Ich wurde von einem Kollegen auf die Sicherheitslücke in der WordPress Reihe 2.8.x aufmerksam gemacht. Das Passwort des WordPress Benutzers admin kann durch ein Dritten zurückgesetzt werden und der Benutzer admin ist sozusagen ausgesperrt, dies ist eine schwere Sicherheitslücke.
Um diese Sicherheitslücke zu beheben, wird eine Veränderung im WordPress Quelltext empfohlen. Man öffnet die wp-login.php und ändert in Zeile 190 den Text von
if ( empty( $key ) )
in if ( empty( $key ) || is_array( $key ) )
Mein Kollege sagte mir, ich solle einen weiteren Benutzer mit einem Administrator Account auf meinen WordPress Seiten erstellen, um wieder Zugriff auf meine Seite zu haben. Eeee.. ganz habe ich es nicht verstanden, was er damit wollte. Man kann doch seinen Passwort via Email wieder erfragen. Vielleicht denkt er, das man gar kein Zugriff mehr haben kann mit dieser Sicherheitslücke. Das ist aber nicht so.
Naja, ist doch eigentlich ganz einfach… Ist der „admin“ durch diese Sicherheitslücke ausgesperrt, nimmt man einfach den „BackupAdmin“ und ändert das Passwort von „admin“. Schon hat man wieder zugriff auf die Website über den „admin“ Account 😛
Dann kann man sich den Kram mit „Emergency Password Reset Script „, wie auf Golem.de beschrieben, sparen.
MfG Dein Kollege 🙂