Die dringende WordPress-Warnung des Tages: Jede WordPress-Version vor 2.8.4 kann von einem Cracker übernommen werden, wenn Benutzerregistrierungen möglich sind. Ich habe mal eben versucht, den Hack aus den Infos nachzuvollziehen, und es ist ein Kinderspiel. Wer eine ältere WordPress-Version hat, sollte jetzt entweder sofort die aktuelle Version aufspielen oder aber die Möglichkeit zur Benutzer-Registrierung abschalten. Das Problem betrifft auch WordPress-Blogs mit einem integrierten bbPress-Forum, da dann die Benutzerregistrierung über das Forum ermöglicht wird. Ehrlich gesagt bin ich froh, dass ich in den letzten Tagen eine allgemeine Upgrade-Kampagne über fast alle von mir verantworteten Blogs gefahren habe, denn sonst hätte ich jetzt viel zu schwitzen.
Schlagwort Security RSS
-
Nachtwächter
-
Nachtwächter
Gute Nachricht des Tages: Der Sicherheitsupdate auf WP 2.8.4 ist problemlos durchgelaufen, obwohl ich wegen der Schwere des Sicherheitsloches die englische Version genommen habe. Natürlich gab es keine großen Textänderungen, und die Sprachdatei arbeitet auch noch gut für die neue Version. Also: Nicht lange warten, sondern Werkzeuge / Autoupdate und los gehts. Den Exploit für dieses Sicherheitsloch kann nämlich jeder Achtjährige vorm Einschlafen in fünf Minuten runtertippen.
-
Nachtwächter
Der WordPress-Bug des Tages: Einfach mal den Blogger aus seinem eigenen Blog aussperren, indem man ihn das Passwort ändert. Gut, der kriegt das neue Passwort per Mail, aber wenn er aus bestimmten Gründen keine aktive Mailadresse in einer auf einem Webserver zugänglichen Datenbank ablegen mag, denn kriegt er es eben nicht. Und ist ausgesperrt. Ein Tipp, wie das Problem mit ganz heißer Nadel geflickt werden kann, findet sich auch im verlinkten Text – denn eine gefixte WP-Version gibt es noch nicht. Wenn sie rauskommt, unbedingt updaten!
-
Nachtwächter
Der aktuelle Sicherheits-Update auf WP 2.8.3 ist ohne Probleme verlaufen. Schade, dass WP immer so viele Schmerzen macht…
-
Nachtwächter
Ach, wie oft höre ich das von den Fans! Äppel ist ja so viel sicherer als alle Wintel-Dinger, da passiert ja gar nix. Keine Viren und ähnlicher Kram. Tja, was Wunders, wenn man schon die Tastaturen ohne große Probleme zum Keylogger machen kann…
-
Nachtwächter
Fail des Tages ist die kritische Sicherheitslücke in der aktuellen WordPress-Version 2.8.2 (und einigen älteren Versionen ab 2.7.x), die das gesamte Berechtigungssystem ad absurdum führt. Wer ein WP-Blog hat, in dem sich Benutzer registrieren können und dabei die aktuelle Version nutzt, sollte unbedingt die Registrierung abschalten, bis ein Bugfix verfügbar ist. Denn muss es eben mal für ein paar Stunden ohne gehen. Ich schätze, dass WP 2.8.3 noch heute oder spätestens morgen kommen wird. Und bitte nicht vergessen, einmal nachzuschauen, ob sich in den letzten Stunden ein paar User neu angemeldet haben, die diese Funktion möglicherweise zum Cracken benutzen wollen. Ein regelmäßiges Backup des Blogs und der Datenbank ist ja sowieso Pflicht.
-
Nachtwächter
Wutsch, und da haben schon wieder die Internet-Verbrecher eine halbe Million neue Kreditkartennummern für ihre Betrügereien. Man sollte schon wissen, dass solche Daten nicht allzu leichtfertig irgendwo eingegeben werden sollen, wenn man das Internet nutzt – selbst bei großen Anbietern wie »Network Solutions« kann es mal so richtig schief gehen. Und die Kreativität der Kriminellen, an derart leckere Daten zu kommen, ist nahezu unendlich, da kommt letztlich doch der gewiefeste Admin nicht mit. Ganz im Gegenteil, so ein Hack läuft da monatelang unbemerkt durch und liefert alles an die Verbrecher aus.
-
Nachtwächter
Security-Bullshit des Tages: Wir lassen ein anonymes P2P-Netz einfach im Browser laufen, so müssen sich die Leute keine Software installieren und konfigurieren und das ganze Ding ist deshalb viel sicherer. Denn so ein durch überquellende Funktion geradezu nach Weltherrschaft strebender Browser hat ja niemals irgendwelche Sicherheitsprobleme…
-
Nachtwächter
Internet-Explorer des Tages: Seite angeschaut, geowned – Leute, nehmt doch bitte einfach einen anderen Browser.
-
Nachtwächter
WordPress-Crackereien ohne Ende. Diesmal gehen die kriminellen Cracker nicht so vor, dass sie das Blog sichtbar übernehmen, sondern sie leiten nur die Google-Suchergebnisse auf ihre kriminellen Spamseiten um. Aber die tolle Empfehlung, dass man doch einfach die aktuelle WP-Version nehmen soll, um etwas sicherer zu bloggen, ist für mich (und wohl auch viele andere Menschen) wertlos, da die aktuelle WP-Version nach den zu einigen Browsern inkompatiblen GUI-Strokeleien zurzeit unbenutzbar ist. Wo ich gerade am Abjauchen bin: Warum zum schwefelkackenden Höllenhund ist es eigentlich möglich, dass ein »Plugin« in einem Verzeichnis liegen darf, dass auch bei restriktivster Vergabe von Dateirechten auf dem Webserver schreibar sein muss? Das sieht ganz schön verkackt aus. Wenn die WP-Entwickler nicht bald damit anfangen, ihre Versionen nicht mehr nach einem absurden Zeitplan zu veröffentlichen, sondern erst dann, wenn sie wirklich fertig sind, denn mache ich doch noch meinen eigenen Fork von der 2.3.x, auch wenn es außer mir keinen Menschen interessiert und wenn niemand daran mitarbeitet. Der gegenwärtige Zustand ist jedenfalls unerträglich.
-
Nachtwächter
Es war ja irgendwie klar. RFID war nur eine frühe Technik, und jetzt ist etwas »Besseres« und »Sichereres« entwickelt worden. Und jetzt wird es den Menschen schmackhaft gemacht. Mal schauen, wann man bei seiner Bank nicht mehr an sein Geld kommt, ohne so ein Ding bei sich zu tragen. Und mal schauen, wann es als Implantat angeboten wird, damit man es auch wirklich immer bei sich hat.
-
Nachtwächter
Au weia, da haben mir alle WordPress-Entwickler in ihren Blogs gesagt, dass man aus Sicherheitsgründen unbedingt auf WordPress 2.5 updaten soll, obwohl die selbst keine Ahnung hatten, auf welche Weise die ganzen Blogs gehäckt wurden. Und was ist nun mit 2.5 gewesen? Da war ein ordentliches Scheunentor neu eingebaut worden. Gut, dass der Rest von dieser Strokelversion so unbrauchbar war, dass ich den Update gescheut habe. Aber wenn die Entwickler so weitermachen, dass sie ihre Anwender einfach nur verscheißern wollen, denn ist WordPress demnächst einen weiteren Blogger losgeworden. Ihr seid nicht so unentbehrlich, wie ihr zu denken scheint!