Text | Design | Code

Das war mal ein kleiner Ast

Ein Browser reicht, um Administratoren kurzfristig aus dem System auszusperren. Die Ursache ist ein Fehler in der Funktion zum Zurücksetzen des Passworts. Ein Einbruch ist aber nicht möglich.

WordPress ist eine feine, sehr flexible Blogsoftware. Sie ist populär dank der unzähligen Plugins und Themes, die es gibt. Leicht modifiziert eignet sie sich als CMS für kleine Webauftritte. Kurzum, WordPress ist der Platzhirsch bei Blogs. Da ist es nachvollziehbar, dass Fehler im Quellcode Wellen schlagen. Vor allem wenn sie die Sicherheit betreffen.

Allerdings sind die Updatenzyklen mittlerweile so kurz, dass jeder die Augen verdreht, der mehrere WP-Blogs betreut oder betreibt. Es ist trotz des erleichternden Update-Mechanismus immer noch eine zeitraubende Angelegenheit. Immerhin muss man Datenbanken sichern, Plugins deaktivieren und dann erst sollte man das Update wagen. Danach kann man Plugins wieder aktivieren und hoffen, dass sie funktionieren. Denn nicht alle Plugins funktionieren gleich mit der neuesten WordPress-Version.

Dieses nervige Prozedere könnten sich Millionen Blogger weltweit sparen, wenn bei der Entwicklung mehr auf Sicherheit statt auf neue Features geachtet werden würde. Lieber ein stabiles und sicheres System anstatt Updates ohne Ende wegen neuen Schickimicki-Features. Denn nicht nur ich habe noch anderes zu tun, als WordPress-Blogs upzudaten. Wobei der aktuelle Hack noch schnell zu machen ist, aber trotzdem ist es überflüssige Arbeit millionenfach. Ich wünsche mir bei WordPress wirklich eine andere Entwicklung, eine der Achtsamkeit gegenüber Stabilität und Sicherheit des Codes. Lieber langsam, stetig, sicher und nachvollziehbar entwickeln als so ein Hickhack weiter. Es kann nicht schaden darüber nachzudenken, ob eine Zen-orientierte Herangehensweise sinniger wäre. Weniger ist durchaus mehr.

Die WordPress-Entwickler sind über das Problem informiert und haben den Fehler im Entwicklungszweig korrigiert, in dem sie die Übergabe von Arrays an die Variable Key blockieren. Dazu haben sie in wp-login.php die Zeile
if ( empty( $key ) )
durch
if ( empty( $key ) || is_array( $key ) )
ersetzt.
heise, Lücke in WordPress ermöglicht Aussperren des Admins, 11.08.2009

Lesenswertes

1. WordPress, Plugins und das menschliche Gehirn Google FeedBurner Feed2Mail send feed via Mail Feed2Mail feed2mail.org braincast – Das Blog zum Braincast Facebook Connect WordPress Plugin | Sociable! – The Social Media...
2. Ein Umzug und ein paar Umbauten Ein Umzug von b2evolution zu WordPress ist eine delikate Angelegenheit. Das wusste ich schon vorher. Also liess ich mir Zeit, fragte nach und recherchierte. In...
3. Theme und Plugins im Beta-Stadium So kann’s kommen! Lifestream im Betastadium installiert und prompt geht gar nichts mehr. Angeblich sei das Theme nicht valide. So habe ich heute einige Tests...
4. Sammelsurium am 28. August 2009 55 Beautiful Green Layouts in Web Design | Abduzeedo | Graphic Design Inspiration and Photoshop Tutorials CSSREMIX – Inspirationsquelle und Zeitschleuder 60 (Latest) Beautiful and...
5. Quick’n'dirty: WordPress-Login-Logo austauschen Ohne viel Aufwand lässt sich das WordPress-Logo bei http://domainname.de/wp-login.php austauschen. Gewünschte Datei in die Größe 310 x 70px umwandeln Diese Datei als Gif unter logo-login.gif...