Word­Press – Aktu­el­les Update 4.2.1 schließt kri­ti­sche Lücke

WordPress

Inha­ber einer Word­Press-Instanz soll­ten sehr schnell auf die aktu­el­le Word­Press-Ver­si­on upda­ten, sofern man die auto­ma­ti­sche Aktua­li­sie­rung deak­ti­viert hat. Die bis­her vor­han­de­ne Sicher­heits­lü­cke erlaub­te es einem, mit­tels einem Kom­men­tar die kom­plet­ten admi­nis­tra­ti­ven Rech­te zu erlangen.

Kurz notiert: Soll­te jeman­den eine Word­Press-Instal­la­ti­on sein eigen nen­nen, soll­te unbe­dingt dar­auf ach­ten, dass man die aktu­ells­te Word­Press-Ver­si­on (4.2.1) besitzt. Wer die auto­ma­ti­sche Update-Funk­ti­on akti­viert gelas­sen hat­te in der Ver­gan­gen­heit, soll­te schon auf die aktu­ells­te Ver­si­on sein.

Wenn man, aus wel­chen Grün­den auch immer, nicht auf die aktu­ells­te Ver­si­on upda­ten kann, bei­spiels­wei­se weil man eine „WordPress-1-Click”-Installation hat, soll­te im Ide­al­fall bis dahin die Kom­men­tar-Funk­ti­on deaktivieren.

Die Sicher­heits­lü­cke wird mit­tels spe­zi­el­len Code als Kom­men­tar „vom Feind” ver­öf­fent­licht und sofern ein Word­Press-Benut­zer (Admin) die­sen Kom­men­tar auf der Web­sei­te selbst (nicht backend) ansehen/aufrufen soll­te, greift bereits schon die Sicherheitslücke.

Daher ent­we­der die Kom­men­tar-Funk­ti­on bis dahin deak­ti­vie­ren oder jeden Kom­men­tar vor­mo­de­rie­ren las­sen. Backend fällt es auf jeden Fall auf, wenn jemand „ein komi­scher Kom­men­tar” (als Code) ver­öf­fent­licht hat/veröffentlichen möchte.

Anmer­kun­gen zum Bei­trag? Hin­weis an die Redak­ti­on sen­den.