Es gibt leider eine neue Schwachstelle in WordPress 2.8.x. So ist es möglich das Passwort des Admins zurückzusetzen. Man kann zwar die Lücke nur ausnutzen, wenn man auch den Zugriff auf das jeweilige E-Mail-Konto hat, aber das Passwort ist leider zurückgesetzt und der Admin erstmal ausgesperrt.
Bis es eine neue Version von WordPress gibt, soll angeblich folgende Änderung in der wp-login.php helfen. Gehe zu Zeile 190:
if ( empty( $key ) )
und ersetze den oberen durch folgenden Code:
if ( empty( $key ) || !is_string( $key ) )
Hier sollte man die Änderungem im Trac im Auge behalten, weil der erste Änderungsvorschlag der wp-login.php schon nicht mehr aktuell ist. Daher könnte es gut sein, dass auch die Änderung die ich oben vorgestellt habe bald überholt ist.
Weitere Infos bei Caschy und vor allem in den Kommentaren.
Wir arbeiten seit 20 Jahren mit WordPress und bieten diverse Dienstleistungen rund um das System an. Kontaktiere uns für weitere Informationen oder für ein Angebot.
Wer ist cachy? 😉
Ich kaufe ein “s” 😉
Ich denke zu diesem Fix gehört dann aber auch noch Changeset 18000-18004, wobei 18004 das endgültige Produkt ist. Dieser sollte eigentlich verteilt werden.
Gruß
[…] wieder ein gravierender Fehler in der Adminverwaltung gefunden wurde: Zwar kann das System nicht gekapert werden, doch zumindest ist ein Rücksetzen des Passworts möglich. Demzufolge ist davon auszugehen, dass […]
[…] ging ja schnell. Kaum wurde die Schwachstelle bekannt, gibt es schon heute ein Update. Somit handelt es sich bei WordPress 2.8.4 um einen reinen […]
[…] heute ist WordPress 2.8.4 erschienen, ein reines Sicherheitsupdate. Ursache und Auswirkung des Problems sind für mich aber zum Glück bedeutungslos – und wären es auch, wenn ich 2.8.x […]
Dazu hätte ich mal eine Frage, kommt zwar etwas spät aber mir geht es ums Verstehen.
Und was passiert, wenn ich nach der Installation dieses Account gelöscht hab, natürlich nachdem ich einen neuen Admin Account angelegt hab.
😉
Oder trifft das grundsätzlich auf den Account Admin zu ?
Wenn ja, sind dann auch Beutzer Accounts davon betroffen betroffen ?
MfG Ralph