SemperTiro hat gerade über Twitter auf einen Beitrag in Caschys Blog hingewiesen. Dieser berichtet über eine schwerwiegende Sicherheitslücke im aktuellen WordPress Update 2.8.3, mit dem das Passwort des Administrators erschreckend einfach zurück gesetzt werden kann.
Der Fehler steckt in Zeile 190 der wp-login.php. Hier müsst Ihr den Ausdruck if ( empty( $key ) ) mit if ( empty( $key ) || is_array( $key )) ersetzen, um wieder ruhig schlafen zu können. Das geht mit ganz fix und ohne Probleme mit dem Windows Editor. Also nehmt Euch unbedingt die 2 Minuten Zeit dafür.
Fragt sich nur, was bei den Entwicklern von WordPress gerade so schief läuft. Mein Vertrauen in Version 2.8 sinkt auf jeden Fall immer weiter.
| Tweet |
{ 2 comments… read them below or add one }
Die ganzen Sicherheitslücken von Wordpress bekräftigen immer mehr meine Entscheidung, die ich damals getroffen habe. Habe eine Zeit lang überlegt, ob ich mir einen Wordpress-Blog hole, oder zu Blogspot gehe. Meine Entscheidung war anscheinend richtig
Der Bug wurde mittlerweile mit dem Update auf WP 2.8.4 behoben.