WordPress: Neuer Exploit kann auch Version 2.0.6. betreffen
Nach den kürzlich bekannt gewordenen Sicherheitslücken in WordPress 2.0.5. und der sehr zügigen Veröffentlichung des Updates 2.0.6. wurde nun eine weitere Schwachstelle entdeckt, die unter bestimmten Voraussetzungen auch der neuesten WP-Version gefährlich werden kann.
Das Problem liegt in diesem Fall allerdings nicht originär bei WordPress sondern beruht auf einem Fehler in den (ungefixten) PHP Versionen < 4.4.3. bzw. < 5.1.4. Panik machen gilt also nicht, sondern am besten sollte man erst mal die PHP–Version auf dem Webhost überprüfen. Am besten mit der guten alten phpinfo.php, einfach eine Textdatei mit folgendem Inhalt anlegen:
< ?php
phpinfo();
?>
als phpinfo.php sichern und auf dem Webspace laden. Dann per domain.de/phpinfo.php (oder ähnlich) aufrufen und die Version überprüfen.
Sollte es sich um eine der fehlerhaften Versionen handeln (siehe oben), sollte man seinen Hoster kontaktieren und ihn bitten, die Variable register_globals
auf off
zu setzen. Der Exploit funktioniert nämlich nur, wenn diese auf on
steht. Bei der Gelegenheit sollte der Hoster mal gleich eine neuere PHP–Version einspielen, denn der Fehler wirkt sich sicher auch auf andere Webanwendungen aus. Wahrscheinlich sind diese PHP–Versionen (ungefixt) aber ohnehin selten anzutreffen.
—-
Unabhängig davon steht nun doch das Mini-Update auf Version 2.0.7. in der Pipeline, mit dem u.a. die Probleme mit Feedburner behoben werden. Ob in irgendeiner Form auf diesen neuen Exploit reagiert wird ist unklar.