PhHosting

Seit dem 23. Oktober steht WordPress 2.6.3 zum Download bereit. Mit dieser Version wird eine Sicherheitslücke eines verwendeten Fremdpaketes behoben, welche es unter Umständen ermöglicht, beliebigen Shellcode mit den Rechten des aktuellen Prozesses, in diesem Fall Apache oder PHP, auszuführen. Auch wenn die WordPress Entwickler das Risiko für ihre Anwendung als gering empfinden, haben wir uns dazu entschlossen für alle vorhandenen WordPress Versionen das minimalistische Update, bestehend aus den Dateien wp-includes/version.php und wp-includes/class-snoopy.php, einzuspielen, um keine unnötigen Risiken einzugehen. Es ist uns nicht bekannt, inwieweit die komplette Version 2.6.3 zusätzliche Bugfixes enthält, jedoch sahen wir Aufgrund der recht kurzfristigen Veröffentlichung ein minimales Update als beste Lösung für ein optimal funktionierendes WordPress an.
Bei Fragen und Problemen stehen wir Ihnen wie immer gerne zur Seite.

Mit der aktuellen WordPress Version des Zweiges 2.6, wird ein Sicherheitsrisiko geschlossen. Bei diesem ist es möglich, mittels Registration eines speziell präparierten Benutzernamens, dass WordPress das Passwort des angegriffenen Benutzers zurücksetzt. Durch eine weitere Schwäche ist es jedoch wesentlich einfacher als gewünscht das neu gesetzte Passwort herauszufinden. Ein Angreifer kann dadurch die Kontrolle über den Blog erlangen, jedoch ist der Angriff trotz allem recht aufwendig vorzunehmen.

Im Detail:Durch eine Schwäche innerhalb von MySQL mit Standard Einstellungen werden längenbegrenzte Felder bei Überlänge einfach abgeschnitten und danach nicht binär, sondern mit weniger strengen Regeln verglichen, bei diesen werden endständige Leerzeichen einfach entfernt. Wenn nun ein neuer Benutzer mit dem Namen admin[55xLeerzeichen]x registriert wird, ist dieser Name ein Zeichen zu lang für das Namensfeld, das letzte Zeichen wird abgeschnitten, die Leerzeichen ignoriert und einfach das Passwort von admin zurückgesetzt. Durch die zusätzlich vorhandene schwache Generation von Zufallszahlen ist es dann möglich das neue Passwort mit kleinerem bis geringen Aufwand zu erlangen. Dieses MySQL Problem könnte bei weitem schwerer wiegen und sofort ausnutzbar sein, sobald das Namensfeld nicht als einmalig(unique) deklariert ist und je nach Programmierung der Webanwendung wäre es sogar ohne weiteres möglich sich in den admin Account einzuloggen. Da wir das nicht ausschließen können, empfehlen wir Ihnen bei bedenken über die Sicherheit Ihrer Software beim Hersteller nachzufragen, in wieweit das Produkt davon betroffen ist. Wer gerne noch mehr Hintergrund Informationen zu den Sicherheitslücken erfahren möchte, kann dies auf der Seite des Autors tun, allerdings sind die Artikel in Englisch.

• Stefan Esser:MySQL and SQL Column Truncation Vulnerabilities
• Stefan Esser:mt_srand and not so random numbers

Neben der Behebung dieser Sicherheitsprobleme wurden auch einige weitere Bugs in dieser Version von WordPress behoben darunter befinden sich:

• Ein Fehler bei dem Import von Textpattern Einträgen, wurde behoben
• Es ist jetzt möglich das Plugins bei Dem Login Redirect auf gesonderte Seiten weiterleiten, je nach Benutzer
• und einige andere

Aufgrund Sicherheitsprobleme, welche mit der Version 2.6.2 behoben werden, und dem Fakt das diese auch in älteren WordPress Versionen bestehen, raten wir dringend dazu ein Update auf diese Version vorzunehmen. Auch wenn keine Registrationen erlaubt sein sollten auf Ihrer Website, raten wir Ihnen zu dem Update, da es einige Berichte gibt wonach obwohl deaktiviert, neue Benutzer angelegt wurden von Fremden. Der Download kann von wie gewohnt von der offiziellen Website vorgenommen werden.

