WordPress 4.9.5 – Sicherheitsupdate
Drei Sicherheitslücken und 25 Fehler wurden behoben. Sofern das Update nicht automatisch erfolgt ist, wird empfohlen, es umgehend zu veranlassen. Wer mehr darüber wissen will, hier geht es zum WordPrss.org Beitrag
weiter schmökern
Japanischer Keyword Hack – wann weiß man, dass er behoben ist?
Befindet sich plötzlich eine robots.txt im WordPress-Verzeichnis? Ist die index.php auf mehr als 19k angewachsen? Steigerte sich die Anzahl von Zugriffen auf die Website im extremen Ausmaß? Dann würde ich mal zu Google gehen, und site:meine-adresse.beispiel eingeben. Es werden mehr Treffer gefunden, als es Seiten geben kann? – Und zu allem Überfluss siehst Du nur…
WordPress-Sicherheitsrisiko durch veraltete Plugins
Ein Website-Betreiber macht alles was ihm empfohlen wurde, verwendet unter anderem schwierige Passwörter und veranlasst sämtliche Updates die WordPress ihm meldet. Und doch, eines schönen Tages erwischt ihn ein Hack. Grund dafür kann eine unsichere Komponente sein, deren Sicherheitslücken nie gestopft worden sind. Zum Beispiel verwendet er vielleicht ein Statistik-Plugin, das seit er es installierte,…
Cross Site Scripting in Drittanbieterformular
Google sperrte eine Artikelseite eines Online-Magazins wegen Malware. Beim Scannen der WordPress-Dateien mit verschiedenen Tools wurde jedoch nichts Verdächtiges gefunden. Failed to execute ‚write‘ on ‚Document‘: It isn’t possible to write into a document from an asynchronously-loaded external script unless it is explicitly opened. Diese in der Chrome Console angezeigte Meldung führte mich schließlich zum…
PHP Fatal error: Can’t use function return value in write context
in /var/www/webxxxx/htdocs/wp-content/themes/enfold/header.php on line 6 Beim Einsatz bewährter aktueller Plugins und Themes kommt es durch WordPress-Updates nicht allzu oft zu Problemen (ich erlebe sie jedenfalls selten). Ausschließen kann man sie allerdings nicht, da jede Umgebung anders ist, und nicht jede Komponente unter allen Bedingungen denen sie später mal ausgesetzt sein könnte, getestet werden kann. Aus…
Performance | PHP | Sicherheit
widgets_init-Action create_function ersetzen durch weniger unsichere Methoden
Immer noch gibt es Plugins die Widgets mit create_function registrieren. Die Funktion führt intern eval() aus, das die Ausführung von beliebigem PHP-Code erlaubt.
WordPress 4.9.7 Wartungs- und Sicherheitsupdate
Unter anderem wird eine vielfach kritisierte Sicherheitslücke geschlossen, die es Usern erlaubt, Dateien zu löschen, die keine Mediendateien sind. Potentiell hätte das zur Zerstörung der Installation führen können.