Im niegelnagelneuen WordPress 2.2 wurde eine neue Sicherheitslücke entdeckt: per SQL Injection ist es möglich, die Tabelle wp_users auszulesen, wenn der Angreifer einen gültigen Useraccount für das Blog besitzt. Der Fehler sitzt in der Datei xmlrpc.php.

Nun habe ich ja bereits vor einiger Zeit die Benutzerregistrierung auf meinem Blog deaktiviert, insofern ist nicht damit zu rechnen, dass jemand über einen gültigen Account verfügt. Dennoch macht es Sinn, den verfügbaren Workaround zu nutzen, um das Loch zu stopfen. Da noch kein Patch existiert, muss selbst Hand angelegt werden. Dazu wird die Datei xmlrpc.php (liegt direkt im Hauptverzeichnis Eures Blogs) mit einem Texteditor geöffnet und um die Zeile 541 herum (in der Funktion wp_suggestCategories) der folgende Code-Block gesucht:


$blog_id = (int) $args[0];
$username = $args[1];
$password = $args[2];
$category = $args[3];
$max_results = $args[4];

Die letzte Zeile ändert ihr nun um in

$max_results = (int) $args[4];

Speichern, wieder auf den Server laden und das Problem sollte beseitigt sein.

via Clazh und BloggingTom

In den letzten Tagen landen hier immer mehr Kommentare erst mal auf der Spamliste. Ich kann nicht nachvollziehen, aus welchem Grund Akismet diese Kommentare aussortiert. Selbst wenn sie keinerlei Links enthalten (also selbst wenn das Feld „Webseite“ im Formular nicht ausgefüllt wurde), werden sie als Spam deklariert.

Ich habe den Eindruck, dass das seit meinem Upgrade auf WordPress 2.2 passiert. Mit Gewissheit kann ich es nicht sagen, aber ich bin relativ sicher. Aktuell wird in etwa jeder 3. Kommentar falsch klassifiziert, das ist bei dem aktuellen Kommentaraufkommen durchaus zu verschmerzen. Allerdings darf ich nicht versäumen, nun regelmäßig nachzuschauen. Also bitte nicht wundern, wenn ein Kommentar von Euch nicht sofort zu sehen sein sollte.

Ist dieser Effekt auch schon anderen aufgefallen? Falls nicht, dann könnte ich es vielleicht auf irgendeine Plugin-Konstellation zurückführen, irgendwelche Unverträglichkeiten unter WP2.2. Aber im Augenblick hab ich da keinerlei Anhaltspunkte…

Update 22.5.2007: Download link fixed. If you downloaded the file already, please try again. Made a mistake, sorry for that.

Please scroll down for english content.

Nun ist es soweit, mein (Not so) fresh Theme liegt in der Version 1.2 vor.
Wichtigste Änderung: Das Theme ist nun vollkommen WordPress 2.1+ kompatibel. Es müssen keinerlei Apassungen mehr vorgenommen werden, um es unter WordPress 2.1x oder WordPress 2.2 zu nutzen.

Die Änderungen im Detail:

• Breiteres Hintergrundbild (war zu schmal und dadurch waren bei höheren Auflösungen rechts und links hässliche Streifen)
• Kategorien nach Name sortiert
• Blogrolle aus den Kategorien entfernt (erscheint dort ab WP2.1x)
• „feed:“ aus den URLs für die Feeds entfernt
• Anpassung der Blogroll, damit unter WP2.2 nicht das Ranking angezeigt wird und das Layout versaut
• Unterstützung von Widgets. Ich mag sie überhaupt nicht, aber wer sie einsetzen will, kann das nun.

Achtung: Wenn Du das Theme bereits einsetzt und Änderungen vorgenommen hast, dann müssen diese neu eingearbeitet werden!

Download (Not so) fresh 1.2 deutsch
Download (Not so) fresh 1.2 english
Download (Not so) fresh 1.2 espanol

english:

(Not so) fresh ist now ready for WordPress 2.1+. You don’t have to do some modifications anymore to use this theme with WordPress 2.1x or WordPress 2.2.

Here are the changes:

• wider background picture. The old one was to small for higher screen resolutions
• Categories will be sorted by name
• Blogroll removed from categories (was shown since WP2.1)
• „feed:“ removed from feed-URLs
• changed the call for blogroll to not show ranking value
• sidebar is now widget-ready. If you want to use this, i really don’t like widgets…

If you are allready using this theme and made some modifications, you have to do them again!

Update: New version is available! 

Scroll down for english description

Nachdem ich diesen Beitrag eines Kollegen gelesen habe, hab ich nun doch vorzeitig auf WordPress 2.2 umgestellt, um die Lösung für das klitzekleine optische Problem zu finden. Zur Information: In der Blogroll wird in der letzten Version des (Not so) Fresh-Themes unter jedem Link eine 0 angezeigt.

Die Lösung des Rätsels ist: Beim Aufruf von get_links ist die Anzeige des Ratings aktiviert. Warum sich das bislang noch nicht bemerkbar machte weiß ich auch nicht, offenbar wurde das Ranking noch nie ausgegeben und es funktioniert erst mit 2.2 sauber, keine Ahnung. Die „Reperatur“ ist jedoch recht schnell erledigt.

Suche in der Datei bottom.php die folgende Zeile:
<?php get_links('-1', '<li>', '</li>', '<br />', FALSE, 'rand', FALSE, TRUE, 10, TRUE); ?>

und ändere sie um in:
<?php get_links('-1', '<li>', '</li>', '<br />', FALSE, 'rand', FALSE, FALSE, 10, TRUE); ?>

Speichern, Datei wieder auf den Server laden und fertig.
Nochmal im Detail: den Wert TRUE vor der 10 ändern in FALSE. Das wars.

In english:

If you use my theme (Not so) Fresh with WordPress 2.2 you have to make one simple modification. Blogroll looks not so nice because of a 0 after every link. This is the ranking for the links in your Blogroll, i have never seen this before, maybe there was a bug in previous versions of WordPress.

To fix this open bottom.php in a text editor and find the following line:
<?php get_links('-1', '<li>', '</li>', '<br />', FALSE, 'rand', FALSE, TRUE, 10, TRUE); ?>

and change to:
<?php get_links('-1', '<li>', '</li>', '<br />', FALSE, 'rand', FALSE, FALSE, 10, TRUE); ?>

In words: Change the parameter TRUE before the 10 to FALSE. Save and upload again, that’s all.