Gerade bei der Recherche für den nächsten Beitrag gefunden:
Sehr nett 🙂
27. Juni 2007
You got owned by IMC
WordPress Security III
Heise hat es gestern Abend nochmal zusammengefasst, ich mache das daher auch mal:
1. Lücke: Fehler in PHPMailer mit Remote Code Execution in Verbindung mit Sendmail
2. Lücke: SQL-Injection in xmlrpc.php, benötigte jedoch einen gültigen Account
3. Lücke: File Upload Problem, anscheinend nur teilweise behoben, benötigt jedoch ebenfalls einen gültigen Account
4. Lücke: Cross Site Scripting im Default Theme von WordPress
Also für meine Installation keine Schwachstellen mit hohem Risiko. Es gibt nur ein paar Benutzer mit Accounts, die sind alle persönlich bekannt und Sendmail kommt auch nicht zum Einsatz.
Bisher kann ich mit WordPress gut leben. Bisher. Ich hoffe, das bleibt so.
Ach ja, die Exploits bitte nicht gegen dieses Blog ausprobieren, ich bin längst auf 2.2.1 🙂
WordPress Security II
Hach ja, für die Faulen wird auch gesorgt:
Jetzt gibt es also auch einen Online WordPress Security Scanner. Dank freundlicher Unterstützung von Blogsecurity.net.
Zum Download gibt es das Tool als Perl-Programm übrigens auch.
Sehr nett 🙂
WordPress Security I
Matt, der Hauptentwickler von WordPress, der hier in diesem Blog eingesetzten Blog-Software schreibt über die in WordPress in letzter Zeit aufgetretenen Sicherheitsprobleme:
- das SQL-Injection Problem neulich in der Version 2.2, das jedoch nur angemeldete Benutzer betroffen hat
- die Hintertür in Version 2.1.1, die nach einem Einbruch in den WordPress-Server eingefügt worden ist
Nun ja. Ich fürchte, jede Software die auf PHP basiert wird zwangsläufig irgendwann Probleme bekommen. Entweder durch ein Sicherheitsproblem in PHP selbst oder durch einen Programmierfehler in der Webanwendung. Wenn man bei Securityfocus in der Vulnerability Datenbank nach PHP sucht bekommt man (Stand heute) 4499 Resultate geliefert.
Im Grunde ist es doch so: wer freiwillig eine PHP-Software auf seinen Servern einsetzt muss sich auch selbst um die Sicherheit kümmern. Bei größeren Lücken erfährt man meistens auch schnell über die typischen Medien wie Heise, SecurityFocus oder TheRegister, was los ist. Und wer sich gar nicht darum kümmern will ist vermutlich bei Blogger.de oder -.com sowieso besser aufgehoben.
Was könnte WordPress selbst besser machen? Mir fallen zwei Sachen ein:
- die Veröffentlichungspolitik von WordPress könnte ein wenig besser sein. Eine Mailingliste nur für Security Announcements wäre z.B. nett
- das Upgrade könnte etwas einfach sein. Jedes mal manuell Dateien löschen, andere Dateien hereinkopieren, das ist etwas fehleranfällig. Das könnte man auch skriptbasiert lösen
Aber wenigstens steckt noch Potential in der Software. Und hey, man bekommt fast immer, wofür man bezahlt … und manchmal auch weniger.