Sidebar
ein-/ausblenden

Sicherheitsloch in WordPress 2.5

Da ist sie, die erste große Lücke. Thomas weist auf eine Sicherheitslücke in der Funktion ignore_user_abort() hin, die sich mit einem einfach Fix im Theme beheben lässt.

Es gilt lediglich in die header.php des verwendeten Themes den folgenden Syntax zu schreiben und die Standardkonstante von WP neu zu setzen.


<?php
define('AUTHKEY', 'QXByaWwsIEFwcmlsIQ==');
echo base64_decode(AUTHKEY);
?>

... direkt nach dem body-Tag.

Wichtig - Website besuchen und Fix kontrollieren.

Update: 2.April 2008

April, April!

Artikel #624, 1. April 2008 · Allgemein · 21 Kommentare · Kommentar schreiben
Tags: ,
· Tweet this!
Kommentar-Feed zum Artikel · TrackBack URL · Shortlink

«
»

18 Kommentare und 3 Trackbacks zu „Sicherheitsloch in WordPress 2.5“

  1. 1
    Kommentar von rittiner & gomez
    1. April 2008 um 10:40

    April April! Gratulation - voll erwischt:

  2. 2
    Kommentar von Tobias
    1. April 2008 um 11:13

    Herzlichen Dank Frank,

    Dir ist es wirklich gelungen mich gekonnt in den April zu schicken - als einziger bisher.

  3. 3
    Kommentar von Affenheimtheaterbesitzer
    1. April 2008 um 11:14

    Du Fuchs!

  4. 4
    Kommentar von ad
    1. April 2008 um 11:22

    Der Body-Tag wird bei meinem Theme nicht in der header.php geschlossen. Wo baue ich das dann ein?

  5. 5
    Kommentar von Stephan Fritsch
    1. April 2008 um 11:29

    U2VociBzY2jDtm4h
    Hab echt ein paar Augenblicke gedacht, gut dass ich 2.5 noch nicht installiert habe. Jetzt hol ich mir erstmal einen starken Kaffee...

  6. 6
    Kommentar von picard
    1. April 2008 um 11:33

    vielen dank alle beteiligten, vor allem wildbits.de ;)

  7. 7
    Kommentar von RainerM
    1. April 2008 um 11:39

    Hallo

    Das ist ein Klasse Aprilscherz, obwohl man mit Sicherheitslücken ja wohl keine Scherze machen sollte. Decodieren des AUTHKEY -> April, April!

    Gruß Rainer

  8. 8
    Kommentar von ad
    1. April 2008 um 11:44

    Verdammt.

    Respekt, das war der Beste bisher. Jetzt ist mir auch klar, wieso hier die Beiträge moderiert werden!

  9. 9
    Pingback von Na Blogo » Blog Archiv » Pah, ihr erwischt mich nicht
    1. April 2008 um 12:19
  10. 10
    Kommentar von Frank Bültge
    1. April 2008 um 12:31

    Die stammt nicht von mir (leider) - Thomas Boley ist der Kopf und ich hoffe, dass er in dem kommenden WordPress Buch, an welchem wir gerade arbeiten, ebenso tolle Ideen weiterhin einbringt.

  11. 11
    Kommentar von gr4y
    1. April 2008 um 13:56

    Also wer PHP kann fällt auf den Trick nicht rein. Aber daran sieht man mal wieder wie einige Leute stumpfsinnig irgendetwas in den Quellcode ihrerer Webseite übernehmen ohne sich über die folgen bewusst zu sein.

    Zwar ein sehr gelungener Scherz wenn du mich fragst, aber irgendwie auch ernüchternd das einige das wirklich ohne murren in ihr WordPress einfügen.

  12. 12
    Kommentar von Frank Bültge
    1. April 2008 um 13:58

    Jap, besser konnte das Beispiel nicht verdeutlichen, dass man immer Nachdenken und Prüfen sollte.

  13. 13
    Kommentar von kubi
    1. April 2008 um 14:00

    Der ist auf jeden Fall besser, als der in den Massenmedien :-) Ich war kurz davor den Theme-Editor zu öffnen, aber das "echo" hat mich stuzig gemacht ;-)

  14. 14
    Pingback von Weblog von Hartmut und Marcella » Weblog von Hartmut und Marcella Wordpress 2.5 » Blog, Update, Navigation, Plugins, Version, WP25, Lighter, Admin
    1. April 2008 um 15:11
  15. 15
    Kommentar von Paul
    1. April 2008 um 17:23

    Super, bin auch reingefallen, bis ich den Code reinkopieren wollte und genauer angeschaut habe - stop- da stimmt doch was net^^. Also net zu 100% funktioniert. Dennoch Super Idee.

