Fix für Sicherheitsproblem bei WordPress

Laut einem Posting im WordPress Support Forum besteht bei scheinbar allen WordPress-Versionen ein Sicherheitsproblem, wenn auf dem jeweiligen Web-Server PHP mit der Option register_globals=on konfiguriert ist.

An gleicher Stelle ist gibt es

  • ein PHP-Script, mit dem festellen kann, ob die entsprechende PHP-Konfiguration beim eigenen Web-Space besteht,
  • eine gefixte Version der wp-settings.php sowie
  • Hinweise auf andere Workarounds.


Das Test-Script brachte leider das Ergebnis, dass bei meinem Hoster das PHP mit register_globals=on läuft. 🙁 Also bestand Handlungsbedarf…

Die neue wp-settings.php lies sich problemlos ins System integrieren. Ob das Problem gelöst ist, kann ich mangels Zugriff auf den Exploit nicht feststellen. Daher habe ich sicherheitshalber zusätzlich einen Workaround eingesetzt, der über die .htaccess im PHP register_globals=off setzt und damit den Exploit PHP-seitig wirkungslos macht.
Aber Vorsicht: Wenn WordPress statische Seiten erstellt (oder aus anderen Gründen bereits eine .htaccess vorhanden ist), dann darf keine neue .htaccess erstellt werden, sondern die bestehende Datei muss um die Zeile register_globals=off ergänzt werden. Details siehe hier.

Im Hinblick darauf, dass bei fh bereits am 9. August über den Exploit zu lesen war, finde ich, dass die Reaktion seitens WordPress recht spät kommt. Auch wenn die gepatchtet Version vielleicht noch nicht fertig war, hätte angesichts der Berichte auf diversen Webseiten und den entsprechenden Postings im Support Forum der Workaround über die .htaccess etwas früher veröffentlicht werden könnensollen. Es wäre auch schön, wenn die Kunde vom Sicherheitsloch und dem Fix über das WordPress-Entwickler-Blog gekommen wäre und damit über den Tellerrand bzw. das Dashboard dargestellt worden wäre…

Weiterhin ist mir aufgefallen, dass bei dass bei fh als Hotfix eine Ergänzung der index.php empfohlen wurde, während der Fix von WordPress eine Änderung der wp-settings.php ist. Ich kann jedoch nicht einschätzen, was die besser Lösung ist.

Während ich an diesem Posting schreibe (unterbrochen vom Abendessen), ist die neue Version 1.5.2 von WordPress herausgekommen. Diesmal kommt die Info auch über den Tellerrand bzw. das Dashboard.

[Posting bei fh über Basic Thinking wiedergefunden]

Ein Gedanke zu „Fix für Sicherheitsproblem bei WordPress

  1. Pingback: Basic Thinking Blog » Wordpress 1.5.2 draussen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Kommentare abonnieren

Es erfolgt keine Weitergabe von Daten an externe Dienste wie WordPress.com.

eMail-Benachrichtigung bei weiteren Kommentaren.
Auch möglich: Abo ohne Kommentar.