GreenSmilies

Ich habe voll verschwitzt, einen Beitrag zum Erscheinen von WordPress 2.9.2 zu erstellen und hole das jetzt mal rein oberflächlich nach.

Die geflickte Lücke betraf mal wieder nur Blogs, welche eine offene Registrierung haben. Siehe dazu auch das offizielle Statement.

Heute war Golem schneller als ich es im Dashboard habe lesen können, WordPress 2.9.1 ist da! Es ist aber kein Sicherheitsupdate und beseitigt nur einige kleinere Probleme.

Außerdem hatte ich euch 2.9.1 schon im 2.9er-Artikel prophezeit! Mit 2.9.1 werde ich mich selber auch nun ans updaten machen.

Hier der offizielle Beitrag zum Release und hier gehts zum Beitrag auf WPD.

Ein vorzeitiges Weihnachtsgeschenk gab es von den WordPress-Entwicklern, Version 2.9 ist da! Eine Übersicht der neuen Funktionen findet ihr auf WPD oder bei Perun.

Ich für meinen Teil warte noch ein bis zwei Wochen mit dem Update. Mancher Plugin-Entwickler wird sicherlich das eine oder andere noch aktualisieren müssen und wer weiß, wie schnell 2.9.1 da ist. Ein wenig Ironie muss sein.

Das Sicherheitsupdate auf WordPress 2.8.6 beseitigt zwei Lücken, die allerdings nur von registrierten und eingeloggten Benutzern ausgenutzt werden können.

Golem schreibt:

Bei den beseitigten Problemen handelt es sich zum einen um eine XSS-Verwundbarkeit in “Press This”, die von Benjamin Flesch entdeckt wurde. Zum anderen gibt es unter bestimmten Apache-Konfigurationen ein Problem beim Upload von Dateien. Wie Dawid Golunski herausfand, kann diese Sicherheitslücke mit präparierten Dateinamen ausgenutzt werden.

Ein rasches Update wird trotzdem empfohlen! Updateinformationen findet ihr hier auf englisch bzw. hier auf deutsch.

Ein einfacher Weg WordPress etwas sicherer zu machen und dabei gleichzeitig den aktuellen Punkt 1 der Smilie-Wunschliste abzuarbeiten ist es, eine .htaccess-Datei im WordPress-Admin-Verzeichnis abzulegen und damit eine Passwortabfrage einzubauen, um lästige Besucher abzuwehren.

Wie geht das nun?

Eine ausführliche Anleitung findet ihr auf SELFHTML. Im Wesentlichen basiert der Schutz auf zwei Dateien, zum einen die Datei .htaccess, welche in das zu schützende Verzeichnis kommt und zum anderen auf die Datei .htpasswd, in welcher Username und das verschlüsselte Passwort stehen. Beide Dateien können mit einem Texteditor angelegt und anschließend auf den Server geladen werden.

Wer Shell-Zugriff besitzt, kann auch über das Programm htpasswd eine .htpasswd-Datei anlegen. Alternativ nutzt man einen Online-Generator dafür, wie er zum Beispiel hier zu finden ist.

Inhalt der beiden Dateien

Speicherort: .htpasswd

USERNAME:jd18zdgh7shuj

Speicherort: /wp-admin/.htaccess

AuthUserFile /SERVER_PFAD/.htpasswd
AuthGroupFile /dev/null
AuthName Intern
AuthType Basic
<Limit GET>
require user USERNAME
</Limit>

Damit es beim Kommentieren nicht zu Passwortabfragen kommt, müssen zwei Verzeichnisse vom .htaccess Schutz ausgenommen werden:

Speicherort: /wp-admin/css/.htaccess

Order Deny,Allow
Allow From All
Satisfy Any

Speicherort: /wp-admin/images/.htaccess

Order Deny,Allow
Allow From All
Satisfy Any

Die beiden .htaccess-Datein zum Schluss hebeln den Schutz für die beiden Verzeichnisse wieder aus. Der Punkt vor htaccess bzw. htpasswd muss gesetzt werden! Eine zwingende Voraussetzung, das der Schutz funktioniert, ist ein Apache Webserver und ein Provider, der diese Funktion aktiviert hat. Sollte das nicht der Fall sein, lohnt es sich nachzufragen.