Kommentare zu: WordPress 2.5 http://www.nochetwassalz.de/batzlog/2008/04/23/wordpress-25/ Wombatz Weblog - Täglich etwas Salz Tue, 07 Sep 2010 17:36:21 +0000 hourly 1 http://wordpress.org/?v=3.0.1 Von: Jens http://www.nochetwassalz.de/batzlog/2008/04/23/wordpress-25/comment-page-1/#comment-42768 Jens Wed, 23 Apr 2008 20:51:20 +0000 http://www.nochetwassalz.de/batzlog/?p=1867#comment-42768 @Elias: Danke für die ausführliche Information. Also könnte man wirklich auf 2.5.x warten... was ich ja eigentlich auch derzeit mache. @Elias:
Danke für die ausführliche Information. Also könnte man wirklich auf 2.5.x warten… was ich ja eigentlich auch derzeit mache.

]]> Von: Elias http://www.nochetwassalz.de/batzlog/2008/04/23/wordpress-25/comment-page-1/#comment-42766 Elias Wed, 23 Apr 2008 18:09:20 +0000 http://www.nochetwassalz.de/batzlog/?p=1867#comment-42766 Zu Jens: Die aktuelle Version 2.3.3 hat keine bekannte ausbeutbare Lücke. Das einzige ernsthafte Problem ist es, dass die Benutzung der XMLRPC-Schnittstelle oder des Admin-Frontends möglich ist, wenn es einem Angreifer gelingt, an die Inhalte der Datenbank zu kommen. Das kann eigentlich nur geschehen, wenn irgendein Plugin eine SQL-Injection ermöglicht, WP selbst offeriert keinen bekannten Weg, eine SQL-Injection zu platzieren. Um sich ein bisschen besser abzusichern, sollte man als Präfix für die Datenbanktabellen nicht gerade die Vorgabe <code>wp_</code> verwenden und sich bei jedem Plugin überlegen, ob man es wirklich braucht. Die aktuellen Angriffe gegen WP-Blogs gehen über eine ganze Bandbreite verschiedener Versionen und Konfigurationen, es ist mir nicht gelungen, da einen klaren Kandidaten für die Lücke zu entdecken. Aber es gibt Hinweise: Semmelstatz ermöglicht einem Angreifer eine Einbettung eines IFRAME, und bei gut einem Drittel der betroffenen Blogs, die mir bekannt wurden, wurde auch Semmelstatz verwendet. Sogar ein Trojaner auf dem zum Bloggen verwendeten Rechner könnte Passwörter mitloggen, daran denkt komischerweise (fast) niemand. Die Sicherheitsproblematik ist nicht der Grund, dass man von 2.3.3 auf 2.5 hüpfen muss. Aber es sollte auf jedem Fall ein 2.3.3 sein, denn 2.3.2 hat eine schreckliche Lücke in der XML-RPC-Implementation. Zu Jens: Die aktuelle Version 2.3.3 hat keine bekannte ausbeutbare Lücke. Das einzige ernsthafte Problem ist es, dass die Benutzung der XMLRPC-Schnittstelle oder des Admin-Frontends möglich ist, wenn es einem Angreifer gelingt, an die Inhalte der Datenbank zu kommen. Das kann eigentlich nur geschehen, wenn irgendein Plugin eine SQL-Injection ermöglicht, WP selbst offeriert keinen bekannten Weg, eine SQL-Injection zu platzieren. Um sich ein bisschen besser abzusichern, sollte man als Präfix für die Datenbanktabellen nicht gerade die Vorgabe wp_ verwenden und sich bei jedem Plugin überlegen, ob man es wirklich braucht.

Die aktuellen Angriffe gegen WP-Blogs gehen über eine ganze Bandbreite verschiedener Versionen und Konfigurationen, es ist mir nicht gelungen, da einen klaren Kandidaten für die Lücke zu entdecken. Aber es gibt Hinweise: Semmelstatz ermöglicht einem Angreifer eine Einbettung eines IFRAME, und bei gut einem Drittel der betroffenen Blogs, die mir bekannt wurden, wurde auch Semmelstatz verwendet.

