Sicherheitslücke für Wordpress 2.06 - SQL Injection - Seite 2

mastermind · 11.01.2007, 08:25

Zitat:

Zitat von SuMu

updates sind ja schön, wenn dadurch neue Funktionen kommen, aber immer nur Sicherheitslöcher stopfen, finde ich nicht so prickelnd

...

Findet keiner prickelnd. Aber sei doch froh, dass es so schnell geht.
Kann auch anders laufen.

WordPress ist eben mittlerweile eine sehr komplexe Anwendung und es hat mittlerweile einen Verbreitungsgrad erreicht, bei dem es auch von Sicherheitsdienstleistern und Hackern (im positiven wie negativen Sinn) viel Aufmerksamkeit bekommt. Wenn ich mir anschaue, wie das bei Joomla und phpbb war und ist, denke ich, dass wir WordPress-Anwender noch gut bedient sind.

Morris · 11.01.2007, 08:33

Wünschenswert wäre eine (halb)automatisches Updatesystem.
Ich muß mitlerweile einige dutzend WP-Installationen up-to-date halten, dass bedeutet für jeden Patch immer mind. nen Tag Handarbeit

Grüße
Mo

punctilio · 11.01.2007, 13:31

Viele Updates?
Also viele Updates gabs damals bei phpBB, ein Grund warum ich dann Software gewechselt habe.

ben · 11.01.2007, 14:57

zwar Offtopic, aber:
hat jemand einen Plan, wie das bei Drupal ist mit den Updates? Ich plane gerade eine Seite mit Drupal. Soll ja recht vernünftig geschrieben sein....

Morris · 11.01.2007, 15:00

Zitat:

Zitat von ben

zwar Offtopic, aber:
hat jemand einen Plan, wie das bei Drupal ist mit den Updates? Ich plane gerade eine Seite mit Drupal. Soll ja recht vernünftig geschrieben sein....

-> http://drupal.org/

Grüße
Mo

mastermind · 11.01.2007, 15:05

Immerhin gibt es bei Drupal ein Security-Portal, und es werden offizielle Patches neben den Upgrades angeboten.

jottlieb · 11.01.2007, 17:56

Zitat:

Zitat von Morris

register_globals wird in der php.ini gesetzt.

Grüße
Mo

Öhm...ich hab's vorsichtshalber noch in der .htaccess stehen:

Code:

php_flag register_globals off

Jetzt sag nicht, das hat keine Wirkung

SuMu · 11.01.2007, 17:57

das dachte ich auch gehört/gelesen zu haben

jottlieb · 11.01.2007, 18:02

Wobei bei den meisten Hostern register_globals sowieso off sein sollte. Und das ist auch gut so, da es eine Angriffsfläche für fast jede Art von Script darstellt.

eldelle · 12.01.2007, 08:34

also kurz und knapp: mit der globals off in der php ini bin ich fein raus und update dann trotzdem mal wenn ne neue version raus is?