ernste Sicherheitsprobleme bei WordPress
Dr. Dave, Programmierer von Spam Karma 2 informiert etwas schwammig über eine “schlimme” Sicherheitslücke in WordPress. Offensichtlich ist diese Lücke auch schon in einschlägigen, bösartigen Kreisen bekannt. Nähere Infos wird es wohl erst geben, wenn die Sache gefixt ist…
Als erster Workaround sollte dringend die User-Registrierung in allen WP-Blogs deaktiviert und bereits angelegte, nicht 100% vertrauenswürdige Einträge unter den Usern gelöscht werden.
Also bitte unter wp-admin >> options “Anyone can register” nicht ankreuzen.
Das englische Original gibt es hier (und klingt sehr dramatisch, ich bin mir sehr sicher, daß Dr. Dave weiß, wovon er schreibt):
27. Juli 2006 um 10:58 Starkiller(Quote)
klingt wirklich dramatisch was der gute Mann da schreibt.
Wie gut das die Option per Default aus ist.
27. Juli 2006 um 11:31 Dennis(Quote)
Stimmt, ist per default aus (uff!) und nur die wenigsten Blogs verwenden überhaupt eine Benutzerregistrierung. Bin mal gespannt, wann von “offizieller” Seite ein Statement abggeben wird.
27. Juli 2006 um 11:50 DayLight(Quote)
wird aber bestimmt nicht die einzige sicherheitslücke bei wp sein .-(
27. Juli 2006 um 11:57 Olf(Quote)
Interessant, wie schnell die Leute auf eine solch kryptische Meldung anspringen. Für mich hat das leider den Beigeschmack eines sozialen Experiements: wie schnell verbreitet sich eine derartige Meldung durch die Blog-o-Sphäre. Man gucke nur auf die Trackback zu Kommentare Quote unter dem Eintrag: die Trackbacks überwiegen deutlich.
Insbesondere schreibt Matt (einer der Entwickler von WP) in den Kommentaren, dass bei ihm noch keine Meldung von Dr. Dave eingegangen ist?!
27. Juli 2006 um
[...] Quelle von Jan: taxi-blog [...]
27. Juli 2006 um 13:33 Andy(Quote)
danke für die info!
wird sicher nicht die einzige lücke bleiben…. ist ja leider bei den meisten phh anwendungen dass über kurz oder lang ernste lücken auftreten (phpBB, usw…)
27. Juli 2006 um
Leck in WordPress
Falls jemand selbst WordPress als Blogsoftware benutzt sollte er die Benutzerregistrierung abschalten. Anscheinend gibt es ein ernst zu nehmendes Leck. Es gibt allerdings noch keine Details zu einem Exploit und auch keine zum Leck selbst…
Gefunde…
27. Juli 2006 um 20:44 Torsten Bentrup(Quote)
@Olf: Sollte es sich wirklich um einen Fehlalarm handeln, hätte Dr. Dave seinen verdammt guten Ruf verspielt. Ich bin mir sicher, daß es sich wirklich um ein sehr ernstes Problem handelt.
Wenn es um ernste Sicherheitsprobleme geht, die bereits ausgenutzt werden und für die es noch keinen Fix gibt, ist eine solch kryptische Warnung auch sicher gerechtfertigt. Man will ja nicht noch Trittbrettfahrer und Script-Kiddies drauf stoßen.
Warum die Nachricht nicht bei Matt angekommen ist, weiß ich auch nicht. Falsche Adresse, anderes Team-Mitglied hat es nicht ernstgenommen, …
@DayLight & Andy: Leider…
27. Juli 2006 um 20:48 Ben(Quote)
Es liest sich eher: “Es gibt ein Leck, aber ich sag euch nicht wo, näänää”
Ja genau. Gäbe es ein Leck, und würde es wie für open source üblich veröffentlicht, gäbe es seit Tagen schon einen schlampigen Fix (ohne Features zu verlieren), bis es einen offiziellen Patch gibt.
Stand hier nicht schonmal was von einem “ganz schlimmen bug”? Damals war der einzige Bug, dass der “Entdecker” kein Englisch konnte und gründlich missverstanden wurde – es gab keine Sicherheitslücke.
27. Juli 2006 um 21:03 Torsten Bentrup(Quote)
@Ben: Wir werden sehen…
Zum alten Bug: Ich behaupte mal, daß WP als sehr leicht zu bedienendes Blogsystem auch von vielen Laien genutzt wird. Und damit wird man wohl auch oft (ist ja auch einfacher) als Admin eingeloggt sein. Und für die war eben auch die damalige Lücke gefährlich.
27. Juli 2006 um 21:12 Ben(Quote)
Vor dem User warnen sollte man grundsätzlich, der ist immer die größte Sicherheitslücke
27. Juli 2006 um 21:16 M.One(Quote)
Wie diskutierte ich heute noch mit jemandem…
“Das Problem sitzt meist zwischen Monitor und Stuhllehne”
Schönen Abend noch!
