1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Sicherheitslücke in Wordpress?!

Dieses Thema im Forum "Allgemeines" wurde erstellt von divB, 9. Januar 2008.

  1. divB

    divB Member

    Registriert seit:
    2. März 2007
    Beiträge:
    8
    Zustimmungen:
    0
    Hi,

    Gab es vor kurzer Zeit eine Sicherheitslücke in Wordpress? Hab auf heise.de/security nix gefunden...

    Ich hab grad bemerkt dass in einem Beitrag von *mir* folgender Code drinnen war:

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Ich hab den Dreck natürlich nicht reingegeben aber wie soll er sonst - wenn nicht durch eine Sicherheitslücke reingekommen sein?!

    Wie schütze ich mich davor?

    Und vor allem möchte ich diese alte Frage genau DESWEGEN wieder aufleben lassen: http://forum.wordpress-deutschland.org/installation/23619-sicherheit.html.

    Gibt es keine Mailinglist o.ä. die mich über Sicherheitslücken/updates informiert?!?! (RSS verwende ich nicht)

    lg,
    divB
     
    #1 divB, 9. Januar 2008
    Zuletzt bearbeitet: 9. Januar 2008
  2. jottlieb

    jottlieb Well-Known Member
    Ehrenmitglied

    Registriert seit:
    20. August 2005
    Beiträge:
    17.381
    Zustimmungen:
    1
    Antwort: Ja, in älteren Versionen.
    Wie du dich schützt? IMMER die aktuelleste Version benutzen.
    Im Tellerrand von deinem Blog siehst, wenn hier auf WPD neue Nachrichten im Blog gepostet wurden, also auch wenn neue Versionen rauskommen,
     
  3. Hansjörg

    Hansjörg Well-Known Member

    Registriert seit:
    1. Januar 2008
    Beiträge:
    47
    Zustimmungen:
    0
    Moin!

    Immer auf neueste Version updaten?

    Finde ich nicht gut!

    Warum das?

    Weil man sich mit einer Neuinstallation - gemäß Murphys Gesetz - meist auch neue Problemchen in Haus holt. Die Tücke steckt dabei immer im Detail.

    Eine hohe Updatefrequenz mag ich auch bei anderer Software nicht, solange es nicht sehr deutlich (!) meine Ergebnisse steigert. Ich betreibe die Computerei ja nicht als Selbstzweck.

    Ich fände es besser, offensichtliche Sicherheitslücken zu beschreiben und dafür gezielt 'Reparaturkits' anzubieten.

    Gibt es solche patches vielleicht irgendwo? (kenn' mich mit WP noch nicht so gut aus).


    Grüße, Hansjörg
     
  4. Syntronica

    Syntronica Well-Known Member

    Registriert seit:
    11. März 2006
    Beiträge:
    1.051
    Zustimmungen:
    0
    Die Reparaturkits sind doch die Updates, z.B. 2.3.1 auf 2.3.2.

    Das "Problem" bei Software ist aber generell, dass Sicherheitslücken irgendwann auftauchen, auch in alten Versionen oder es kommt heraus, dass ein Fehler schon in alten Version vorhanden war. Der Aufwand wäre zu groß, für jede Version einen Patch anzubieten, deswegen die neuen Versionen.

    Was mich nervt, ist, wenn alle acht Wochen für eine Software eine neue Version herauskommt. Und es gibt nicht wenig davon, die so handeln.
     
    #4 Syntronica, 9. Januar 2008
    Zuletzt bearbeitet: 9. Januar 2008
  5. Hansjörg

    Hansjörg Well-Known Member

    Registriert seit:
    1. Januar 2008
    Beiträge:
    47
    Zustimmungen:
    0
    Ok Syntronica,

    jetzt mal andersrum: Ich fand es bequem, dass man bei Strato neuerdings in zwei Minuten (ohne Übung) das wordpress 2.2.3 aktivieren kann, ohne sich genauer darum zu kümmern wie die Dateistruktur ist etc.

