lange bestehen (zumindest die Codezeile hatte ich auch in Versionen vor 2.8.0 entdeckt, mir allerdings den Rest nicht genauer angeschaut).

Nachtrag 3: Im Developerzweig gibt es einen neue Korrektur der Lücke: 11804.

… oder anders ausgedrückt: JQuery vs. Protoculous (Prototype + Scriptaculous)… was als Ergebnis zur Folge hat, das sich die zwei Plugins Lightview Plus und Referrer Detector für WordPress nicht vertragen. Der Fehler ist mir erst ein paar Tage nach der Aktivierung des Referrer Detectors aufgefallen, als ich zufällig auf ein Bild in meinem Blog geklickt hatte und mich wunderte, weshalb dieses direkt angezeigt wurde.

Das Problem liegt in der Verwendung des $-Objekts von beiden Bibliotheken bzw. der Skripts. Vorläufig habe ich nun das Plugin: Referrer Detector deaktiviert, da es mir auf die schnelle nicht gelang, das Skript zu patchen. Allerdings ist es keine Dauerlösung, und so gibt es eigentlich nur 3 Möglichkeiten:

– Es findet sich noch eine Lösung zum Patchen

– Lightview Plus wird durch ein anderes Plugin ersetzt

– Referrer Detector wird durch ein anderes Plugin ersetzt

Die erste Möglichkeit wäre sicherlich die schönste (und vll. auch einfachste, zumindest wenn eine Lösung durch die Plugin-Autoren geliefert würde). Den Referrer Detector zu ersetzen scheint nicht ganz trivial, da es kaum/keine wirkliche Alternativen gibt. Bei den Alternativen zu Lightview gefällt mir allerdings meist auch immer eine Kleinigkeit nicht, so dass ich auch hier ungern wechseln wollte :(

Jemand ne Idee (z.B. n Pluginvorschlag oder n passenden Patch)?

P.S.: Ich entschuldige mich für das Vollspammen eures Feedreaders, ein anderes Plugin hat leider den Atom-Feed unbrauchbar gemacht und alle Links verändert :(

Im Grunde ja, zumindest wenn man diesem Beitrag im Wiki glauben schenken mag… Mein erster Versuch mit der 1.8.2x ging natürlich schief, im Artikel stand ja schon, erst ab 1.8.3x… Aber auch nach einem Update gabs noch immer das gleiche Problem, die Links in der Navigation (bzw. z.B. auch im „Tree“) waren noch immer ohne s (http(s))… Aber man weiss sich ja zu helfen, „quick and dirty“ lässt sich dieses Problemchen beheben, indem man einfach die http durch https ersetzt ;)

(Kurzfassung: In includes/OutputPage.php das Zippen ausserkraft setzen, Ausgabe abfangen und abbrechen und mit „Suchen und Ersetzen“ das gewünschte Resultat basteln und ausgeben… Falls Interesse besteht, bastel ich gerne noch einen Patch, aber wie gesagt, ist wirklich nur die Quick and Dirty-Methode).