Neuer Exploit in WordPress 2.8.x
Via Caschy bin ich gerade auf eine schwere Sicherheitslücke beim Blog-CSS WordPress aufmerksam geworden. Mittels dieser Sicherheitslücke lässt sich ein sogenannter Admin password reset exploit ausführen, mit dem - die englische Bezeichnung sagt es schon -man das Passwort des Administrators zurücksetzen kann. Das heißt nicht, dass der Admin für ewig ausgeschlossen ist. Hat man eine gültige Emailadresse im Profil angegeben, kann man sich ein neues zuschicken lassen. Andernfalls muss man den aufwändigeren Weg über eine Datenbankwiederherstellung via Backup gehen oder bei der Datenbank selbst Hand anlegen.
Anleitung:
Navigiert auf eurem Server zur wp-login.php (in eurem WordPress-Verzeichnis) und sucht folgenden Eintrag: if ( empty( $key ) )
Habt ihr die Übersicht verloren, dann könnt ihr den Befehl ganz schnell mit der Suche (Strg+F) ausfindig machen.
Den gesamten Befehl ersetzt ihr nun durch folgenden: if ( empty( $key ) || is_array( $key ))
Nun speichert ihr die wp-login.php und ladet sie hoch bzw. aktualisiert diese auf eurem Server.
Das wars auch schon 
[via]
Related posts:
Kategorien
Blogroll
- bueltge.de
- Caschys Blog
- Der Software Blog
- Guruspage
- infoblog.li
- Peruns Weblog
- techspread
- virtual-maxim
- zweipunktnull
Buttons
