-->

WP 2.8: Freier Eintritt für alle

20. Juni 2009 4 Comments

Immer wieder wird von Einbrüchen in das WordPress CMS gewarnt – ganze Blogsysteme werden übernommen, mit nicht jugendfreiem Inhalt beladen.
Zwar hat WordPress.org schon 2008 reagiert und die sogenannten Secret Codes eingeführt, aber irgendwie ist dieser Kompromis auch nicht das wahre.

Selbst mit Version 2.8 hat es WordPress nicht geschafft, diese Secret Keys bei der Installation zu fertigen – nichtmal ein Hinweis, dass sie manuell gesetzt werden müssen, existiert.
Es gibt sie zwar, wie man sie aber benutzt steht nirgends. Zwar tritt das Problem nur bei der deutschsprachigen Version auf, trotzdem sollte man die Sicherheitsschlüssel kontrollieren.

Es gibt 4 Codes:

define(‘AUTH_KEY’, ‘put your unique phrase here’); // Trage hier eine beliebige, möglichst zufällige Phrase ein.
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’); // Trage hier eine beliebige, möglichst zufällige Phrase ein.
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’); // Trage hier eine beliebige, möglichst zufällige Phrase ein.
define(‘NONCE_KEY’, ‘put your unique phrase here’);

Standardmäßig steht das so in der wp-config.php , man sollte also unbedingt diese Werte angeben.

Wer kein Kreatives Köpfchen ist, kann sie sich auch kostenlos & zufällig generieren lassen: Zum Generator

Ob WordPress es mit 2.8.1, dass ja in wenigen Tagen kommen soll, das fixt – ich glaub’s fast nicht..

Letzter Apell: Macht’s es – es dauert eine Minute und euer WP ist *halbwegs* sicher.

Twitter Digg Delicious Stumbleupon Technorati Facebook Email
Wordpress

About Huggy

View all posts by Huggy

4 Responses to “WP 2.8: Freier Eintritt für alle”

  1. Dennis Morhardt 20. Juni 2009 at 14:22

    Kurzer Hinweiß: WordPress Deutschland (wordpress-deutschland.org) macht nicht die de.wordpress.org, welche man über das Update bekommt. Nur in der Version von de.wordpress.org fehlt der Sicherheitsschlüssel.

  2. Huggy 20. Juni 2009 at 18:22

    Danke für den Nachtrag, das werde ich nacher gleich einfügen.
    Hatte ich vergessen zu erwähnen, steht ja extra im Artikel :)

  3. Stefan Wienströer 27. Juni 2009 at 22:11

    Danke für den Hinweis, werde den Code gleich mal einbinden. Hauptsache es gibt beim Update auf 2.8.1 nicht wieder Update Probleme. Werde diesmal alles gründlich sichern.

  4. mr.gene 22. September 2009 at 16:21

    Und man muss es nur einma machen und hält dann ewig…auch wenn es in der 2.8.3. nun wieder irgendeine andere Lücke gab…
    Ich hab mir da eine .htaccess gebastelt, sodass die login.php nichtmal jeder zu sehen bekommt :D