Nein, es ist nicht schon wieder 1. April. Dieses Mal ist es echt: In WordPress 2.5 wurde eine Sicherheitslücke entdeckt. Über diese Sicherheitslücke ist es Angreifern möglich, sich als beliebiger Benutzer an einer WordPress-Site anzumelden.
Aber: Keine Panik! Damit der Angriff gelingt, müssen einige Umstände zusammenspielen…
Ist dein Blog angreifbar?
Erstens: Betroffen sind nur Websites, die mit WordPress 2.5 betrieben werden.
Zweitens: Trifft einer der nachstehenden Gründe zu, kann die Schwachstelle auftreten:
- Die Website ist von einer älteren Version auf 2.5 aktualisiert worden.
- Die Website ist mit WordPress 2.5 vollkommen neu eingerichtet und dabei nur über das Browser-Frontend konfiguriert worden. Die Datei
wp-config.php
wurde nicht über FTP auf den Webspace übertragen. - Ein frisches WordPress 2.5 wurde über einen “One-Click-Installer” des Webhosters eingerichtet.
In allen diesen Konstellationen besteht die Möglichkeit, dass WordPress einen site-spezifischen Schlüssel nicht einrichtet und damit Sicherheitsmaßnahmen, die eben in WP 2.5 eingeführt wurden, nicht greifen.
Drittens: Der Angreifer braucht Zugriff auf ein gültiges Login-Cookie. Ein gültiges Cookie erhält man zu Beispiel durch die Anmeldung auf der Website als Abonnent.
Vorsichtsmaßnahmen sind einfach
In die Datei wp-config.php
findest du eine solche Zeile:
define('SECRET_KEY', 'put your unique phrase here'); // Trage hier einen eindeutigen Ausdruck ein.
Fehlt diese Zeile, oder wurde der vorgegebene Satz 'put your unique phrase here'
nicht ersetzt, besteht das Sicherheitsrisiko.
Abhilfe ist einfach: Ersetze oder ergänze diese Konfigurationszeile. Kopiere dazu einfach die gesamte nachstehende Zeile und füge sie in wp-config.php
ein:
Nachtrag: Es geistern diverse Anweisungen herum, die empfehlen, auch in der Datei wp-settings.php
Veränderungen vorzunehmen, weil dort ebenfalls der Satz 'put your unique phrase here'
auftaucht.
Das ist kontraproduktiv und nicht richtig. Lasse wp-settings.php
unverändert.
WordPress erkennt an der Übereinstimmung zwischen dem Key in wp-config.php
und jenem in wp-settings.php
, dass die zusätzlichen Sicherheitsfunktionen nicht verwendet werden sollen, weil offensichtlich kein selbstdefinierter Key in wp-config.php
eingetragen wurde.
17. April 2008, 08:49 − Abgelegt in Sicherheit WordPress 2.x
Kommentare
Kommentarfunktion für diesen Artikel geschlossen.
siehe: http://wpcandy.com/wp-25-security-bulletin-is-false/
Nicht desto trotz sollte der Secret-Key vergeben werden, denn der “normale” ist nun mal bekannt.
— Frank · 17. April 2008, 16:36 · #
Frank, das von dir angeführte Advisory ist nicht jenes, auf das sich mein Beitrag bezieht.
Die Lücke, auf die ich hier Bezug nehme, ist ernst zu nehmen, mit fundamentierter Research unterlegt und durch einen Beispiel-Exploit ergänzt. Lies selbst.
— Robert · 18. April 2008, 06:37 · #
Sorry, dass ich erst jetzt antworte, aber scheinbar hat es meinen Kommentar verschluckt.
Der angeführte Artikel diente nicht zum widerlegen deines Beitrags, sondern lediglich als Bereicherung und wie man mit unlauteren Mitteln kämpft.
Nichtsdestotrotz ist der Secret-Key zu vergeben, dass ist keine Empfehlung, dass ist ein Muss der Installation.
*Kommentarabonnoment wäre toll.
— Frank · 19. April 2008, 21:50 · #
Ich habe meinen Beitrag geändert und auf diesen Beitrag verwiesen.
Danke!
— Hollii · 20. April 2008, 20:22 · #
ich muss vorsichtshalber noch mal nachfragen:
Reicht es die wp-config.php wie oben beschrieben zu ändern?
Oder muss man anschließend noch mal die install.php oder upgrade.php oder sonst was laufen lassen, damit der SECRET_KEY in die db eingetragen wird?
— nepf · 20. April 2008, 23:11 · #
nepf, es reicht, den SECRET_KEY in der
wp-config.php
zu verändern. Sonst ist nichts zu tun.— Robert · 21. April 2008, 06:11 · #