WP 2.0.6 angreifbar

Gerade lese ich das auch bei WordPress 2.0.6 der kursierende Exploit funktioniert.
Allerdings nur wenn in der PHP-Konfiguration register_globals=on eingestellt ist.

Für WP-Nutzer bei denen dies der Fall ist und die keine Möglichkeit haben dies zu ändern empfiehlt es sich erstmal die wp-trackback.php umzubennen, was leider zur Folge hat das Trackbacks nicht mehr funktionieren, aber das ist wohl das kleinere Übel.

Es besteht evt. auch die Möglichkeit register_globals via .htaccess zu deaktivieren:
In der .htaccess einfach mal php_flag register_globals off einfügen.
Ich kann aber leider nicht sagen ob das wirklich funktioniert, weil bei mir register_global überall auf off ist 🙂
php::bar

Besorgnisserregend ist das versucht wird den Exploit aktiv zu nutzen, wie ich anhand der letzen Suchanfragen feststellen musste. Von Überall kommen “Besucher” die nach WordPress, WordPress 2.0.5, WordPress Exploit, etc. gesucht haben….

Traurig aber wahr.

Siehe auch:
wordpress-deutschland.org
wordpress-deutschland.org
Centurio




Trackback-Url Trackback

4 Kommentare für “WP 2.0.6 angreifbar”

  1. www.gravatar.com
  2. www.gravatar.com
  3. www.gravatar.com
  4. www.gravatar.com
blog stats