Die WordPress Entwickler haben schnell reagiert und ein Sicherheitsupdate für die gestern bekannt gewordene Sicherheitslücke in WordPress gebracht. Mit WordPress 2.8.4 steht jetzt eine Version zum Download bereit die den Fehler beseitigt und so den Blog gegen eventuelle Passwort-Veränderungen absichert.
Da das Problem wohl bei allen Vorgängerversionen auch auftreten kann ist ein Update auf die neuste Version dringend angeraten.
Wer das nicht möchte kann die Lücke auch manuell schließen. Heise.de schreibt dazu:
Die WordPress-Entwickler sind über das Problem informiert und haben den Fehler im Entwicklungszweig korrigiert, in dem sie die Übergabe von Arrays an die Variable Key blockieren. Dazu haben sie in wp-login.php die Zeile
if ( empty( $key ) )durch
if ( empty( $key ) || is_array( $key ) )ersetzt.
Die aktuelle Version von WordPress steht hier zum download bereit. Die deutsche Version ist derzeit noch nicht erhältlich, dürfte aber im Laufe des Tages erscheinen.
Der Austausch der einen Zeile (aus dem Heise-Beitrag) reicht nicht aus, in einer späteren Änderung wurde deutlich mehr angepasst, siehe:
http://core.trac.wordpress.org/changeset/11804
Soweit ich es getestet habe reicht die Codezeile gegen die Sicherheitslücke aus . ist aber natürlich eine Quick/Dirty Lösung. Besser ist es in jedem Fall gleich auf Wp 2.8.4 zu gehen, insbesondere wenn man ohnehin schon mit der 2.8 arbeitet …