WP 2.7 hat einen fehlerhaften Sicherheitskey


Jeder der schon die neue Wordpress 2.7 Version nutzt sollte auch einmal seine wp-config.php Datei kontrollieren. Dort müßten 4 :!: Sicherheitskeys stehen und nicht weniger. Wenn dort nur 3 oder noch weniger Keys stehen, nimmt Wordpress einen Standard Key, der dann leicht hackbar ist.

Wer seine Version NICHT von Wordpress Deutschland hat sollte darauf achten. Ich hatte zwar die deutsche version aber habe ja die wp-config-sample.php nicht neu gemacht. Dort stehen aber alle 4 Keys drinnen.

define(‘AUTH_KEY’, ‘put your unique phrase here’); // Trage hier eine beliebige, möglichst zufällige Phrase ein.
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’); // Trage hier eine beliebige, möglichst zufällige Phrase ein.
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’); // Trage hier eine beliebige, möglichst zufällige Phrase ein.
define(‘NONCE_KEY’, ‘put your unique phrase here’); // Trage hier eine beliebige, möglichst zufällige Phrase ein.

Ebenfalls ist der Link zum generieren der Keys in anderen Versionen nicht ganz korrekt und deswegen fällt dann ein fehlender Key nicht auf.

Der richtige Link lautet: http://api.wordpress.org/secret-key/1.1/

Wordpress spuckt auch keine Fehlermeldung dazu aus, also schnell die wp-config.php kontrollieren und nachbessern :!:

Gefunden bei Texto, also weiterbloggen ;-)

in der jeweiligen Anzeige auf den grünen Pfeil klicken - Danke

5 KOMMENTARE ZUM Artikel

  1. ritchie hat diesen Kommentar am 19. Dezember 2008 geschrieben| Permalink

    Prinzipiell ist die Sache mit den vier Keys sicherheitstechnisch ja sehr begrüßenswert, aber ein kleiner Hinweis auf das nötige Update der wp-config wär durchaus angebracht gewesen, find ich.

    ritchies letzter Blog Eintrag…Gewinnspiel: 3x Works for Vier Pfoten (Bildband)

  2. mr.gene hat diesen Kommentar am 19. Dezember 2008 geschrieben| Permalink

    Gut zu wissen. Dann werd ich beim Update mal verstärkt darauf achten ;)

    mr.genes letzter Blog Eintrag…LAN-Party in Germany

  3. Carsten hat diesen Kommentar am 19. Dezember 2008 geschrieben| Permalink

    Steht mit Sicherheit iiiiiiirgendwo ganz klein gedruckt ;-) nur liest das ja keiner und selbst ich habe nur die neue Version gesogen und sie mal eben drübergebügelt. In der Hektik macht man das ja so… und viele andere auch.

  4. addicted hat diesen Kommentar am 19. Dezember 2008 geschrieben| Permalink

    Ich habe nicht von WP.de installiert, und hatte alle 4 Keys in der Config, sowie die korrekte URL zur API. Vermutlich sind nur User betroffen, die ein Update machen.

  5. Carsten hat diesen Kommentar am 19. Dezember 2008 geschrieben| Permalink

    Das kann natürlich sein. ich hatte lediglich ein update aufgespielt und da waren in der älteren Version nur 3 keys drinne. Neu aufsetzen machen aber die wenigsten und leider gibt es keine passende Meldung…

Ein Trackback

  1. trueten.de - Willkommen in unserem Blog! on 19. Dezember 2008

    Was mir heute wichtig erscheint #67…

    Lücke: Bei Wordpress gibt es eine haarige Sicherheitslücke mit dem Sicherheitskey im letzten Update. Hoffentlich haben das meine Kollegen berücksichtigt…Schöngeschwätzt: In Zusammenhang mit dem Mordversuch an dem Passauer Polizeidirektor wird da…

Onlinereputation Datenwachschutz auf


_______________________________

RSS ? Hier klicken !

Was ist eigentlich RSS ?

Kostenloses Buch

Twitter

Was ist Twitter ???

Rss Feed Tweeter button Facebook button Technorati button Reddit button Myspace button Linkedin button Webonews button Delicious button Digg button Flickr button Stumbleupon button Newsvine button Youtube button