Nicht mal einen Monat nach WordPress 2.5 folgt WP 2.5.1 – das ist selbst für WordPress-Verhältnisse ein atemberaubend schneller Releasezyklus.

Der Grund für das hastige Update war ein Sicherheitsleck, das Angreifern ein potentielles Einfallstor auf den gesamten Webserver geöffnet hätte. Steven J. Murdochs Advisory in Kurzfassung: Angreifer können über ein wenig Trickserei mit dem Cookie, das WordPress bei der Anmeldung erstellt, den Zugriff als Administrator erreichen.

Voraussetzung: Die WordPress-Site erlaubt die Registrierung als WordPress-User. Wer also ein unmittelbares Update auf 2.5.1 nicht durchführen kann, sollte zumindest die Einstellung “Jeder kann sich registrieren” in der Zwischenzeit ausschalten:

WordPress-Einstellung "Jeder kann sich registrieren"

Der im Advisory beschriebene Angriffsvektor geht davon aus, dass der Administrator des Blogs den Benutzernamen “admin” verwendet.

Himmel! Wer immer noch einen Benutzer mit dem Namen “admin” in seinem Blog führt, ist eigentlich selber schuld… Viele Exploits laufen ins Leere, wenn unübliche Verhältnisse vorgefunden werden.

Also: Wenns noch nicht geschehen ist, lege jetzt einen neuen Administrator-User mit einem fantasievollen Namen an, melde dich ab und mit dem neuen Namen wieder an und lösche dann den Benutzer “admin”. Keine Angst, WordPress fragt dich nach dem neuen Eigentümer aller alten Beiträge.

Und wenn du schon dabei bist, ändere gleich auch noch den Datenbank-Präfix abweichend zum Standardwert wp_. Dafür gibt’s ein Plugin und eine ausführliche Anleitung.

Ein vorher angefertigtes aktuelles Backup der Datenbank ist nervenschonend.

Und noch was Wichtiges kam gerade auf dem anderen Kanal: Matt Mullenweg hatte neulich Austern und Cobb Salad.

25. April 2008, 22:47 − Abgelegt in

Kommentare

“Himmel! Wer immer noch einen Benutzer mit dem Namen “admin” in seinem Blog führt, ist eigentlich selber schuld… Viele Exploits laufen ins Leere, wenn unübliche Verhältnisse vorgefunden werden.”

Is klar ich bin ja auch der Fachmann für WP seit Geburt grummel, da baut jemand Mist und hat den Schuldigen gefunden? Jetzt wo ich es weiß, werde ich es auch ändern.
Gruß

Markus · 26. April 2008, 02:43 · #

Viele der Sichheitsmassnahmen die man bei blogsecurity oder bueltge.de nachlesen kann, könnten genauso sehr Teil der Installationsroutine sein.
Der erste User könnte auch direkt von Admin in einen frei wählbaren User geändert werden, die ID des Users direkt geändert werden etc..

Natürlich hat der User der eine Installation auf seinem Server/Domain vornimmt genauso sehr Verantwortung die Installation sicher zu machen und up to date zu halten.
Aber Wordpress richtet sich nicht nur Experten, sondern auch an Leute die einfach nur bloggen wollen, nicht zuletzt deswegen wird auch von der 5 Minuten Installation gesprochen. Insofern liegt der Ball eher bei Automatic einen Weg zu finden, die bekannten Sicherheitsmassnahmen zum Teil der Grundinstallation zu machen.

André Wegner · 26. April 2008, 11:03 · #

André, du hast vollkommen recht bezüglich Automattic.

Wenn man bedenkt, dass WordPress vermutlich das unter “Amateuren” am weitesten verbreitete CMS der Welt ist, hat Automattic eine riesige Verantwortung, auch in Sachen Reputation des eigenen Produkts als Argument für die Geldgeber.

Andere Systeme wie etwa Expression Engine oder Textpattern sind zwar auch dann und wann verwundbar, aber doch eher in den Händen von Benutzern, die sich aktiver um die Software hinter ihrer Websites kümmern (unterstelle ich mal so).

Um so verwunderlicher ist, dass der jetzt aufgetauchte Exploit wieder wie schon so oft über die unvollständige Prüfung des Login-Cookies läuft und dass eben die von dir genannten Maßnahmen wie die freie Wahl des Administratoraccounts gleich bei der Installation nicht von vornherein eingesetzt werden.

Dazu passt sehr schön, dass der neue Generator für den SECRET_KEY, den WordPress als Reaktion auf diese Sicherheitslücke anbietet, auch nicht fehlerfrei funktioniert.

Robert Wetzlmayr · 26. April 2008, 11:45 · #

Kommentarfunktion für diesen Artikel geschlossen.