Compboard Blog

Von Zeit zu Zeit liest man immer mal wieder, dass dieses oder jenes (WordPress) Blog “gehackt” und von Fremden für eigene Zwecke missbraucht wurde. Leider geschieht dies in den seltensten Fällen aus Jux und Tollerei, sondern meist mit zwielichtigem kommerziellen Hintergrund. Haben die Eindringlinge einmal Zugang zum Blog erlangt, werden oftmals Links zu betrügerischen Webshops oder gar Werbebanner für Glücksspiele auf dem Blog platziert. Damit die neuen Links und Werbebanner nicht sofort auffallen, nutzen die Betrüger dafür ältere Beiträge.

Das wirklich Schlimme ist, dass man die Eindringlinge nur sehr schwer wieder los wird. Ist das Blog einmal “geknackt” können die Betrüger fast ungehindert Dateien verändern und weitere, versteckte Zugänge in Unterverzeichnissen anlegen. Da es in den letzten WordPress Versionen wieder eine Lücke gab, über die das Admin-Passwort zurückgesetzt werden konnte, wurde das Thema “WordPress Absichern” auch nochmal von Matt Mullenweg im WordPress Blog aufgegriffen. Im Folgenden habe ich die wichtigsten Punkte zusammengefasst und ein paar Plugins aufgelistet, die einen bei der Absicherung des Blogs unterstützen und dabei Helfen, schädliche Veränderungen im Auge zu behalten:

Weiterlesen »

Bei der vor einem knappen Monat erschienenen WordPress Version 2.5 Brecker ist gestern die erste Sicherheitslücke entdeckt worden. Aus diesem Grund wurde das Release der Version 2.5.1 vorgezogen und diese wurde gestern Abend veröffentlicht.

Genauere Informationen zur Sicherheitslücke finden sich zwar nicht auf WordPress Deutschland, es wird lediglich darauf hingewiesen, dass das Sicherheitsproblem “schwerwiegend” ist und man deshalb unbedingt upgraden sollte. Der Grund für die ungenaue Angabe findet sich jedoch im englischen Beitrag auf WordPress.org. Dort erfährt man, dass die Sicherheitslücke bisher noch nicht öffentlich bekannt ist und selbstverständlich ist es im Interesse von jedem WordPress Nutzer, dass dies möglichst lange so bleibt. Ich habe gestern Abend trotzdem schon mit der englischen Version das Update durchgeführt, nur um ganz sicherzugehen. Mittlerweile steht aber auch die deutschsprachige Version zur Verfügung. Das Update verlief völlig reibungslos und hat nur ein paar Minuten gedauert, also nicht zögern und wirklich so bald wie möglich upgraden!

Nicht zuletzt beinhaltet das 2.5.1 Release auch ein paar Verbesserungen behebt über 70 Fehler! Unter anderem wird der der visuelle Editor TinyMCE durch das Update auf die neuste Version gebracht. Geschwindigkeitsverbesserungen im Backend und eine verbesserte Bedienung werden ebenfalls versprochen.

Anscheinend habe einige Leute bisher nicht mitbekommen, dass es mit dem Release der Version 2.5 auch eine wichtige Änderung in der config.php gegeben hat. Und zwar findet sich dort jetzt der Punkt “SECRET_KEY”. Mit dem SECRET_KEY sollen die Cookies von WordPress sicherer gemacht werden, deshalb muss man sich nach dem Eintrag des Keys neu im Backend anmelden, auch wenn dies bisher automatisch geschah. Auf boren.nu findet sich dazu ein lustiger Hinweis: “Wenn ihr mal alle angemeldeten Nutzer ausloggen wollt oder müsst, ändert einfach den SECRET_KEY.”

Der SECRET_KEY beeinflusst nicht die Passwörter der angemeldeten Nutzer eines WordPress Blogs sondern nur die Login-Cookies der Nutzer auf ihrem Computer. Merken muss man sich den SECRET_KEY auch nicht, er ist wirklich nur dazu da um die Cookies besser abzusichern. Einen Generator für so einen Key findet man bei WordPress.org, auf grc.com oder auch bei GuidGen.

Auf perun.net wird noch darauf hingewiesen die upgrade.php nach dem Upgrade nicht zu vergessen, da es auch Änderungen an der Datenbank gab! Dazu einfach http://www.eure-blog-adresse.tld/wp-admin/upgrade.php aufrufen…