Sogar ein Trojaner auf dem zum Bloggen verwendeten Rechner könnte Passwörter mitloggen, daran denkt komischerweise (fast) niemand.

Die Sicherheitsproblematik ist nicht der Grund, dass man von 2.3.3 auf 2.5 hüpfen muss. Aber es sollte auf jedem Fall ein 2.3.3 sein, denn 2.3.2 hat eine schreckliche Lücke in der XML-RPC-Implementation.

]]> Von: Jens http://www.nochetwassalz.de/batzlog/2008/04/23/wordpress-25/comment-page-1/#comment-42764 Jens Wed, 23 Apr 2008 17:37:36 +0000 http://www.nochetwassalz.de/batzlog/?p=1867#comment-42764 Das Problem ist halt die Abwägung, denn eine nicht-Benutzung von WP 2.5 hat ja auch Nachteile (Sicherheitslücken, fehlende Technorati-Indizierung) und da muss man schauen was einem wichtiger ist. Das Problem ist halt die Abwägung, denn eine nicht-Benutzung von WP 2.5 hat ja auch Nachteile (Sicherheitslücken, fehlende Technorati-Indizierung) und da muss man schauen was einem wichtiger ist.

]]> Von: Elias http://www.nochetwassalz.de/batzlog/2008/04/23/wordpress-25/comment-page-1/#comment-42763 Elias Wed, 23 Apr 2008 16:45:58 +0000 http://www.nochetwassalz.de/batzlog/?p=1867#comment-42763 Zu Josh: Da könnte ma ja glatt ein extrem abgespecktes WordPress verwenden, wenn es das nur gäbe. Es wäre wohl auch sicherer. (Ich träume ja manchmal davon, einen entsprechenden Fork zu machen, der die Funktionalität in der Browser-Schnittstelle auf ein ausreichendes Minimum runterbricht und dazu eine Desktop-Anwendung zu erstellen, aber das kann ich allein nicht wuppen.) Zu Josh: Da könnte ma ja glatt ein extrem abgespecktes WordPress verwenden, wenn es das nur gäbe. Es wäre wohl auch sicherer. (Ich träume ja manchmal davon, einen entsprechenden Fork zu machen, der die Funktionalität in der Browser-Schnittstelle auf ein ausreichendes Minimum runterbricht und dazu eine Desktop-Anwendung zu erstellen, aber das kann ich allein nicht wuppen.)

]]> Von: Josh~ http://www.nochetwassalz.de/batzlog/2008/04/23/wordpress-25/comment-page-1/#comment-42762 Josh~ Wed, 23 Apr 2008 16:32:35 +0000 http://www.nochetwassalz.de/batzlog/?p=1867#comment-42762 Ist irgendwie alles an mit vorbegebuggt - Ich schreib meine Artikel mit Live Writer, adminsitriere die Kommentare direkt im Blog per Ajax und lade Bilder und Videos per FTP übers Kontextmenü der hochzuladenden Datei auf meinen Server = Das Admin Panel hab ich bisher kaum zu Gesicht bekommen ^^, Ist irgendwie alles an mit vorbegebuggt – Ich schreib meine Artikel mit Live Writer, adminsitriere die Kommentare direkt im Blog per Ajax und lade Bilder und Videos per FTP übers Kontextmenü der hochzuladenden Datei auf meinen Server = Das Admin Panel hab ich bisher kaum zu Gesicht bekommen ^^,

]]> Von: Elias http://www.nochetwassalz.de/batzlog/2008/04/23/wordpress-25/comment-page-1/#comment-42761 Elias Wed, 23 Apr 2008 14:51:58 +0000 http://www.nochetwassalz.de/batzlog/?p=1867#comment-42761 Irgendwie ist es ja passend, dass die WP2.5-FAQ am 1. April veröffentlicht wurde. Schade nur, dass die Release nicht auch als Aprilscherz gekennzeichnet wurde, sondern ernst gemeint war. Aber beim Lesen der FAQ wird mir fast schlecht. Ich habe schon in meinem 2.3.3 festgestellt, dass ungefähr die Hälfte meiner installierten Plugins nicht mehr dazu dient, Funktionen zu erweitern, sondern kleine und große Fehler erträglich machen soll. Das ist doch wirklich nicht der Sinn einer Plugin-Schnittstelle. Und jetzt wird so ein Strunz allen Ernstes empfohlen. Irgendwann haben wir eine völlig verkackte Release (vielleicht 2.7) und brauchen 30 Plugins, nur um den Schrotthaufen benutzbar zu machen. Irgendwie ist es ja passend, dass die WP2.5-FAQ am 1. April veröffentlicht wurde. Schade nur, dass die Release nicht auch als Aprilscherz gekennzeichnet wurde, sondern ernst gemeint war.

