Sicherheitsloch in WordPress 2.5

Die Zeiten ändern sich.

Dieser Beitrag scheint älter als 16 Jahre zu sein – eine lange Zeit im Internet. Der Inhalt ist vielleicht veraltet.

Da ist sie, die erste große Lücke. Thomas weist auf eine Sicherheitslücke in der Funktion ignore_user_abort() hin, die sich mit einem einfach Fix im Theme beheben lässt.

Es gilt lediglich in die header.php des verwendeten Themes den folgenden Syntax zu schreiben und die Standardkonstante von WP neu zu setzen.


<?php
define('AUTHKEY', 'QXByaWwsIEFwcmlsIQ==');
echo base64_decode(AUTHKEY);
?>

… direkt nach dem body-Tag.

Wichtig – Website besuchen und Fix kontrollieren.

Update: 2.April 2008

April, April!

Von Frank Bültge

bueltge.de [by:ltge.de] wird von Frank Bültge geführt, administriert und gestaltet. Alle Inhalte sind persönlich von mir ausgewählt und erstellt, nach bestem Gewissen und Können, was die Möglichkeit von Fehlern nicht ausschließt.

20 Kommentare

  1. Hallo

    Das ist ein Klasse Aprilscherz, obwohl man mit Sicherheitslücken ja wohl keine Scherze machen sollte. Decodieren des AUTHKEY -> April, April!

    Gruß Rainer

  2. Verdammt.

    Respekt, das war der Beste bisher. Jetzt ist mir auch klar, wieso hier die Beiträge moderiert werden!

  3. Also wer PHP kann fällt auf den Trick nicht rein. Aber daran sieht man mal wieder wie einige Leute stumpfsinnig irgendetwas in den Quellcode ihrerer Webseite übernehmen ohne sich über die folgen bewusst zu sein.

    Zwar ein sehr gelungener Scherz wenn du mich fragst, aber irgendwie auch ernüchternd das einige das wirklich ohne murren in ihr WordPress einfügen.

  4. Der ist auf jeden Fall besser, als der in den Massenmedien 🙂 Ich war kurz davor den Theme-Editor zu öffnen, aber das „echo“ hat mich stuzig gemacht 😉

  5. Super, bin auch reingefallen, bis ich den Code reinkopieren wollte und genauer angeschaut habe – stop- da stimmt doch was net^^. Also net zu 100% funktioniert. Dennoch Super Idee.

  6. LOL

    Ich dachte gerade, am 2.4. — hääääääääääääääää was das? …

    Geil, allerdings bleibt bei mir die Seite nach dem einfügen in die header.php weiss.. 😀

  7. Na toll, hätte ich vorher mal die Kommentare gelesen. Aber beim Betrachten meiner Seite habe ich dann auch den Scherz gesehen. Fand es lustig, werde jetzt aber genauer sehen was ich einbaue.

  8. Böser Mensch! 😀 Dachte eben wirklich, es geht schon wieder los mit dem Tanz! Gestern erst ein Upgrade gefahren und dann das…… ne ne ne 😀

Kommentare sind geschlossen.