Offene Sicherheitslücke in WordPress – Admins können ausgesperrt werden – Manuell beheben
Sicherheitslücke in Wordpress manuell schließen
Sicherheitslücke in WordPress
In WordPress bis hin zur aktuellen Version (2.8.3) gibt es einen Fehler, der es Angreifern erlaubt, das Admin-Passwort zurückzusetzen. Zugriff auf das Blog erreicht der Angreifer damit nicht, sperrt aber durch diese Maßnahme eben den echten Administrator aus. Beschreibung der Sicherheitslücke von Laurent Gaffie.
Momentan gibt es noch keine aktualisierte WordPress-Version ohne diese Sicherheitslücke, im Entwicklerzweig von WordPress ist der Fehler jedoch bereits behoben. Wer sein Blog gerne schon vorher absichern möchte, kann diese Änderung einfach manuell durchführen.
Vorgehensweise:
1. Ladet die Datei wp-login.php von Eurem Server herunter
2. Öffnet die wp-login.php
3. In Zeile 190 (bei Version 2.8.3) findet Ihr folgendes:
if ( empty( $key ))
diese Zeile ersetzt Ihr einfach durch diese
if ( empty( $key ) || is_array( $key ) )
4. Anschließend die geänderte wp-login.php wieder auf den Server hochladen – Fertig.
Damit ist Euer Blog dann wieder sicher. In Kürze wird auch eine neue WP-Version erscheinen, die dieser Änderung beinhaltet. Wenn Ihr Euch nicht sicher seid, wie Ihr das macht, wartet lieber auf die aktualisierte WordPress-Version. Für die Richtigkeit und Wirksamkeit der Änderung kann natürlich keine Garantie übernommen werden.
Mehr dazu auch hier bei golem.
Ähnliche Artikel:
- WordPress 2.7 Beta 1 Download verfügbar - 01.11.2008
- WordPress 2.6.5 ist da - 25.11.2008
- WordPress 2.8.5 – Mehr Sicherheit - 21.10.2009
- WordPress 2.6.1 Beta 2 Download verfügbar - 12.08.2008
- WordPress 2.6.1 Download verfügbar - 15.08.2008
- WordPress 2.6.1 Beta 1 verfügbar - 10.08.2008
- WordPress 2.6 erschienen - 15.07.2008
- WordPress 2.7 Public Beta kommt demnächst - 19.10.2008
- WordPress 2.6 Release Candidate 1 Download - 14.07.2008
- Sicherheitslücke in Windows 7 Beta - 01.02.2009