    Ich befürchte halt, dass ich nicht einfach die neueste Version irgendwo mit FTP hinschieben kann, und der Blog funzt wie gehabt.

    Hat es schon mal jemand gemacht und beschrieben?
    Die early adaptors sind bei Software meist die Dummen.

    Grüße, Hansjörg
     
  6. Arno Simon

    Arno Simon Well-Known Member

    Registriert seit:
    30. November 2005
    Beiträge:
    2.170
    Zustimmungen:
    0
    nunja..... im detail steckt vieles ;) ein detail eines updates ist das anfertigen von vollständigen backups - möglichst im vorfeld des updates.... ein weiteres liegt darin, das man updates zunächst lokal vorbereiten und nicht sofort auf dem server durchführen sollte.... das erspart einem unliebsame überraschungen, während der produktivsetzung.....

    aber deine website betreibst du für welchen zweck? wer auf seiner website keine unliebsamen überraschungen erleben will, muss sich darauf einlassen die verwendete software regelmässigen securityupgrades zu unterziehen. die verantwortung für die sicherheit seiner software obliegt immer dem betreiber einer software, es sei denn er hat entsprechende verträge mit dem lieferanten seines vertrauens... mea culpa, aber bei opensourcesoftware dürfte es dir schwer fallen solche verträge zu bekommen ;) upgradepakete bedienen sich immer der entsprechenden vorgängerversion als grundlage für das update...

    wenn man statt dessen hingehen würde und beschreibungen der exploits (und ihrer beseitigung) herausgeben würde, könnte man direkt eine anleitung zur nutzung der exploits veröffentlichen und somit mehr schaden als nutzen anrichten. einfach nur weil diese anleitung von noch mehr kaspern für das kapern fremder seiten ausgenutzt würde. mal ganz abgesehen davon, das die exploits ohnehin einer mehr oder minder grossen leserschaft zugänglich sind, welche sich dieser bedienen.

    mal ganz abgesehen davon nutzt dir die beste beseitigungsanleitung nichts, wenn die versionsabhängigen reparaturbeschreibungen auf dein release nicht zutreffen, bei dir aber ähnliche probleme, wie im exploit beschrieben, anhängig sind. es ist nicht gesagt, das der exploit bei entsprechend älteren versionen durch die reparaturanleitung auch beseitigt wird oder durch selbige anleitung nicht andere lücken gerissen werden, welche deine site noch anfälliger machen würden.

    vG

    Arno
     
  7. divB

    divB Member

    Registriert seit:
    2. März 2007
    Beiträge:
    8
    Zustimmungen:
    0
    Danke für eure Antworten.

    Aber hat keiner eine Ahnung /was/ das für eine Lücke gewesen sein könnte, die es irgendjemand erlaubt, in Wordpress einfach ein fremdes Stück Code (und noch dazu einen iframe!) unterzubringen?

    Weiters möchte ich noch meine Frage wiederholen: Gibts keine Mailingslist (bei jeder Software ausser Wordpress handhabe ich das so) die mich über Updates informiert?

    Natürlich weiss ich dass der Ausweg ist immer die neuste Version zu verwenden. Aber wie erfahre ich davon? Mein Leben dreht sich nicht primär um Wordpress, deswegen kann und will ich nicht jeden Tag in den "Tellerrand" schaun oder nur deswegen irgendwelche RSS Feeds abonnieren.

    Jede Software die ich verwende und nicht unter der Kontrolle des Paketmanagements des Betriebssystems (apt, Debian, security.debian.org) steht beobachte ich über announce-Mailinglisten (horde, gallery2, phpbb, osCommerce, ...) GENAU DESWEGEN auf Sicherheitslücken. Gibts das echt nicht oder wieso schafft das Wordpress nicht?

    lg,
    divB
     
    #7 divB, 9. Januar 2008
    Zuletzt bearbeitet: 9. Januar 2008
  8. Arno Simon

    Arno Simon Well-Known Member

    Registriert seit:
    30. November 2005
    Beiträge:
    2.170
    Zustimmungen:
    0
    sorry, aber..... strato ist ein thema für sich ;) such mal im forum nach entsprechenden threads....

