11
WordPress: Aussperren des Admins möglich…
Gerade musste ich bei heise.de lesen, das in den aktuellen Versionen von WordPress (<= 2.8.3) das Ausperren des Admins durch einen Fehler in der Datei wp-login.php möglich ist. Es ist damit nicht möglich, sich Zugang zum Adminbereich (oder dergleichen) zu verschaffen. Im Entwicklungszweig wurde das Problem behoben und zwar durch einen einfachen „Trick“. In wp-login.php muss nur diese Zeile:
if ( empty( $key ) )
durch diese ersetzt werden:
if ( empty( $key ) || is_array( $key ) )
Wer allerdings schon ausgesperrt ist, dem sollten folgende Links helfen können: Resetting Your Passwort bzw. im speziellen Emergency Passwort Reset Script.
Nachtrag: Wie ich gerade noch bei Caschy gelesen habe, scheint es wohl auszureichen, sich als Admin einfach ein neues Passwort zusenden zu lassen. Weiterhin verweist er noch auf einen älteren Beitrag von sich, zur Absicherung von WordPress (Zugriffbeschränkungen via .htaccess).
Nachtrag 2: Nun hat auch Golem.de eine entsprechende Meldung veröffentlicht und es scheint so, als würde die Lücke schon recht lange bestehen (zumindest die Codezeile hatte ich auch in Versionen vor 2.8.0 entdeckt, mir allerdings den Rest nicht genauer angeschaut).
Nachtrag 3: Im Developerzweig gibt es einen neue Korrektur der Lücke: 11804.
11. August 2009 um 10:57:31
Die Version 2.8 steht unter keinem guten Stern. Von Beginn an problematisch und die Fehlerbehebungsversionen bringen neue Fehler. Die sollten mal etwas Tempo rausnehmen und konsolidieren.
11. August 2009 um 11:03:41
Joar leider… und die ganzen Lücken liefern wieder viel Material für die WordPress und PHP-Kritiker…