Mit der WordPress Version 2.6 halten viele neue Funktionen und Bedienungsverbesserungen Einzug in WordPress.
Besonders hervorhebenswert ist ein Versionierungssystem, welches es ermöglicht frühere Versionen eines Artikels zu betrachten, mit anderen Versionen zu vergleichen und gegebenenfalls sogar wiederherzustellen. Damit sind Missgeschicke wie aus versehen gelöschter Text in Zukunft kein Problem mehr. Bilder können jetzt ganz einfach aus WordPress heraus mit einem Untertitel bestückt werden. Templates können nun mittels einer Vorschau direkt im Blog betrachtet werden und bei gefallen gleich übernommen werden.
Um Ihren Blog zu beschleunigen, haben Sie jetzt die Möglichkeit viele der benötigten Dateien wie Bilder, CSS & JavaScript Dateien herunterzuladen, dadurch wird die ständige Übertragung dieser eingespart und Ihre Seite wird schneller.
Zusätzlich zu diesen doch recht großen Veränderungen gibt es noch einige kleine welche das Leben erleichtern, so sehen Sie jetzt beim Artikelverfassen wie viele Wörter bereits geschrieben wurden. Zusätzlich ist es jetzt möglich mehrere Checkboxen, z.B. bei den Plugins wie gewohnt zu selektieren, mit dem von PC bekannten Kommandos.

Die übliche Empfehlung, dass Sie mit Updaten warten sollten, entfällt diesmal da bereits ein erstes Update für WordPress 2.6 zur Verfügung steht. Nachfolgend ein kleiner Auszug aus dem Changelog der Version 2.6.1:

• 404 HTTP Fehler bei Seiten mit /index.php/%postname%/
• Behebung eines Fehlers für Schriften von Rechts nach Links in IE
• Bei den Versionen wird unter Umständen der falsche Benutzer angezeigt
• einige Schreibfehler wurden behoben(Englische Version)
• etliche andere Fehler wurden behoben

Der Download kann wie gewohnt von der offizielen Downloadseite bezogen werden.

Seit gestern steht WordPress 2.5.1 zum Download bereit, die Entwickler raten allen Benutzern dringend das Update von 2.5 auf 2.5.1 so schnell wie möglich auszuführen, vor allem für Blogs mit freier Registrierung. Grund dafür sind 2 Sicherheitslücken innerhalb von WP 2.5, einer bisher nicht näher beschriebenen Sicherheitslücke und einer XSS Lücke, neben diesen beiden Lücken wurden über 70 weitere Bugs geschlossen. Für all diejenigen welche bloß die Sicherheitslücken schließen wollen, reicht es aus diese drei Dateien zu überschreiben:

• wp-includes/pluggable.php,
• wp-admin/includes/media.php,
• wp-admin/media.php

Alle anderen Benutzer sollten das vollständige Update durchführen. Da viele Performance- und Steuerungsverbesserungen Einzug halten in WP 2.5.1.

Der Download erfolgt wie gewohnt von der WP Seite, den original Eintrag finden Sie hier in englischer Sprache.

Schlussendlich noch ein Nachtrag zu den Sekret-Key Problem auf Grund des voreingestellten Keys und der damit verbunden Berechenbarkeit des Salts und einhergehend damit der manipulierbaren Cookies:
Von offizieller Seite wird jetzt eine Seite angeboten welche dem Besucher einen einmaligen nicht trivialen Key generiert und somit das Problem der berechenbaren Verschlüsselung verhindert.