    ehrlich gesagt halte ich persönlich von der firma nicht all zu viel.....

    vG

    Arno
     
  9. Arno Simon

    Arno Simon Well-Known Member

    Registriert seit:
    30. November 2005
    Beiträge:
    2.170
    Zustimmungen:
    0
    doch... AFAIR gibt es so was... durchsuch mal den blog nach den letzten securityUpgrades, da müsste immer ein link auf den englischen Blogeintrag zu finden sein. Spätestens dort dürfte ein Link auf den entsprechenden Wordpress-Verteiler zu finden sein, in dem die Lücken (aber auch andere Probleme) besprochen werden.

    vG

    Arno
     
  10. Hansjörg

    Hansjörg Well-Known Member

    Registriert seit:
    1. Januar 2008
    Beiträge:
    47
    Zustimmungen:
    0
    Moin Arno,

    was Du schreibst ist auch plausibel....

    MFG Hj
     
  11. jottlieb

    jottlieb Well-Known Member
    Ehrenmitglied

    Registriert seit:
    20. August 2005
    Beiträge:
    17.381
    Zustimmungen:
    1
    Nun, auf wordpress.org gibt es einen Newsletter, nur bin ich nicht der einzige, bei dem da noch nie eine Mail angekommen ist.
     
  12. Syntronica

    Syntronica Well-Known Member

    Registriert seit:
    11. März 2006
    Beiträge:
    1.051
    Zustimmungen:
    0
    Seltsamerweise habe ich noch keine Problem damit, aber ich warte immer drauf.
    DAmit sind aber Sicherheitslücken nicht gedeckt. Wann spielt Strato schon ein Update/Sicherheitspack ein?
     
  13. Syntronica

    Syntronica Well-Known Member

    Registriert seit:
    11. März 2006
    Beiträge:
    1.051
    Zustimmungen:
    0
  14. Hansjörg

    Hansjörg Well-Known Member

    Registriert seit:
    1. Januar 2008
    Beiträge:
    47
    Zustimmungen:
    0
    Hallo Arno,

    die von mir geschilderte Problematik hat mit Strato nichts zu tun. Ich bin mir aber bewusst, dass diese Firma für viele Leute ein Reizthema ist.

    Ich kann den Kosten/Nutzwert ganz gut abwägen, da ich seit dem frühen Aufkommen des Internet mit ziemlich vielen verschieden Providern gearbeitet habe. Zuerst mangels deutschen Hostern mit solchen in USA.

    Um es kurz zu sagen: Ich hatte deutlich mehr Grund zur Klage bei den teuren 'Edelprovidern' - eben weil sie so teuer waren aber trotzdem manches Leistungsversprechen nicht einhielten!

    Bei Strato hatte, und habe ich unzählige Webprojekte am laufen. War auch bei denen einer der ersten Kunden. In den letzten Jahren läuft es ganz gut, finde ich.

    Wie gesagt, das sind meine eigenen Erfahrungswerte.

    Grüße, Hansjörg
     
    #14 Hansjörg, 9. Januar 2008
    Zuletzt bearbeitet: 9. Januar 2008
  15. SusanneK.

    SusanneK. Well-Known Member

    Registriert seit:
    14. Februar 2006
    Beiträge:
    109
    Zustimmungen:
    0
    @divB,

    war das "iframe" nur in einem Beitrag?
     
  16. divB

    divB Member

    Registriert seit:
    2. März 2007
    Beiträge:
    8
    Zustimmungen:
    0
    @SusanneK: Ja, ich denke es war in nur einem Beitrag (sonst hab ichs nirgends gefunden)

    @Syntronica: Weil ich RSS hasse und nicht verwende. Aber kennt jemand einen Dienst im Internet der ein RSS --> Mail Gateway bietet? Also ich gib einfach das Feed an und jedesmal wenn auf dem Feed was neues erscheint bekomme ich ein Mail zugeschickt?

    lg,
    divB
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden