Aktuell sind wieder mal Themes mit einem Quasi-Trojaner im Gepäck ins Gerede gekommen: Sucuri Security berichtet über WordPress-Themes, die nach Hause telefonierten und dem Server der Theme-Entwickler Meldung machten über jeden Besucher (mit IP-Adresse!) von Websites, die mit diesem Theme ausgestattet sind. Das ist nicht nur wegen der Missbrauchsmöglichkeiten kritisch (immerhin könnte jemand den Server der Entwickler hacken und auf diesem Weg alle Sites, die das Theme einsetzen, mit Malware infizieren), sondern auch vom Datenschutz-Aspekt her: hier würde eine IP-Speicherung auf fremden Servern erfolgen, über die der Blogbetreiber aufgrund von Unkenntnis des Vorgangs den Blogbesucher gar nicht via Datenschutzerklärung informieren konnte.

Die Hintertür flog auf, als der Server eine Weile offline war und Fehlermeldungen in den Blogs, die mit diesem Theme ausgestattet waren, erschienen.

Besonders perfide war, dass der fragwürdige Code nicht etwa innerhalb einer PHP-Datei versteckt war, sondern in einer Bilddatei namens wp.gif. Darauf muss man auch erstmal kommen.

(via wpSEO)

Für das Problem mit dem Zugriff auf den Admin-Ordner bei unvollständig ausgefüllten Kommentarfeldern gibt es noch eine andere Lösung, vorgestellt bei “dies und das”.

Weitere wichtige und aktuelle Security-Tipps finden Sie bei Frank Bueltge: WordPress gehackt, was tun – eine Schnellhilfe.

Mehr zum Thema Sicherheit ist übrigens auch im Buch “Praxiswissen WordPress” nachzulesen – weil es so wichtig ist, habe ich dem Thema ein ganzes Kapitel gewidmet.

Die Quell-News sind in englisch bei TechCrunch nachzulesen, in einem dort verlinkten Blogartikel ist davon die Rede, dass alle Versionen, die älter als 2.8.3 sind, anfällig für den Angriff sind, der direkt die Datenbank attackiert. Die Angriffe gehen gerade erst los und weiten sich noch aus. Weitere Details bei fieser-admin.de.

Alle Empfehlungen sind gleich: updaten auf WordPress 2.8.4, befallene Datenbanken nicht sichern, sondern die Beiträge über die WordPress-eigene Export-Funktion exportieren. Außerdem wird dringend empfohlen, den Admin-Bereich zu sichern, siehe dazu Sergej Müllers (aka wpSEO) Artikel: 10 Schritte zum Schutz des Admin-Bereichs.

Aber Achtung: wenn die WordPress-Version sehr alt ist, ist es unter Umständen nötig, in kleinen Schritten via Zwischenversionen zu updaten, statt den großen Sprung auf die neueste Version zu  machen. (Nachtrag: mit 2.0.2 habe ich es erfolgreich getestet, keine Zwischenschritte nötig – man muss lediglich nach Aufspielen der neuen WordPress-Version einmalig /wp-admin/upgrade.php aufrufen, um die Datenbank zu konvertieren. Allerdings kann es danach zu Problemen mit dem Zeichensatz kommen, siehe Lösungsvorschläge im Artikel “WordPress und die leidigen Charsets“. Ich empfehle aber, nicht mit den Originaltabellen zu arbeiten, sondern eine Kopie zu verwenden, am besten in einer separaten Datenbank, wenn möglich. Oder, alternativ Backup der Datenbank anlegen, damit man das bei Bedarf zurückspielen kann.)

Nachtrag: Hier noch ein Lösungsansatz von Andy Sowards, via wpSEO@twitter.

define ('ALLOW_UNFILTERED_UPLOADS', true);

Bequemer geht es mit dem ebenfalls von TalkPress empfohlenen Plugin WordPress mime-config.

Mit Hilfe von htaccesstools.com kann man sich die nötigen Dateien erstellen lassen, wenn der gemietete Webspace nur FTP-Zugriff bietet.

Eine Tücke ist mir gerade aufgefallen: wenn das Verzeichnis /wp-admin/ so geschützt wird, kommt auch beim Upload von Bildern o. ä. in die Mediathek eine Passwortabfrage – und sobald die Daten eingegeben wurden, passiert nichts mehr, der Browser bleibt hängen. Abhilfe: auf den HTML-Uploader umstellen (wird im Upload-Dialog angeboten), dann funktioniert der Upload problemlos.