Bei der Entwicklung von WordPress 2.9 sind den Entwicklern ein paar Fehler aufgefallen, die die Sicherheit von WordPress gefährden könnten . Diese wurden jetzt von der Entwickler-Version 2.9 zurück zur 2.8er Version portiert.
Die aktuell erschienene Version wird "Hardening Release" (Härtungs-Release) bezeichnet und schließt einige Sicherheitslücken. Zum Beispiel soll WordPress jetzt nicht mehr so empfindlich gegen DoS Angriffen sein. Des weiteren wurde PHP-Code entfernt der dazu führen kann, dass über eine Variable eingeschleuster PHP-Code mit der eval()-Funktion ausgeführt wird.
Bis jetzt konnten Admins Dateien von jedem Type hochladen. Ab sofort ist dies jedoch nicht mehr möglich. Sie unterliegen bei Datei-Uploads genau den gleichen Privilegien wie andere Benutzer. Dadurch soll verhindert werden, dass über einen geknackten Admin-Zugang gefährliche Dateien hoch geladen werden können.
Des weiteren weisen die Entwickler auf das Plugin "WordPress Exploit Scanner" hin. Mit diesem kann eine aktuelle Wordpress-Installation nach eventuellem Schadcode durchsucht werden. Dabei werden Dateien und die Datenbank gescannt. Es ist jedoch nicht möglich einen direkten Angriff damit aufzuspüren.
Links:
- Webseite: WordPress.org (englisch)
- Webseite: Deutsche Seiten von WordPress.org (deutsch)
- Plugin: WordPress Exploit Scanner (englisch)
- WordPress.org: WordPress 2.8.5 Release Notes (englisch)