In der aktuellen WordPress Version 2.8.3 kann ein Angreifer eine Schwachstelle ausnutzen, um den Admin auszusperren. Hierbei wird ein Fehler im Mechanismus für das Zurücksetzen des Passworts ausgenutzt. Bis ein Patch verfügbar ist, kann man die Lücke wie folgt schließen:
Öffnet in einem Editor die Datei wp-login.php in eurer aktuellen WordPress Installation. Springt zur Zeile 190 und ersetzt die Zeile
if ( empty( $key ) )
durch
if ( empty( $key ) || is_array( $key ) )
So sieht also der neue Codeblock aus:
if ( empty( $key ) || is_array( $key ) )
return new WP_Error(‘invalid_key’, __(‘Invalid key’));
if ( empty( $key ) || is_array( $key ) )
return new WP_Error(‘invalid_key’, __(‘Invalid key’));
Sollte man euch bereits ausgesperrt haben, so empfiehlt WordPress die Verwendung eines Notfallscripts, mit dem ihr euren Zugang wieder freischalten könnt. Hierfür müsst ihr per SSH auf euren Webspace zugreifen können.
Links:
