Weil die 1.3er-Vorabversionen von WordPress ein einfacheres Handling in Sachen Spam bieten, habe ich am heutigen Sonntag blogbar.de auf WordPress 1.3a5 aufgesetzt.

Gelegenheit auf ein Sicherheitsproblem bei WordPress hinzuweisen. Dieses Problem existiert in WordPress 1.21 und in den Alpha-Versionen von WordPress 1.3 bis hin zu den aktuellen “Nightlies” und wird gerade in den WP-Support-Foren und der “WP Hackers”-Mailingliste diskutiert.

Die Sicherheitslücke erlaubt es durch das simple Aufrufen einer URL die Einstellungen von WordPress zu zerschiessen (ich nehme an, dass man sie händisch in der Datenbank wieder herstellen könnte).

Die Lücke ist aktuell im 1.3er-Code nicht beseitigt, da man sich noch nicht einig ist, wie man die Lücke schließt und dabei die spezielle Funktionalität die diese Lücke erst ermöglicht, trotzdem beibehält.

Die für die Lücke verantortlichen Code-Zeilen stecken in wp-login.php und können einfach auskommentiert oder gelöscht werden. Es betrifft die Zeile die get_settings('siteurl') enthält, sowie die darunter liegende Zeile.