WordPress 2.8.3: Schwere Sicherheitslücke

Ich wurde von einem Kollegen auf die Sicherheitslücke in der WordPress Reihe 2.8.x aufmerksam gemacht. Das Passwort des WordPress Benutzers admin kann durch ein Dritten zurückgesetzt werden und der Benutzer admin ist sozusagen ausgesperrt, dies ist eine schwere Sicherheitslücke.

Um diese Sicherheitslücke zu beheben, wird eine Veränderung im WordPress Quelltext empfohlen. Man öffnet die wp-login.php und ändert in Zeile 190 den Text von
if ( empty( $key ) ) in if ( empty( $key ) || is_array( $key ) )

Mein Kollege sagte mir, ich solle einen weiteren Benutzer mit einem Administrator Account auf meinen WordPress Seiten erstellen, um wieder Zugriff auf meine Seite zu haben. Eeee.. ganz habe ich es nicht verstanden, was er damit wollte. Man kann doch seinen Passwort via Email wieder erfragen. Vielleicht denkt er, das man gar kein Zugriff mehr haben kann mit dieser Sicherheitslücke. Das ist aber nicht so.

1 Kommentar

  1. Mein Kollege sagte mir, ich solle einen weiteren Benutzer mit einem Administrator Account auf meinen WordPress Seiten erstellen, um wieder Zugriff auf meine Seite zu haben. Eeee.. ganz habe ich es nicht verstanden, …

    Naja, ist doch eigentlich ganz einfach… Ist der „admin“ durch diese Sicherheitslücke ausgesperrt, nimmt man einfach den „BackupAdmin“ und ändert das Passwort von „admin“. Schon hat man wieder zugriff auf die Website über den „admin“ Account 😛
    Dann kann man sich den Kram mit „Emergency Password Reset Script „, wie auf Golem.de beschrieben, sparen.

    Administratoren, die bereits ausgesperrt wurden, können sich mit dem Emergency Password Reset Script wieder Zugriff auf ihren Account verschaffen, ein SSH-Zugriff auf den Server vorausgesetzt. Quelle: http://www.golem.de/0908/68972.html

    MfG Dein Kollege 🙂

1 Trackback / Pingback

  1. WordPress 2.8.4 Update – Deutsch Edition - Familie Celik - News - Programmierung - Tutorials - MetinCelik.de

Antworten

Deine E-Mail-Adresse wird nicht veröffentlicht.


*


Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.