Hand-Drawn-Wordpress-256

WordPress ist nicht gleich WordPress

Im Deutschsprachigen Forum von wpde.org tauchen immer wieder Beiträge auf, die sich auf die eingesetzte Version von WordPress.com beziehen. Es wird zwar von beiden Seiten darauf hingewiesen, dass die verwendeten Umgebungen unterschiedlich sind und der eine dem anderen bei Anfragen nicht helfen kann, doch das wird in der Hektik von Hilfesuchenden gerne übersehen.

Ich habe mir mal die Mühe gemacht und versucht hier mal die Unterschiede, nebst Vorteile und Nachteile der beiden Versionen darzulegen.

Weiterlesen

tim

Sicherheitslücke in TimThumb

Eine erneute Sicheheitslücke in TimThumb ist gefunden worden.

2011 wurden bereits etliche Blogs gehackt, welche in den Themes und Plugins die Datei  timthumb.php einsetzten. Dieses Mal betrifft es allerdings die so genannte WebShot Funktion, welche unter anderem auch zum Skalieren, oder Beschneiden der Bilder genutzt werden kann. Ein gutes hat diese Sache allerdings. WebShot ist normalerweise Standardmäßig deaktiviert und so dürfte die Anzahl der verwundbaren Webseiten nicht ganz so hoch sein, wie bei der ersten Sicherheitslücke.

TimThumb ist im überigen das beliebteste Ziel für Hackerangriffe.

Betroffen sind alle Plugins und Themes, welche TimThumb 2.8.13. einsetzen und ein Update (Austausch) der betroffenen Datei timthumb.php  auf Version 2.8.14 ist dringend empfohlen, falls das verwendete Theme, oder Plugin diese Datei beinhaltet.

 

tim

DDos WordPress

Wie auf heise.de am 14.03.14 zu lesen war, wurden etliche WordPress Blogs mittels einer Funktion, die eigentlich nicht dafür vorgesehen war für eine so genannte Denial-of-Service Attake (DDos) missbraucht, ohne das die Blogbetreiber etwas davon mit bekamen. Ausgenutzt wurde dafür die Pingback Funktion welche eigentlich dazu dient, dass andere Blog Artikel abragen können, die der Blogbetreiber erstellt hat. Wird hierfür allerdings ein nicht vorhandener Artikel angefragt, produziert der Server verständlicher Weise einen 404 Fehler (Seite nicht gefunden) und wenn diese Abfrage mehrfach in der Sekunde wiederholt wird, kann dieses den betroffenen Blog ausbremsen, oder schlimmstenfalls die Datenbank der WordPress Installation außer Gefecht setzen.

Da dieses allerdings eine “gute” Funktion von WordPress betrifft welche da missbraucht wird ist kaum mit einem Update, oder gar dem Wegfall der Pingback Funktion zu rechnen.

Weiterlesen