Alle Beiträge mit dem Schlagwort „Sicherheitslücke”
11. August 2009 von Dieter | 3 Kommentare
Administrationspasswort können Dritte zurücksetzen
Über
- die Blogbeiträge “Unfreiwillig zurückgesetztes Administratorpasswort” von WordPress-Deutschland.org und
- “WordPress 2.8.3: Admin password reset exploit – schwere Sicherheitslücke” von Caschy sowie
- den Artikel “Lücke in WordPress ermöglicht Aussperren des Admins [Update]” bei heise.de
bin ich darauf aufmerksam geworden, dass bei WordPress schon wieder eine Sicherheitslücke entdeckt wurde.
Erfreulicherweise ist diese Sicherheitslücke nicht kritisch. Nur wenn ein Dritter Zugang zu Deinem Postfach hat und mit einem Exploit Dein Administrationspasswort zurücksetzt, könnte er sich Zugang zum Administrationsbereich Deiner WordPress-Installation verschaffen.
Sofern Du bereits das Verzeichnis wp-admin Deiner WordPress-Installation mit einem .htaccess-Passwortschutz versehen hattest oder noch besser lediglich die Datei wp-login.php im Rootverzeichnis, bist Du vor dem Exploit, also dem Zurücksetzen des Administrationspasswortes durch Dritte, hinreichend geschützt.
Solltest Du das Verzeichnis wp-admin mit einem .htaccess-Passwort (.htpasswd) schützen, gibt es Probleme mit Plugins, die Mailbenachrichtigungen bei weiteren Kommentaren ermöglichen (Subscribe to Comments). Näheres hierzu im Blogbeitrag “WordPress-Login absichern – zweite Variante” von Caschy.
Deshalb sei hier der .htaccess-Schutz für die Datei wp-login.php im Rootverzeichnis empfohlen (siehe hierzu auch Tipp 7 des insgesamt lesenswerten Blogbeitrags “Sicherheit in WordPress: 10 Schritte zum Schutz des Admin-Bereichs” von Sergej Müller).
Wer keinen Zugriff auf die .htaccess-Datei hat, dem sei als Alternative der Fix im Blogbeitrag “Unfreiwillig zurückgesetztes Administratorpasswort” von WordPress-Deutschland.org nahegelegt.
Und wieder hatte ich das Glück, dass mich eine Sicherheitslücke von WordPress nicht betraf. Diesmal hatte ich aufgrund einer netten Nachfrage und eines hilfreichen Hinweises von Sergej bereits den Schutz des Verzeichnisses wp-admin durch den .htaccess-Passwortschutz der Datei wp-login.php ersetzt. Danke dafür!
Infos
Webseite veröffentlicht am Dienstag, den 11. August 2009, um 22:29 Uhr, zuletzt geändert am
Mittwoch, den 21. Dezember 2011, um 04:59 Uhr.
Kategorie: WordPress
Schlagworte: .htaccess, Administrationspasswort, Fix, Sicherheitslücke, WordPress
1. Ute
Kommentar vom 11. August 2009 um 23:37
Wenn du die wp-login per .htaccess nochmal absicherst, brauchst zum Einloggen jedoch zwei Passwörter, das für die .htaccess und das für WP, oder stehe ich jetzt auf der Leitung?
2. Dieter
Kommentar vom 12. August 2009 um 06:49
@Ute
Das hast Du völlig richtig erkannt.
Damit macht diese Lösung natürlich etwas Mehrarbeit.
Aber: Wenn wenn Du Dich über einen sicheren Rechner, also etwa Deinen eigenen Computer einloggst, dann kannst Du im Normalfall Deinem Browser gestatten sich die Daten für beide Passwörter zu merken.
Dann brauchst Du die Anmeldung über die .htaccess- und .htpasswd-Datei sowie das WordPress-Loggin über die Datei wp-login.php nur einmal zu machen.
Auf öffentlichen Computern wie in einem Internetcafe ist dagegen vom Speichern der Passwörter abzuraten.
3. Webseiten-Infos.de auf WordPress 2.8.4 aktualisiert | Webseiten-Infos.de
Pingback vom 21. Dezember 2011 um 04:59
[...] Zum vorherigen Beitrag [...]