Daily Archives: 7. September 2009

WordPress Versionsnummer fälschen und updaten

Ältere WordPress-Versionen Ziel von Angriffen” (blog.wordpress-deutschland.org)

Daher sei gesagt: Nur die aktuellste Version von WordPress ist die sicherste!

Das liest sich wie: “Das beste Windows aller Zeiten.” :O)

In meinem Blog konnte ich bisher keinen Angriff auf die Lücken der WP-Versionen vor 2.8.4 feststellen. Was wohl daran liegen mag, dass mein Blog eher unbedeutend und unbekannt ist, aber evtl. auch damit zusammenhängt, dass man bei mir nicht sehen kann welche Version hier aktuell läuft.

In “WordPress für C64” hatte ich bereits darüber geschrieben wie man die Ausgabe der Versionsnummer ändert.


Ich behaupte mal: Die Ausgabe der Versionsnummer einer Software zieht Angreifer an.

Wenn bekannt wird das in der Version 0.8.1.5 einer Software eine Lücke steckt, dann werden natürlich alle Scriptkiddies dieser Welt genau nach dieser Version suchen. Da ist es dann sehr dumm, wenn die Software die Versionsnummer ausplaudert und diese, wie bei CMS, Foren, Blogs, etc. üblich, auch über Suchmaschinen auffindbar ist.


Gestern meinte jemand in einem Kommentar auf meinen vorletzten Eintrag:

Ich warte sehnsüchtig auf eine kostenpflichtige WordPress-Version, die wirklich sicher ist.

Also, wirklich sichere Software gibt es nicht. Es gibt nur Software, bei der bisher keine Lücke bekannt geworden ist und nur deshalb als sicher gilt, was aber nicht ausschließt, dass unbekannte Lücken bereits ausgenutzt werden.

Warum findet man in einem Script, welches Downloads ermöglichen soll, folgendes?
Select Case strFileType
(...)
Case ".asp"
ContentType = "text/asp"
(...)
End Select

Und warum kann man auch noch den Pfad auf alle Verzeichnisse ändern, bis hoch zum Root?

Nicht weil jemand für seine Arbeit kein Geld bekommt, sondern weil er sein mitgeliefertes Hirn nicht benutzt hat.

Man soll es kaum glauben, aber auch in Software die 20.000 € und mehr kostet, findet man genau solche Lücken. Also kann man nicht davon ausgehen, dass die Sicherheit einer Software davon abhängig ist, wie viel oder ob sie etwas kostet.


Was für das Betriebssystem gilt gilt auch für die Blogsoftware – immer auf den neuesten Stand halten und updaten.