27. Juli 2006 um 21:21 Torsten Bentrup(Quote)
@Ben & M.One: …und ich schließe mich da nicht aus. Zumindest nicht kategorisch.
27. Juli 2006 um 21:42 Olaf(Quote)
Keine Sorge; WordPress 2.0.4 kommt demnächst raus und dort ist dieser Bug bereits beseitigt (soweit ich weiß, wurde der sogar getilgt, bevor Dr. Dave darüber berichtete).
27. Juli 2006 um 23:06 Sascha(Quote)
Ich weiss, warum ich schon bei der letzten WordPress Sicherheitswarnung auf Serendipity (kurz: s9y) umgestiegen bin.
Zu finden unter http://www.s9y.org. Finde ich gerade wegen der Plug-Ins sehr toll gemacht. Ist auf jeden Fall sehr flexibel, da eigentlich jede Funktion ein Plug-In ist, so laesst s9y sich perfekt an seine Beduerfnisse anpasen…
Naja, wer weiss, wie sicher das ist… Hat nicht alles irgendwo eine Sicherheitsluecke? Menno!
27. Juli 2006 um 23:18 Torsten Bentrup(Quote)
@Sascha: Ich kenn das Backend von s9y nicht, aber ich habe noch kein Blog damit gesehen, daß ich vom Frontend richtig gut fand.
Und als Blogger würde mir sowas wie Spam Karma 2 sehr fehlen. 16111 (um 23.15 Uhr) Spam-Kommentare hätte ich ungern von Hand gelöscht und Captchas sind keine Lösung sondern eine Belästigung der Kommentierer.
Aber natürlich ist das eine müßige Diskussion. Jedes System hat Vor- und Nachteile und die Entscheidung sollte danach fallen, welche Nachteile man individuell am ehesten ertragen will, bzw. welche der Vorteile man auf keinen Fall entbehren will.
28. Juli 2006 um 10:36 Olaf(Quote)
@Sascha: Auch S9Y hat seine Sicherheitslücken, Bugs…
Auch WP lässt sich ohne Probleme an die eigenen Bedürfnisse anpassen.
@Thorsten: Schonmal Akismet ausprobiert? Das funktioniert bei mir sehr zuverlässg. http://akismet.com
“Akismet checks your comments against the Akismet web serivce to see if they look like spam or not. You need a WordPress.com API key to use this service. ”
28. Juli 2006 um 14:05 Chris(Quote)
Shopblogger hat serendepy.
askimet gibbed auch dafür.
fand es allerdings nicht so prickelnd
29. Juli 2006 um 01:58 Sascha(Quote)
@Thorsten: Aussehen ist ja Geschmackssache…
Kann man ja alles anpassen wie mans gerne hätte. Ich habe ja auch das Kubrick Theme und das kommt ja ursprünglich von WordPress.
Das Backend von s9y hat nicht ganz so viel Grafischen Schnick-Schnack wie WordPress denke ich. Ich persönlich finde es besser strukturiert, aber das ist ja wieder Gewöhnungs-/Geschmackssache.
Aber Captchas hast du doch selber, wenn mich nicht alles täuscht!? Ich habe mir gerade eben einen Akismet Key geholt (kostenlos für personal Blogs). Ich hatte bisher eigentlich keine Probleme mit mit Spam (gut, mein Blog ist ja auch (noch
) nicht so bekannt.) bisher reicht ein einfachher Wortfilter und die Blockung der Standard Spam-Adressen die schon eingespeichert waren. Ich benutze auch keine Captchas (mehr) da die mehr Probleme erzeugen als sie lösen, weil viele Leute dann gar keine Kommentare mehr schreiben konnten.
Aber mit den Plug Ins ist das praktisch (ok, ich weiß nicht, wie das im Momen bei WP läuft), weil man durch das (Standard-) Plugin SPARTACUS alle zu verfügung stehenden Plug Ins angezeigt bekommt und mit einem Klick “installieren” kann, also mir Download, Einrichten und so weiter.
Aber wie du schon sagtest: Eine Sinnlose Diskussion…
Ich wollte mit dem Kommentar ja auch nicht bezwecken, dass du umsteigst. 
Ich bins und bin sehr glücklich damit.
@Olaf: Na klar, alles ist irgendwo unsicher, was anderes habe ich ja auch gar nicht behauptet…
Grüße vom anderen Ende der Welt, Sascha
29. Juli 2006 um 19:28 Chris(Quote)
>>>Keine Sorge; WordPress 2.0.4 kommt demnächst raus
Bin gerade am Updaten, der Update-Monitor http://blogshop.de/11072005,406 hats grad angezeigt…
29. März 2008 um
Erfreulich…
Noch vor dem Frühstück erledigt, ohne Probleme:
Die Serendipity-Installation ist nun auf die Version 1.3 aktualisiert!…