Webseiten-Infos.de

Kritische Sicherheitslücke in WordPress

WordPress-Deutschland.org informierte gestern in seinem Blog über eine kritische Sicherheitslücke in WordPress.

Die schlechte Nachricht:

Sie betrifft anscheinend alle Versionen von WordPress einschließlich der aktuellen Version 2.8.2.

Die guten Nachrichten:

• Sie ist nur für Betreiber von WordPress-Installationen relevant, bei denen Dritte als registrierte Benutzer (die Rolle “Abonnent” mit den wenigsten Rechten reicht schon) existieren und/oder angelegt werden können. Das ist beispielsweise der Fall, wenn sich Dritte zum Kommentieren registrieren müssen.
• Thomas Scholz aka toscho hat bereits einen Fix zum Schließen dieser Sicherheitslücke entwickelt. Ob WordPress-Deutschland.org will die sichere Variante dieses Fixes erst öffentlich zugänglich machen, wenn es eine entsprechende Reaktion der Entwickler gibt (siehe hierzu den Kommentar von toscho und von den Kommentar von Olaf). Wie toscho plädiere ich für die transparente Methode. Schließlich ist der Code von WordPress auch frei zugänglich und ist gerade dies einer der Stärken von Open-Source-Software. Aber auch die Argumentation von Olaf mit der Veröffentlichung zu warten ist nachvollziehbar.

Meine Empfehlung:

Wer also bei seiner WordPress-Installation Dritten wie etwa Besuchern die Registrierung erlaubt, sollte

• diese Abschalten und unbekannte, bereits registrierte Benutzer vorsorglich löschen und/oder
• das Verzeichnis wp-admin seiner WordPress-Installation temporär mit einem vollständigen .htaccess Schutz versehen und/oder
• den Fix von toscho einsetzen,

um diese Sicherheitslücke zu schließen.

Danke an

• das Forenmitglied illifly für das Berichten über die Sicherheitslücke,
• Olaf Baumann aka jottlieb für den Blogbeitrag bei WordPress-Deutschland.org dazu und
• toscho für das Entwickeln eines Fix um die kritische Sicherheitslücke zu schließen.

Mein Fazit:

• Ich habe Glück gehabt, denn meine Blogs kennen nur mich als registrierten Benutzer. Kommentatoren müssen sich bei mir nicht registrieren. Damit darf ich trotz dieser kritischen Sicherheitslücke gelassen bleiben.
• Bleibt zu hoffen, dass mit der nächsten WordPress-Version (2.8.3?) diese kritische Sicherheitslücke auch offiziell geschlossen wird.
• Die häufig auftretenden und festgestellten Sicherheitslücken sprechen nicht für WordPress. Andererseits werden diese aufgrund seiner starken Verbreitung oft sehr schnell gefunden und geschlossen. Dies spricht wiederum für WordPress.

Nachtrag vom 4. August 2009:

Die Entwickler haben schnell reagiert und die Version 2.8.3 veröffentlicht (siehe hierzu auch meinen Blogbeitrag “Webseiten-Infos.de auf WordPress 2.8.3 aktualisiert“). Das Update hierauf ist aus Sicherheitsgründen zu empfehlen.

Wer aufgrund des höheren PHP-Speicherbedarfs nicht auf WordPress 2.8.x aktualisieren kann (siehe hierzu meinen Blogbeitrag “Ursache des enormen Speicherbedarfs gefunden!“), behält die kritische Sicherheitslücke. Für diese Fälle gelten meine oben gemachten Empfehlungen weiterhin.

Nachtrag vom 8. August 2009:

Toscho hat in seinem Blogbeitrag “WordPress 2.8.3: Das Doppelslash-Problem” eine PHP-Lösung veröffentlicht, die auch mit älteren WordPress-Versionen funktioniert und zudem weitere Probleme löst. Einfach den im seinen Blogbeitrag veröffentlichten PHP-Code in die functions.php des aktiven Themes kopieren.

Darüber hinaus macht er darauf aufmerksam, dass mehrfache Slashes // in der URL nicht nur Probleme bei WordPress bereiten.

Dank Markus Wulftange aka Gumbo stellt er in seinem Blogbeitrag auch noch eine Lösung mittels (Ergänzung der) .htaccess-Datei und mod_rewrite vor (muss in der .htaccess-Datei vor der PERISHABLE PRESS 4G BLACKLIST stehen, sofern vorhanden, und die Zeile “RedirectMatch 403 \/\/”dieser Blacklist auskommentiert werden).

Funktioniert auf dieser Webpräsenz übrigens einwandfrei.

Das sollte bei allen Anwendungen helfen. Die (Ergänzung der) .htaccess ist die bessere Alternative. Wenn sie bei Dir funktioniert (testen!), dann brauchst Du die functions.php des aktiven WordPress-Themes nicht zu ergänzen.