Wie bereits vor wenigen Tagen bereits angedeutet, gibt es tatsächlich innerhalb der neuesten WordPress Version ein Sicherheitsproblem. Der mit WordPress 2.5 eingeführte Secret_Key(geheime Schlüssel) ist per se gar nicht so geheim wie er sein sollte. Wenn dieser nicht nach der Installation innerhalb der wp-config.php Datei im WordPress Hautpverzeichnis geändert wird, ist es immer ‘put your unique phrase here’. Dadurch ist es dann möglich das Salt in der Hash-generierung zu erhalten und somit die Verschlüsselung zu knacken. Folgend ist ein Angreifen dann in der Lage gefälschte Cookies für jeden beliebigen Benutzer Account zu fälschen und zu benutzen.

Wir raten daher dringend entsprechende Veränderungen in Ihrer WordPress Installation vorzunehmen, um die größtmögliche Sicherheit zu gewähren.

Seit dem 29. März steht WordPress 2.5 zum Download bereit. Folgend einige der interessantesten Neuerungen im Überblick.
Auch im Backend ist es nun Möglich per Themes sein ganz eigenen Stil zu entfalten und seine Produktivität durch eine für sich optimale Anordnung der Elemente zu steigern. So ist das Dashboard( in der deutschen Version Tellerrand) nun modular durch Widgets aufgebaut und kann als solches nun vielmehr modifiziert werden als in früheren Versionen. Mit der Version 2.5 hält auch der Mehrdateiupload Einzug in WordPress, zusätzlich werden jetzt bei der Suche in WordPress nun auch Seiten und nicht mehr bloß Posts durchsucht.
Mit der Version 2.3 war es möglich das man eine Mitteilung auf der Plugin Hauptseite sah, wenn eines der verwendeten Plugins in einer neueren Version verfügbar war(solange es im offiziellen Plugin Verzeichnis gelistet ist), jetzt ist auch ein automatisches Update dieser möglich.
Im Bezug auf die Sicherheit des Blogs hat sich auch einiges getan, Passwörter werden nun gesalzen, dadurch wird es schwieriger aus erlangte Passwort Hashes zu dem entsprechenden Passwort zugelangen.
Zusätzlich werden die Cookies nun verschlüsselt, was den missbrauch dieser eindämmen/verhindern sollte.
Eine vollständige Übersicht gibt es auf der offiziellen WordPress Seite.

Jedoch gibt es auch erste Anzeichen für eine mögliche Sicherheitslücke innerhalb der Login-Seite von WordPress wie BlogSecurity berichtet.
Wer also auf der sicheren Seite bleiben will und keine der Neuerungen unbedingt benötigt sollte vielleicht auf das erste Update von WordPress 2.5 warten bevor er upgraded.

Wie zumeist üblich kommen erst einmal die schlechten Nachrichten zuerst:

Wie es scheint ist die aktuelle Version von WordPress 2.3.3, und höchstwahrscheinlich Versionen davor ebenso, angreifbar. Es gibt einige Bots welche WordPress Blogs auf bisher unbekannten Schwachstellen abklopfen und bei Erfolg ein neuen Ordner innerhalb von wp-content erstellen, welcher zumeist 1 genannt wird. In diesen befinden sich etliche HTML Dateien welche JavaScript Weiterleitungen zu bösartigen Webseiten enthalten, ferner soll es auch Seiten geben welche zum Phishing gedacht sind. Zusätzlich werden Spam Kommentare gepostet welche auf diese Seiten verweisen.
Wie eine Google Suche ergab sind bereits etliche Webseiten infiziert, es ist stärkstens davon abzuraten eine dieser Seiten zu besuchen.
Um zu prüfen ob Ihre Webseite infiziert ist, raten wir Ihnen per FTP Ihren wp-content Ordner auf verdächtigen Inhalt zu prüfen und diesen gegebenenfalls zu löschen.
Ein offizieller Fix für diese Lücke steht noch aus, jedoch soll es helfen die Cookie Daten umzubenennen. Dazu müssen Sie die wp-settings.php Datei im WordPress Hauptverzeichnis öffnen und folgende Zeilen suchen:

