In WordPress 2.8.2 und auch bei älteren Versionen hat sich eine recht ernste Sicherheitslücke eingeschlichen. Regsitrierte Nutzer, auch mit der niedrigste Stufe (“Abonnent”) sind in der Lage mit manipulierten URLs Einstellungen im Backend vorzunehmen obwohl sie eigentlich dafür keine Rechte haben.
Bis ein Patch zur Verfügung steht, empfiehlt es sich die Registrierung für Nutzer zu deaktivieren und evtl. vorhandenen Accounts die einem nicht koscher vorkommen zu löschen. Weitere Infos auf WordPress-Deutschland.org.
Das Ende von WordPress 2.0.x
Es wurde zwar ursprünglich versprochen, dass man den WordPress-Zweig 2.0.x bis 2010 mit Bugfixes und Sicherheitsupdates versorgen möchte. Nun ist der Langzeitsupport für diese Version bereits jetzt eingestellt. Einerseits ist das zwar schade, weil dieser Zweig in meinen Augen sehr gut war und spätestens mit der Version 2.0 (31.12.2005) gelang der Durchbruch auch in den Bereich, den man als Massenmarkt bezeichnet.
Anderseits ist diese Version knapp vier Jahre alt und schleppt noch einigen Ballast aus der grauen Vorzeit mit, der es den Entwicklern schwer bis unmöglich macht einen sicheren, aber dennoch stabilen Zweig anzubieten.
Weitere Infos im offiziellen WordPress-Blog.
Auswertung der Umfrage
Im offiziellen WordPress-Blog gibt es auch eine Auswertung der Umfrage über die Sahanya am 07. Juli berichtet hat. Bei der Umfrage wurden die Nutzer nach den gewünschten, neuen Medien-Funktionen befragt.
Wir arbeiten seit 20 Jahren mit WordPress und bieten diverse Dienstleistungen rund um das System an. Kontaktiere uns für weitere Informationen oder für ein Angebot.
Hoffentlich bekommen die es hin mit Version 3.0 sich von den Altlasten zu befreien die das System so zumüllen und unsicher machen. 😐
Bislang bin ich weitgehend bei 2.7.2 geblieben, aber dann wird es nun wohl Zeit für Updates auf 2.8.x – wobei ich nach Möglichkeit die Registrierung gar nicht erlaube, da es hier bereits in der Vergangenheit unangenehme Einfallsmöglichkeiten gab.
Waiting for 2.8.3 :-?.. naja hab das registrieren eh deaktiviert. Von daher bin ich nicht betroffen.
Unschöne Sicherheitslücke aber deshalb gleich alle User löschen geht denke ich doch zu weit. Das verärgert nur die Leser und der Patch lässt doch sicherlich nicht soo lange auf sich warten.
WordPress ist ja ansich ohnehin keine Community-Software im eigentlichen Sinne und insofern dürften von der Sicherheitslücke nur verhältnismäßig wenige Seiten betroffen sein. Abgesehen davon ist es aus meiner Sicht nicht nachvollziehbar, warum so viele WordPress-Blogs mit veralteten Versionen arbeiten, zumal das Update bei WP ja doch selbst für Nicht-profis recht einfach ist.
Dennoch wären mehr Informationen zum Thema WP-Sicherheit bzw. “wie man seinen Blog sicher macht” für die Anwender sehr hilfreich.
Gruß Holger
[…] perun.net berichtet, gibt es eine kritische Sicherheitslücke im aktuellen WordPress. Die gute Nachricht ist: das […]
[…] herumgesprochen haben. Ich hoffe, ihr habt alle fleißig aktualisiert, weil die Version eine Sicherheitslücke schließt. So weit so […]
Die sollten es mal lieber schaffen, wp 2.9 oder 3 so zu entschlacken, dass der Speicherbedarf wieder schön klein wird, und wieder alles flüssig flutscht 🙂