Sven Kubiaks Blog wurde vorgestern Opfer eines Defacements. In seinem Beitrag beschreibt er recht detailliert die Ursachen und die Auswirkungen dieser Attacke und kommt zu einem wichtigen Schluss: Es ist enorm wichtig, regelmäßig Updates der installierten WordPress-Version sowie auch aller genutzten Plugins einzuspielen.

Die Lücke, über die es den Angreifern gelungen ist, das Defacement auszuführen, saß im Plugin MyGallery. Diese Lücke war durchaus nicht unbekannt, Sven hatte lediglich versäumt, die Updates einzuspielen.

Natürlich ist es zeitweise etwas nervig, permanent zu überprüfen, welche Updates verfügbar sind, welche Sicherheitslöcher in der eingesetzten Software bekannt wurden und hier dann regelmäßig Hand anzulegen, um das Blog, den Shop oder die WebSite so sicher wie möglich zu halten. Die Klagen über die häufigen WordPress-Updates sind ja kaum zu überhören. Aber jeder Webmaster/Blogger sollte sich des Risikos bewusst sein, im Ernstfall alle Arbeit zu verlieren, die man in die Gestaltung und die Inhalte gesteckt hat. Sind dann nicht einmal Backups vorhanden, kann so etwas unter Umständen die Existenz bedrohen, wenn beispielsweise der WebShop betroffen ist, auf Basis dessen vielleicht das eigene Unternehmen Geld verdient.

Sven hat Glück gehabt, es wurde augenscheinlich lediglich ein Defacement durchgeführt, die Datenbanken scheinen nicht betroffen zu sein. Es hätte aber auch ganz anders laufen können.

Eine regelmäßig aktualisierte Liste bekannter Sicherheitslücken in WordPress und Plugins findet ihr im übrigen bei BlogSecurity. Sollte m.E. in keinem Feedreader fehlen.

• Anzeige der eingehenden Links reparieren » BloggingTom
  Im WordPress-Adminbereich findet man auf der Startseite einen Überblick über die neuesten “Incoming Links”, welche via Technorati-Feed generiert werden. Seit einigen Tagen verändert sich diese Liste nicht mehr, hier ist die Lösung zur Reperatur.
  (tags: WordPress Technorati)

• PhotoWP WordPress Theme – Steven Campbell
  simple WordPress theme to help the photographers of the web put together a photoblog
  (tags: wordpress themes photoblog)

Gerade eben gesehen: Ein neues Bugfix Release für WordPress 2.2 wurde veröffentlicht, aktuelle Version also nun 2.2.1. Es wird dringend empfohlen, diese Version zu installieren, beinhaltet sie doch einige Security-Fixes. Also recht zügig den Update-Prozess anwerfen.

Details zu den behobenen Fehlern und gestopften Sicherheitslücken sind wie immer im offiziellen WordPress-Blog zu finden.

Update: Inzwischen ist auch die deutsche Version erschienen, zudem gibt es ein (wesentlich kleineres) Update-Paket für das deutsche WordPress 2.2.