  16. 16
    Pingback von Sicherheitslücke in WordPress 2.5 - Gabis Wordpress-Templates
    1. April 2008 um 21:42
  17. 17
    Kommentar von Tino
    2. April 2008 um 09:06

    Klasse, fast erwischt. Nur gut das ich meist die Kommentare überfliege.

  18. 18
    Kommentar von Hollii
    2. April 2008 um 12:23

    LOL

    Ich dachte gerade, am 2.4. -- hääääääääääääääää was das? ...

    Geil, allerdings bleibt bei mir die Seite nach dem einfügen in die header.php weiss.. :D

  19. 19
    Kommentar von Ilka
    2. April 2008 um 14:58

    Na toll, hätte ich vorher mal die Kommentare gelesen. Aber beim Betrachten meiner Seite habe ich dann auch den Scherz gesehen. Fand es lustig, werde jetzt aber genauer sehen was ich einbaue.

  20. 20
    Kommentar von Thomas
    2. April 2008 um 16:13

    Böser Mensch! :D Dachte eben wirklich, es geht schon wieder los mit dem Tanz! Gestern erst ein Upgrade gefahren und dann das...... ne ne ne :D

  21. 21
    Kommentar von Alex
    3. April 2008 um 22:35

    *autsch* ich komm mir gerade ziemlich blöd vor :P *voll reingefallen*

Kommentar schreiben

Kommentarregeln: Bleib cool, kritisch ist in Ordnung, aber wenn du unhöflich bist, dann lösche ich deinen Kommentar. Bitte benutze deinen persönlichen Namen oder Initialen und nicht den Namen eines Unternehmens, dies würde als Spam gewertet und wird gelöscht. Der Zusammenhang zwischen Namen und URL sollte nicht offensichtlich auf Spam hindeuten! ♥ Ansonsten, vielen Dank für den Kommentar und viel Spaß mit meinem Blog.

Kommentar-Hilfe

händischer Spam:
Beachte die Kommentarregeln, jede Form von versuchtem Spam wird gelöscht. Warum und wieso steht in einem meiner Beiträge.

Bezug auf Textstellen:
Du kannst direkt bezug auf Textstellen im Beitrag nehmen. Dazu muss lediglich der Bereich im Artikel markiert werden; daraufhin erscheint ein Button, der den markierten Text in das Kommentarfeld übernimmt und als Zitat auszeichnet. Die Funktion ist nur bei aktivem JavaScript nutzbar.

xHTML:
Du kannst folgende Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <blockquote cite=""> <code> <pre> <em> <strong> <strike> <ul> <ul> <li>

Achte darauf, wenn du Code im Kommentar hinterlegen willst, dann muss der Code maskiert sein. Dann wird er nicht interpretiert. Der Code muss mit Hilfe von HTML-Entities dargestellt werden, d.h. dass man z.B. < als &lt; und > als &gt; einfügt.

E-Mail-Benachrichtigung bei neuen Kommentaren ?
Wenn der Haken in der Checkbox gesetzt ist, dann wirst du über neue Kommentare vie E-Mail informiert. Der Versand erfolgt nur, wenn du die URL in der Bestätigungs-E-Mail genutzt hast oder schon Abonnent hier im Blog bist.

Kommentar erscheint nicht:
Alle Kommentare werden manuell geprüft, freigegeben und nach Möglichkeit beantwortet. Bitte um etwas Geduld und Nachsicht.

Identifikationsbilder (Avatare):
Auf Gravatar.com kann man sich mit seiner E-Mail-Adresse registrieren und ein Bild hochladen, dann erscheint dieses Gravatar hier und in vielen weiteren Blogs.

Spamschutz:
Das Kommentarformular ist mit einem Spamschutz ausgerüstet. Solltest du diesen Artikel ohne JavaScript besuchen und kommentieren wollen, so muss du die Frage beantworten und das jeweilige Wort in das Textfeld eingeben.