Noch einmal ein WordPress-Update… und das an einem Tag… ;O)

“Sicherheitsproblem mit dem default-Theme” (blog.wordpress-deutschland.org)

In dem Default-Theme steckt ein Bug, allerdings nur in der lokalisierten Version, also für alle die die deutschsprachige Version benutzen: “WordPress Default DE-Edition”

Wenn man das Theme benutzt und selber Änderungen im Quellcode der Sidebar vorgenommen hat, dann ist das einfache Ersetzen der sidebar.php nicht wirklich sinnvoll. ;O)

In Zeile 33 wurde das wp_specialchars() hinzugefügt. Die Zeilennummer ist natürlich nur die 33 wenn man davor nicht irgendetwas hinzugefügt oder gelöscht hat… ist ja klar, also einfach nach dem Inhalt suchen.

In Zeile 33 der ursprünglichen alten sidebar.php steht:
<p><?php printf(__('You have searched the <a href="%1$s/">%2$s</a> blog archives for <strong>&#8216;%3$s&#8217;</strong>. If you are unable to find anything in these search results, you can try one of these links.', 'kubrick'), get_bloginfo('url'), get_bloginfo('name'), get_search_query()); ?></p>

und in der gefixten Version:
<p><?php printf(__('You have searched the <a href="%1$s/">%2$s</a> blog archives for <strong>&#8216;%3$s&#8217;</strong>. If you are unable to find anything in these search results, you can try one of these links.', 'kubrick'), get_bloginfo('url'), get_bloginfo('name'), wp_specialchars(get_search_query(), true)); ?></p>

Das Austauschen dieser einen Zeile sollte das Problem beheben.

In meinem WordPress bekam ich heute im Backend mal wieder eine Meldung angezeigt, das ein Update zur Verfügung steht, von Version 2.6.2 zu 2.6.3. Aber bitte nicht auf WordPress und deren Entwickler einschlagen. Es geht um einen Bug in “Snoopy” (http://sourceforge.net), eine PHP-Klasse welche in WordPress Verwendung findet.

Den Download-Link zum Update findet man wie üblich im WordPress Deutschland Blog (blog.wordpress-deutschland.org). Das Update besteht nur aus zwei Dateien, die class-snoopy.php und die version.php, die jeweils in das wp-includes-Verzeichnis kopiert werden müssen.

Wenn man die Pflege seiner WP-Blogs richtig organisiert hat, dann ist das Update in wenigen Minuten erledigt, also bitte nicht meckern “Schon wieder ein Bug in WordPress!” sondern, erstmal sich und seine Arbeit effizient organisieren. :O)

Der Bug soll dazu führen das Zugriffe auf den Root-Server möglich sind. Unter welchen Umständen dies möglich wurde kann ich nicht sagen, da ich leider keine Beispiele dazu gefunden habe. Also weiß ich leider auch nicht worauf man in seinen Log-Files achten sollte, um zu prüfen ob jemand diesen Bug schon ausgenutzt hat. Ich behaupte jetzt mal, so aus dem Bauch, das ein Angriff nur möglich war, sofern auch der Server (bzw. der Hoster) etwas Mithilfe geleistet hat, in Form von unsicherer Server-Konfiguration.

Hier http://www.m-software.de/snoopy.php wird erklärt was Snoopy ist und wofür es gemacht wurde.