Heute ist eine gravierende Sicherheitslücke bei vielen WordPress-Blogs publik geworden.
Diese betrifft alle Themes, die das PHP-Script timthumb für die Erstellung von Vorschaubildern benutzen. Um zu sehen, ob dein Blog auch angreifbar ist, kontrolliere bitte, ob sich die Datei timthumb.php in deinem WordPress-Ordner (speziell bei den Themes) findet. Diese solltest du dann mit der aktuellsten Version des Scriptes austauschen.
Im Detail ermöglicht eine fehlerhafte Überprüfung von übergebenen Parametern das nachladen von schadhaften Scripten auf den Blog (sogenannte PHP-Shells). Damit kann ein Angreifer zunächst die Kontrolle über den Blog übernehmen und unter Umständen auch seine Rechte auf den ganzen Webserver erweitern.
Weitere Informationen zu der Timthumb-Sicherheitslücke gibt es auf Heise und auf dem deutschen WordPress-Blog.
Ähnliche Artikel:
