Nein, es ist nicht schon wieder 1. April. Dieses Mal ist es echt: In WordPress 2.5 wurde eine Sicherheitslücke entdeckt. Über diese Sicherheitslücke ist es Angreifern möglich, sich als beliebiger Benutzer an einer WordPress-Site anzumelden.

Aber: Keine Panik! Damit der Angriff gelingt, müssen einige Umstände zusammenspielen…

Ist dein Blog angreifbar?

Erstens: Betroffen sind nur Websites, die mit WordPress 2.5 betrieben werden.

Zweitens: Trifft einer der nachstehenden Gründe zu, kann die Schwachstelle auftreten:

  1. Die Website ist von einer älteren Version auf 2.5 aktualisiert worden.
  2. Die Website ist mit WordPress 2.5 vollkommen neu eingerichtet und dabei nur über das Browser-Frontend konfiguriert worden. Die Datei wp-config.php wurde nicht über FTP auf den Webspace übertragen.
  3. Ein frisches WordPress 2.5 wurde über einen “One-Click-Installer” des Webhosters eingerichtet.

In allen diesen Konstellationen besteht die Möglichkeit, dass WordPress einen site-spezifischen Schlüssel nicht einrichtet und damit Sicherheitsmaßnahmen, die eben in WP 2.5 eingeführt wurden, nicht greifen.

Drittens: Der Angreifer braucht Zugriff auf ein gültiges Login-Cookie. Ein gültiges Cookie erhält man zu Beispiel durch die Anmeldung auf der Website als Abonnent.

Vorsichtsmaßnahmen sind einfach

In die Datei wp-config.php findest du eine solche Zeile:

define('SECRET_KEY', 'put your unique phrase here');
  // Trage hier einen eindeutigen Ausdruck ein.

Fehlt diese Zeile, oder wurde der vorgegebene Satz 'put your unique phrase here' nicht ersetzt, besteht das Sicherheitsrisiko.

Abhilfe ist einfach: Ersetze oder ergänze diese Konfigurationszeile. Kopiere dazu einfach die gesamte nachstehende Zeile und füge sie in wp-config.php ein:

define('SECRET_KEY', 'fcf9579a26dfc1b752f3b9fd3b8d307e');

Nachtrag: Es geistern diverse Anweisungen herum, die empfehlen, auch in der Datei wp-settings.php Veränderungen vorzunehmen, weil dort ebenfalls der Satz 'put your unique phrase here' auftaucht.

Das ist kontraproduktiv und nicht richtig. Lasse wp-settings.php unverändert.

WordPress erkennt an der Übereinstimmung zwischen dem Key in wp-config.php und jenem in wp-settings.php, dass die zusätzlichen Sicherheitsfunktionen nicht verwendet werden sollen, weil offensichtlich kein selbstdefinierter Key in wp-config.php eingetragen wurde.

17. April 2008, 08:49 − Abgelegt in

Kommentare

siehe: http://wpcandy.com/wp-25-security-bulletin-is-false/

Nicht desto trotz sollte der Secret-Key vergeben werden, denn der “normale” ist nun mal bekannt.

Frank · 17. April 2008, 16:36 · #

Frank, das von dir angeführte Advisory ist nicht jenes, auf das sich mein Beitrag bezieht.

Die Lücke, auf die ich hier Bezug nehme, ist ernst zu nehmen, mit fundamentierter Research unterlegt und durch einen Beispiel-Exploit ergänzt. Lies selbst.

Robert · 18. April 2008, 06:37 · #

Sorry, dass ich erst jetzt antworte, aber scheinbar hat es meinen Kommentar verschluckt.

Der angeführte Artikel diente nicht zum widerlegen deines Beitrags, sondern lediglich als Bereicherung und wie man mit unlauteren Mitteln kämpft.

Nichtsdestotrotz ist der Secret-Key zu vergeben, dass ist keine Empfehlung, dass ist ein Muss der Installation.

*Kommentarabonnoment wäre toll.

Frank · 19. April 2008, 21:50 · #

Ich habe meinen Beitrag geändert und auf diesen Beitrag verwiesen.

Danke!

Hollii · 20. April 2008, 20:22 · #

ich muss vorsichtshalber noch mal nachfragen:
Reicht es die wp-config.php wie oben beschrieben zu ändern?

Oder muss man anschließend noch mal die install.php oder upgrade.php oder sonst was laufen lassen, damit der SECRET_KEY in die db eingetragen wird?

— nepf · 20. April 2008, 23:11 · #

nepf, es reicht, den SECRET_KEY in der wp-config.php zu verändern. Sonst ist nichts zu tun.

Robert · 21. April 2008, 06:11 · #

Kommentarfunktion für diesen Artikel geschlossen.