if ( !defined('USER_COOKIE') )
define('USER_COOKIE', 'wordpressuser_'. COOKIEHASH);
if ( !defined('PASS_COOKIE') )
define('PASS_COOKIE', 'wordpresspass_'. COOKIEHASH);
if ( !defined('TEST_COOKIE') )
define('TEST_COOKIE', 'wordpress_test_cookie');

und jeweils den hervorgehobenen Text verändern entweder durch Hinzufügen/Löschen von Zeichen oder beides, damit die Bots nicht mehr in der Lage sind die Cookie Daten zu erkennen. Zu beachten ist das mit jedem WordPress Update welches erscheint diese Veränderungen überschrieben und damit rückgängig gemacht werden, sofern Sie diese Datei überschreiben, und daher erneut vorzunehmen sind.
So könnte der Ausschnitt dann aussehen:

if ( !defined('USER_COOKIE') )
define('USER_COOKIE', 'wordpress3user34ad_ad'. COOKIEHASH);
if ( !defined('PASS_COOKIE') )
define('PASS_COOKIE', 'wordpadd3resspassa_fe2'. COOKIEHASH);
if ( !defined('TEST_COOKIE') )
define('TEST_COOKIE', 'wordpress60_tescokid');

Außerdem darf der String kein einfaches Anführungszeichen (‘) enthalten, idealerweise sollten Sie nur Buchstaben, Zahlen und _- verwenden.

Nun zu den guten Nachrichten. Seit gestern steht der zweite Release Candidate von WordPress 2.5 zur Verfügung, daher dürfte der nächste größere WordPress Release nicht mehr in großer ferne liegen. In der Version 2.5 wird das Augenmerk ganz auf einen verbesserten Workflow gelegt, man sieht nur was am meisten gebraucht wird, eher unwichtige Dinge werden ausgeblendet und werden bei Bedarf ausgeklappt. Auch das Backend an sich ist komplett überarbeitet und ist in Zukunft wie das Frontend mit Themes gestaltbar, dadurch dürfte es in kürzester Zeit diverse Themen geben, welchen Ihnen optisch als auch Anordnungsmäßig gefallen.

Vor wenigen Stunden wurde eine neue Version von WordPress veröffentlicht, 2.3.3. In dieser Version wird eine kritische Lücke innerhalb der xmlrpc.php Datei geschlossen. Durch diese war es dem Angreifer möglich mit einem präparierten XML-RPC Request alle Einträge eines jeden Benutzers eines Blogs zu bearbeiten, die einzige Voraussetzung dafür war das benutzen eines gültigen Blog Accounts.
Um diese Lücke zu schließen ist es ausreichend Ihre aktuelle Version dieser Datei, mit der neusten zu überschreiben.
In der Version 2.3.3 wurden auch noch einige weitere Fehler behoben, jedoch sind diese nicht Sicherheitskritisch. Für ein komplettes Update laden Sie sich hier die neuste Version von WordPress herunter und überspielen Sie damit Ihre alten WP Daten.

Ferner wurden in den letzten Tagen auch mehrere Sicherheitslücken für diverse WordPress Plugins veröffentlicht, zumeist handelt es sich um Remote SQL Injections welche es einem Angreifer ermöglichen alle registrierten Benutzer und deren Passwort-Hashes auszulesen. Danach ist es allerdings kein großes Problem, die Klartext Passwörter zu erhalten und sich somit dann auf der Seite einzuloggen.
Betroffen sind folgende Plugins:

dmsguestbook, st_newsletter, Wordspew, wp-footnotes, fGallery, WP-Cal, WP-Forum und WP-adserve.

Aktuell sind keine Updates für die Plugins Verfügbar, deswegen raten wir dazu die betroffenen Plugins bis zur Veröffentlichung von Fehler bereinigten Versionen zu deaktivieren und von Ihrem Webspace zu löschen.

Wir empfehlen Ihnen die Webseite BlogSecurity.net (engl.) in Ihre Feedliste auf zunehmen um ständig über aktuelle WordPress & WP Plugin Lücken informiert zu sein. Und somit Ihre Webseite sicherer zuhalten.