Na Klasse, da werden gleich 7 neue Lücken auf einen Schlag in WordPress 2.2.1 entdeckt. Offizielle Abhilfe gibt es noch nicht, allerdings einen „friendly worm„, der diese Lücken ausnutzen und dabei schließen soll. Mit Hilfe einer Art von Setup-Routine wird der WordPress-Admin durch den Reparaturvorgang geleitet. Bei den gefundenen Sicherheitsproblemen handelt es sich übrigens wieder mal um XSS-Lücken sowie SQL Injection Vulnerabilities, die überwiegend als sehr kritisch zu sehen sind.

OK, ich bin definitiv zu paranoid, um den Fix auf diese Weise durchzuführen, aus diesem Grund vertraue ich doch eher der manuellen Methode, die Frank Bueltge in seinem Blog beschreibt. 5 Minuten Aufwand, die man auf jeden Fall opfern sollte.

Sven Kubiaks Blog wurde vorgestern Opfer eines Defacements. In seinem Beitrag beschreibt er recht detailliert die Ursachen und die Auswirkungen dieser Attacke und kommt zu einem wichtigen Schluss: Es ist enorm wichtig, regelmäßig Updates der installierten WordPress-Version sowie auch aller genutzten Plugins einzuspielen.

Die Lücke, über die es den Angreifern gelungen ist, das Defacement auszuführen, saß im Plugin MyGallery. Diese Lücke war durchaus nicht unbekannt, Sven hatte lediglich versäumt, die Updates einzuspielen.

Natürlich ist es zeitweise etwas nervig, permanent zu überprüfen, welche Updates verfügbar sind, welche Sicherheitslöcher in der eingesetzten Software bekannt wurden und hier dann regelmäßig Hand anzulegen, um das Blog, den Shop oder die WebSite so sicher wie möglich zu halten. Die Klagen über die häufigen WordPress-Updates sind ja kaum zu überhören. Aber jeder Webmaster/Blogger sollte sich des Risikos bewusst sein, im Ernstfall alle Arbeit zu verlieren, die man in die Gestaltung und die Inhalte gesteckt hat. Sind dann nicht einmal Backups vorhanden, kann so etwas unter Umständen die Existenz bedrohen, wenn beispielsweise der WebShop betroffen ist, auf Basis dessen vielleicht das eigene Unternehmen Geld verdient.

Sven hat Glück gehabt, es wurde augenscheinlich lediglich ein Defacement durchgeführt, die Datenbanken scheinen nicht betroffen zu sein. Es hätte aber auch ganz anders laufen können.

Eine regelmäßig aktualisierte Liste bekannter Sicherheitslücken in WordPress und Plugins findet ihr im übrigen bei BlogSecurity. Sollte m.E. in keinem Feedreader fehlen.

Gerade eben gesehen: Ein neues Bugfix Release für WordPress 2.2 wurde veröffentlicht, aktuelle Version also nun 2.2.1. Es wird dringend empfohlen, diese Version zu installieren, beinhaltet sie doch einige Security-Fixes. Also recht zügig den Update-Prozess anwerfen.

Details zu den behobenen Fehlern und gestopften Sicherheitslücken sind wie immer im offiziellen WordPress-Blog zu finden.

Update: Inzwischen ist auch die deutsche Version erschienen, zudem gibt es ein (wesentlich kleineres) Update-Paket für das deutsche WordPress 2.2.

So oder ähnlich könnte man manche Artikel überschreiben, die sich mit möglichen Sicherheitslecks in WordPress 2.2 befassen.

Da findet man Beiträge auf anderen Blogs, die diffus von bösen Hacks für WordPress 2.2 berichten, die in „bestimmten Kreisen die Runde machen“, ohne dass Details genannt werden. Unsicherheit wird erzeugt, man wartet „wann die ersten bekannten großen Blogs Opfer sein werden“ oder ob doch noch rechtzeitig ein Patch erscheint. Zugleich wird vollmundig angekündigt, in einem der nächsten Beiträge ein paar Empfehlungen auszusprechen, wie man sich vor den Gefahren dieses Lecks schützen könne.

Warum nicht sofort? Was bringt eine Sicherheitswarnung, und um eine solche soll es sich ja wohl handeln, wenn man nicht direkt eine Lösung mitliefern kann/will? Mehr als Verunsicherung erreicht man so nicht bei seinen Lesern. Kompetenz zeigt man auch nicht dadurch, dass man Details nicht veröffentlicht, um Script-Kiddies fern zu halten. Kompetenz zeigt man, wenn man eine Lösung präsentiert. Sonst läuft man Gefahr, nicht ernst genommen zu werden. Was auch ein Grund ist, weshalb ich den Beitrag nicht verlinke. Anderenfalls hätte ich es sofort getan. Im Augenblick bin ich mir jedoch nicht sicher, wie viel Substanz tatsächlich hinter dieser Meldung steckt.