WordPress XSS-Hack bei integriertem bbPress

Der beim fiesen Admin beschriebene, aktuelle XSS-Hack für WordPress betrifft nicht nur WordPress-Blogs mit einer Benutzerregistrierung, sondern auch jedes WordPress mit einem integrierten bbPress-Forum, selbst wenn die Benutzerregistrierung im Blog abgeschaltet wurde.

Es handelt sich bei der bbPress-Integration ja gerade um die Möglichkeit, dass sich WordPress und bbPress eine gemeinsame Benutzerdatenbank teilen. Das hat nicht nur den angenehmen Effekt, dass ein in bbPress registrierter und angemeldeter Benutzer beim Kommentieren nicht mehr seine Daten beim Kommentieren eines Blogeintrages eingeben muss, sondern er erhält auch einen Zugriff auf das WordPress-Dashboard. Damit ist auch der beschriebene Hack möglich.

Angesichts der Tatsache, dass dieser Hack sehr einfach in seiner Durchführung und auch leicht mit einem Skript automatisierbar ist, und angesichts der Tatsache, dass es schon betroffene Blogs gibt, sollte bei jedem WordPress-Anwender, der eine Benutzerregistierung ermöglicht oder ein eingebettetes bbPress-Forum betreibt, die Alarmglocke unüberhörbar sein. Ein Upgrade auf die aktuelle WordPress-Version 2.8.4 ist dringend erforderlich.

WordPress 2.8.2

Nur, um zu so vielen Klagen über Rauheiten und Fehler auch mal etwas Gutes mitzuteilen: Diese Website läuft jetzt mit WordPress 2.8.2, der Upgrade war problemlos und die Integration mit bbPress funktioniert weiterhin reibungslos. Wenn das doch nur immer so wäre

bbPress 0.9.0.5

Ich habe soeben ein aktuelles bbPress 0.9.0.5 mit meiner Sprachdatei für bbPress 0.9.0.4 aufgesetzt.

Erfreulicherweise gibt es keinen Bedarf, etwas an der Sprachdatei zu ändern. Sie kann problemlos mit der aktuellen stabilen Version verwendet werden. Allerdings sind mir noch einige Unstimmigkeiten in den von mir verwendeten Begriffen aufgefallen, die ich vielleicht in den nächsten Tagen beheben werde.

Von der Erstellung einer Sprachdatei für die gegenwärtig verfügbaren Release-Kandidaten sehe ich allerdings ab. Ich möchte niemanden dazu verleiten, eine unfertige Software auf seinem Webserver laufen zu lassen und warte auf die erste, offizielle Release, bevor ich mich an diese Arbeit mache. Wer sein bbPress mit einer aktuellen WordPress-Version integrieren möchte, wird dies vielleicht bedauern, da die aktuelle, stabile bbPress-Version nicht mit der aktuellen WordPress-Version kompatibel ist, während der Release-Kandidat problemlos integrierbar ist. Dennoch würde ich jedem davon abraten, eine unfertige und möglicherweise noch nicht völlig ausgereifte Software auf einem Computer laufen zu lassen, der permanent mit dem Internet verbunden ist und deshalb auch ein „Opferrechner“ ist, an dem diverse Angriffe ausprobiert werden.