{"id":151,"date":"2007-06-27T18:41:50","date_gmt":"2007-06-27T16:41:50","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/151-wordpress-security-i"},"modified":"2018-05-31T23:22:59","modified_gmt":"2018-05-31T22:22:59","slug":"wordpress-security-i","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/151-wordpress-security-i","title":{"rendered":"WordPress Security I"},"content":{"rendered":"<p>Matt, der Hauptentwickler von WordPress, der hier in diesem Blog eingesetzten Blog-Software schreibt \u00fcber die in WordPress in letzter Zeit aufgetretenen <a href=\"http:\/\/photomatt.net\/2007\/06\/22\/on-wp-security\/\">Sicherheitsprobleme<\/a>:<\/p>\n<ul>\n<li>das <a href=\"http:\/\/www.heise.de\/newsticker\/meldung\/90856\">SQL-Injection Problem<\/a> neulich in der Version 2.2, das jedoch nur angemeldete Benutzer betroffen hat<\/li>\n<li>die <a href=\"http:\/\/www.heise.de\/security\/news\/meldung\/86167\">Hintert\u00fcr in Version 2.1.1<\/a>, die nach einem Einbruch in den WordPress-Server eingef\u00fcgt worden ist<\/li>\n<\/ul>\n<p>Nun ja. Ich f\u00fcrchte, jede Software die auf PHP basiert wird zwangsl\u00e4ufig irgendwann Probleme bekommen. Entweder durch ein <a href=\"http:\/\/www.hardened-php.net\/\">Sicherheitsproblem in PHP selbst<\/a> oder durch einen Programmierfehler in der Webanwendung. Wenn man bei Securityfocus in der Vulnerability Datenbank <a href=\"http:\/\/www.securityfocus.com\/swsearch?query=php&amp;sbm=bid&amp;submit=Search%21&amp;metaname=alldoc&amp;sort=swishrank\">nach PHP sucht<\/a> bekommt man (Stand heute) 4499 Resultate geliefert.<\/p>\n<p>Im Grunde ist es doch so: wer freiwillig eine PHP-Software auf seinen Servern einsetzt muss sich auch selbst um die Sicherheit k\u00fcmmern. Bei gr\u00f6\u00dferen L\u00fccken erf\u00e4hrt man meistens auch schnell \u00fcber die typischen Medien wie <a href=\"http:\/\/www.heise.de\/\">Heise<\/a>, <a href=\"http:\/\/www.securityfocus.com\/\">SecurityFocus<\/a> oder <a href=\"http:\/\/www.theregister.co.uk\/\">TheRegister<\/a>, was los ist. Und wer sich gar nicht darum k\u00fcmmern will ist vermutlich bei <a href=\"http:\/\/www.blogger.de\/\">Blogger.de<\/a> oder <a href=\"http:\/\/www.blogger.com\/\">-.com<\/a> sowieso besser aufgehoben.<\/p>\n<p>Was k\u00f6nnte WordPress selbst besser machen? Mir fallen zwei Sachen ein:<\/p>\n<ol>\n<li>die Ver\u00f6ffentlichungspolitik von WordPress k\u00f6nnte ein wenig besser sein. Eine Mailingliste nur f\u00fcr Security Announcements w\u00e4re z.B. nett<\/li>\n<li>das <a href=\"http:\/\/codex.wordpress.org\/Upgrading_WordPress\">Upgrade<\/a> k\u00f6nnte etwas einfach sein. Jedes mal manuell Dateien l\u00f6schen, andere Dateien hereinkopieren, das ist etwas fehleranf\u00e4llig. Das k\u00f6nnte man auch skriptbasiert l\u00f6sen<\/li>\n<\/ol>\n<p>Aber wenigstens steckt noch Potential in der Software. Und hey, man bekommt fast immer, wof\u00fcr man bezahlt &#8230; <a href=\"http:\/\/www.microsoft.com\/windows2000\/server\/evaluation\/news\/bulletins\/extendedsupport.mspx\">und manchmal auch weniger<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Matt, der Hauptentwickler von WordPress, der hier in diesem Blog eingesetzten Blog-Software schreibt \u00fcber die in WordPress in letzter Zeit aufgetretenen Sicherheitsprobleme: das SQL-Injection Problem neulich in der Version 2.2, das jedoch nur angemeldete Benutzer betroffen hat die Hintert\u00fcr in Version 2.1.1, die nach einem Einbruch in den WordPress-Server eingef\u00fcgt worden ist Nun ja. Ich [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/151"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=151"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/151\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=151"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=151"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=151"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}