Seit dem Wochenende mehren sich die Berichte über Einbrüche in WordPress-Installationen. Allerdings mussten die Seitenbesitzer kleinlaut zugeben, noch immer eine ältere Versionen von WordPress benutzt zu haben (weblogtoolscollection.com, smashingmagazin.com). Ob es nun ein Wurm ist oder ob es gezielte Einbrüche sind kann ich nicht beurteilen, wer aber herausfinden will, ob auch sein Blog betroffen ist der findet bei Lorelle weitere Informationen. Auch Matt hat sich dem Thema angenommen und erinnert nochmals dringlich daran, stets auf die aktuellste Version upzudaten (und bei WordPress geht das ja eigentlich recht einfach mit ein paar Mausklicks). [Update] In der Zwischenzeit gibt es auch eine Meldung bei Golem.de dazu, wobei mich ja eigentlich noch immer mehr Informationen zur Art der Verbreitung interessieren würden. [/Update]

Aus diesem Grund und der Tatsache, das ich die Tage einen Angriff auf ein WordPress-Plugin „live“ erleben konnte (nicht erfolgreich, weil bei mir das Plugin nicht im Einsatz ist) hab ich mich entschlossen meinen Plugins (Gallery Widget, Floatbox Plus, TinyCode und hype it!) ein kleines Update zu spendieren. Durch ein paar Zeilen sollte nun der direkte Zugriff auf die PHP-Skripts blockiert werden und somit verhindern, das Fehlermeldungen nach aussen gelangen bzw. mögliche Angriffe über meine Plugins an WordPress vorbei vorgenommen werden könnten.

Es wundert mich, da derartige Mechanismen eigentlich Standard sein sollten (bei Joomla z.B. habe ich derartiges schon häufiger gesehen) aber im Codex wird dazu nichts gesagt. Es ist kein Beispiel/Hinweis vorhanden bzw. Methode die sinnvollerweise genutzt werden sollte/könnte. Die bei mir verwendete Variante ist sicherlich nicht die Beste, aber sollte zumindest erstmal weiterhelfen. Für die Zukunft würde ich mir eine durch WordPress vorgegebene Variante wünschen, die sinnigerweise in jedem Plugin zur Pflicht werden sollte.

Mein erstes für WordPress veröffentlichtes Plugin GalleryWidget wurde nunmehr 20.000 mal heruntergeladen und ich will dies einmal nehmen ein kleines Fazit zu ziehen.

Angefangen hat es mit einer „einfachen“ Funktion die aktuellsten Bilder aus der Mediathek anzuzeigen. Ein kleines Update brachte dann auch eine zufällige Auswahl.

» weiterlesen…

Neben einem Bugfix mit einer falsch interpretierten Null am Anfang eines Strings (die automatische Typkonvertierung lässt grüßen), gab es bei diesen Updates „nur“ Übersetzungen in andere Sprachen und dafür möchte ich mich gerne bei folgenden Personen bedanken:

• belarusian-belarus by ilyuha
• português-brasil by Vitor Damiani
• italian by Gianni Diurno
• russian by Fat Cow

Vielen Dank für eure Bemühungen. Ingesamt steht damit das „Gallery Widget“ in 6 Sprachen zur Verfügung. Weitere Sprachfiles sind natürlich gerne gesehen ;)

Zur Gestern bekannt gewordenen Sicherheitslücke bzgl. der Möglichkeit des Zurücksetzens des Adminpasswortes gibt es nun ein Sicherheitsupdate (golem.de), das unbedingt eingespielt werden sollte (insbesondere, da die „erste Lösung“ wohl keinen wirklichen Schutz bietet).

Aktuell steht nur die US-Version zur Verfügung, sollte aber kein wirkliches Problem darstellen, da sich am Sprachfile nicht allzuviel geändert haben sollte und die Sicherheit einfach vorgeht. Was mich noch so ein bischen wundert, kein Ticket zum Milestone 2.8.4 ist bisher als erledigt markiert, hoffen wir einfach mal, das es nicht schon wieder ein Schnellschuss war. Zur Beruhigung kann ich allerdings sagen, das wp-login.php einigen Änderungen unterzogen wurde ;)

Gerade musste ich bei heise.de lesen, das in den aktuellen Versionen von WordPress (<= 2.8.3) das Ausperren des Admins durch einen Fehler in der Datei wp-login.php möglich ist. Es ist damit nicht möglich, sich Zugang zum Adminbereich (oder dergleichen) zu verschaffen. Im Entwicklungszweig wurde das Problem behoben und zwar durch einen einfachen „Trick“. In wp-login.php muss nur diese Zeile:
if ( empty( $key ) )

durch diese ersetzt werden:

if ( empty( $key ) || is_array( $key ) )

Wer allerdings schon ausgesperrt ist, dem sollten folgende Links helfen können: Resetting Your Passwort bzw. im speziellen Emergency Passwort Reset Script.

Nachtrag: Wie ich gerade noch bei Caschy gelesen habe, scheint es wohl auszureichen, sich als Admin einfach ein neues Passwort zusenden zu lassen. Weiterhin verweist er noch auf einen älteren Beitrag von sich, zur Absicherung von WordPress (Zugriffbeschränkungen via .htaccess).

Nachtrag 2: Nun hat auch Golem.de eine entsprechende Meldung veröffentlicht und es scheint so, als würde die Lücke schon recht lange bestehen (zumindest die Codezeile hatte ich auch in Versionen vor 2.8.0 entdeckt, mir allerdings den Rest nicht genauer angeschaut).

Nachtrag 3: Im Developerzweig gibt es einen neue Korrektur der Lücke: 11804.

Nachdem die Download-Option für Floatbox zeitweilig deaktiviert war (aufgrund der geänderten Lizenz) ist diese nun wieder integriert und es ist somit nicht mehr notwendig irgendetwas manuell nachzuinstallieren. Auch der Lizenz-Key für Floatbox (ab 3.52) lässt sich nun direkt in den Einstellungen zu Floatbox Plus eingeben.

Aber auch das lange vernachlässigte deutsche Sprachfile ist nun wieder (fast) Up2date. Fast, weil die Texte zum Lizenzkey noch fehlen. Da meine Sprachkenntnisse mit Englisch und Deutsch im Grunde erschöpft sind, würde es mich über „Mitarbeit“ sprich das Übersetzen in andere Sprachen/das zusenden entsprechender Sprachfiles freuen. Auch bei Floatbox Plus habe ich wieder das WordPress Plugin Codestyling Localization für die Übersetzung genutzt (kann ich nur empfehlen).

Auch YouTube HQ-Videos sollten nun wieder korrekt angezeigt werden (danke für den Hinweis).

Frei nach dem Motto „no risk, no fun“ habe ich das Update von WordPress auf 2.8.1 direkt automatisch durchführen lassen, und hatte Glück. Das Update verlief, wie bisher immer, problemlos.

Neben vielen Bugfixes (u.a. die Probleme beim automatischen Update) wurde auch eine Sicherheitslücke (betraf nur angemeldete Benutzer, die aufgrund fehlender Sicherheitsprüfungen die Optionen manchen Plugins etc. verändern konnten) geschlossen. Eine weitere Verbesserung konnte in Sachen Speicherverbauch im Adminbereich erreicht werden, hatte ich beim Dashboard bisher ca 42-44MB, so sind es aktuell nur noch 37,5MB, ein deutlicher Fortschritt. Die komplette Liste aller Änderungen findet sich hier.