Bei der vor einem knappen Monat erschienenen WordPress Version 2.5 Brecker ist gestern die erste Sicherheitslücke entdeckt worden. Aus diesem Grund wurde das Release der Version 2.5.1 vorgezogen und diese wurde gestern Abend veröffentlicht.

Genauere Informationen zur Sicherheitslücke finden sich zwar nicht auf WordPress Deutschland, es wird lediglich darauf hingewiesen, dass das Sicherheitsproblem “schwerwiegend” ist und man deshalb unbedingt upgraden sollte. Der Grund für die ungenaue Angabe findet sich jedoch im englischen Beitrag auf WordPress.org. Dort erfährt man, dass die Sicherheitslücke bisher noch nicht öffentlich bekannt ist und selbstverständlich ist es im Interesse von jedem WordPress Nutzer, dass dies möglichst lange so bleibt. Ich habe gestern Abend trotzdem schon mit der englischen Version das Update durchgeführt, nur um ganz sicherzugehen. Mittlerweile steht aber auch die deutschsprachige Version zur Verfügung. Das Update verlief völlig reibungslos und hat nur ein paar Minuten gedauert, also nicht zögern und wirklich so bald wie möglich upgraden!

Nicht zuletzt beinhaltet das 2.5.1 Release auch ein paar Verbesserungen behebt über 70 Fehler! Unter anderem wird der der visuelle Editor TinyMCE durch das Update auf die neuste Version gebracht. Geschwindigkeitsverbesserungen im Backend und eine verbesserte Bedienung werden ebenfalls versprochen.

Anscheinend habe einige Leute bisher nicht mitbekommen, dass es mit dem Release der Version 2.5 auch eine wichtige Änderung in der config.php gegeben hat. Und zwar findet sich dort jetzt der Punkt “SECRET_KEY”. Mit dem SECRET_KEY sollen die Cookies von WordPress sicherer gemacht werden, deshalb muss man sich nach dem Eintrag des Keys neu im Backend anmelden, auch wenn dies bisher automatisch geschah. Auf boren.nu findet sich dazu ein lustiger Hinweis: “Wenn ihr mal alle angemeldeten Nutzer ausloggen wollt oder müsst, ändert einfach den SECRET_KEY.”

Der SECRET_KEY beeinflusst nicht die Passwörter der angemeldeten Nutzer eines WordPress Blogs sondern nur die Login-Cookies der Nutzer auf ihrem Computer. Merken muss man sich den SECRET_KEY auch nicht, er ist wirklich nur dazu da um die Cookies besser abzusichern. Einen Generator für so einen Key findet man bei WordPress.org, auf grc.com oder auch bei GuidGen.

Auf perun.net wird noch darauf hingewiesen die upgrade.php nach dem Upgrade nicht zu vergessen, da es auch Änderungen an der Datenbank gab! Dazu einfach http://www.eure-blog-adresse.tld/wp-admin/upgrade.php aufrufen…

Tagged with →  
Share →

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>