Seit dem Wochenende mehren sich die Berichte über Einbrüche in WordPress-Installationen. Allerdings mussten die Seitenbesitzer kleinlaut zugeben, noch immer eine ältere Versionen von WordPress benutzt zu haben (weblogtoolscollection.com, smashingmagazin.com). Ob es nun ein Wurm ist oder ob es gezielte Einbrüche sind kann ich nicht beurteilen, wer aber herausfinden will, ob auch sein Blog betroffen ist der findet bei Lorelle weitere Informationen. Auch Matt hat sich dem Thema angenommen und erinnert nochmals dringlich daran, stets auf die aktuellste Version upzudaten (und bei WordPress geht das ja eigentlich recht einfach mit ein paar Mausklicks). [Update] In der Zwischenzeit gibt es auch eine Meldung bei Golem.de dazu, wobei mich ja eigentlich noch immer mehr Informationen zur Art der Verbreitung interessieren würden. [/Update]
Aus diesem Grund und der Tatsache, das ich die Tage einen Angriff auf ein WordPress-Plugin „live“ erleben konnte (nicht erfolgreich, weil bei mir das Plugin nicht im Einsatz ist) hab ich mich entschlossen meinen Plugins (Gallery Widget, Floatbox Plus, TinyCode und hype it!) ein kleines Update zu spendieren. Durch ein paar Zeilen sollte nun der direkte Zugriff auf die PHP-Skripts blockiert werden und somit verhindern, das Fehlermeldungen nach aussen gelangen bzw. mögliche Angriffe über meine Plugins an WordPress vorbei vorgenommen werden könnten.
Es wundert mich, da derartige Mechanismen eigentlich Standard sein sollten (bei Joomla z.B. habe ich derartiges schon häufiger gesehen) aber im Codex wird dazu nichts gesagt. Es ist kein Beispiel/Hinweis vorhanden bzw. Methode die sinnvollerweise genutzt werden sollte/könnte. Die bei mir verwendete Variante ist sicherlich nicht die Beste, aber sollte zumindest erstmal weiterhelfen. Für die Zukunft würde ich mir eine durch WordPress vorgegebene Variante wünschen, die sinnigerweise in jedem Plugin zur Pflicht werden sollte.