Aber beim Lesen der FAQ wird mir fast schlecht. Ich habe schon in meinem 2.3.3 festgestellt, dass ungefähr die Hälfte meiner installierten Plugins nicht mehr dazu dient, Funktionen zu erweitern, sondern kleine und große Fehler erträglich machen soll. Das ist doch wirklich nicht der Sinn einer Plugin-Schnittstelle. Und jetzt wird so ein Strunz allen Ernstes empfohlen. Irgendwann haben wir eine völlig verkackte Release (vielleicht 2.7) und brauchen 30 Plugins, nur um den Schrotthaufen benutzbar zu machen.

]]> Von: Batz http://www.nochetwassalz.de/batzlog/2008/04/23/wordpress-25/comment-page-1/#comment-42760 Batz Wed, 23 Apr 2008 14:30:00 +0000 http://www.nochetwassalz.de/batzlog/?p=1867#comment-42760 @Simon klar irgendwie kann man sicher auch wp2.5 mit plugins so hinbekommen, daß man mit arbeiten kann, aber es nervt trotzdem, weil vieles so unglaublich undurchdacht wirkt. Nicht umsonst nennt sich ein Plugin "Put the category selector back to the sidebar of the Post page before I kill you!" - es macht einfach keinen Sinn, daß viele Optionen die wunderbar rechts des Eingabefeldes angeordnet waren jetzt ans Ende der Seite verschoben sind. Und was soll der blöde Flash-Uploader, der bei kaum jemanden funzt und nur umständlich mittels nem anderen Plugin abzuschalten ist...? Und weder Tiger, Fluency noch Leopard-Plugin beheben bisher diese beiden Probleme. @Simon

klar irgendwie kann man sicher auch wp2.5 mit plugins so hinbekommen, daß man mit arbeiten kann, aber es nervt trotzdem, weil vieles so unglaublich undurchdacht wirkt.

Nicht umsonst nennt sich ein Plugin “Put the category selector back to the sidebar of the Post page before I kill you!” – es macht einfach keinen Sinn, daß viele Optionen die wunderbar rechts des Eingabefeldes angeordnet waren jetzt ans Ende der Seite verschoben sind. Und was soll der blöde Flash-Uploader, der bei kaum jemanden funzt und nur umständlich mittels nem anderen Plugin abzuschalten ist…?

Und weder Tiger, Fluency noch Leopard-Plugin beheben bisher diese beiden Probleme.

]]> Von: Simon Columbus http://www.nochetwassalz.de/batzlog/2008/04/23/wordpress-25/comment-page-1/#comment-42759 Simon Columbus Wed, 23 Apr 2008 14:23:06 +0000 http://www.nochetwassalz.de/batzlog/?p=1867#comment-42759 Wenn das Design nicht passt, dann installiert man halt fluencyadmin oder ein anderes Plugin... das sollte doch kein Problem sein :) Wenn das Design nicht passt, dann installiert man halt fluencyadmin oder ein anderes Plugin… das sollte doch kein Problem sein :)

]]> Von: refu http://www.nochetwassalz.de/batzlog/2008/04/23/wordpress-25/comment-page-1/#comment-42758 refu Wed, 23 Apr 2008 14:14:38 +0000 http://www.nochetwassalz.de/batzlog/?p=1867#comment-42758 Und das lese ich, während ich seit 5 Minuten das Update laufen habe :-) Aber nur auf dem Zweitblog, wenn da was schief geht, ist es nicht gar so tragisch. Und das lese ich, während ich seit 5 Minuten das Update laufen habe :-) Aber nur auf dem Zweitblog, wenn da was schief geht, ist es nicht gar so tragisch.

]]>