Was ich eben auf dem Server losgelassen habe, war ein find . -name timthumb.php, zum Glück ohne Ergebnisse. Warum? Na, weil gerade massenhaft WordPress-Blogs über eine Lücke in einigen Themes geowned werden. Also, WordPress-Nutzer, schaut doch auch mal nach!
Kommentare
Kommentieren
In der Archivversion kann nicht kommentiert werden.
tux. am 3.8.2011 um 02:56
Wir lernen: Wer blind Themes installiert, sieht womöglich alt aus.
Fertige Themes einzusetzen, ohne mal grob über den Code zu gucken, ist beinahe schon fahrlässig …
Nachtwächter am 3.8.2011 um 21:57
Das Schlimmste ist dabei wohl, dass es einem zurzeit in WP sehr leicht gemacht wird, ein Theme zu installieren, ohne dass man auch nur eine einzige Datei zu Gesicht bekommt. Und das Gleiche gilt für Plugins. Da kommt noch eine ganz große Welle. Es schauen sich zwar viele Augen an, was im offiziellen Repository zu haben ist, aber mit einem bisschen geschickter obfuscation kann man bestimmt Code so in PHP unterbringen, dass es nicht auf dem ersten Blick auffällt. (Also nicht ganz plump mit eval, fsockopen, fopen…)
Für Spammer und anderes Gesindel ist das ein lohnendes Ziel. Leider.