Sicherheitsupdate für Wordpress

Mitte Juni haben die Entwickler mit Wordpress „Green“ die Version 3.4 der Open-Source-Blog-Software veröffentlicht. Das Update auf Wordpress 3.4.1 korrigiert nun 18 kleinere Fehler und beseitigt zwei Sicherheitslücken.

Laut der Codex-Seite von Wordpress lässt sich eine Lücke für Cross-Site-Scripting (XSS) ausnutzen. Das ist bei Multi-Site-Installationen dann möglich, wenn Nutzer ungefiltertes HTML verwenden.

Eine weitere Lücke räumt Besuchern einer Webseite unter bestimmten Bedingungen höhere Rechte ein. Dadurch können Besucher einer Wordpress-Site beispielsweise auf Entwürfe oder private Beiträge zugreifen, zu denen sie eigentlich keinen Zugang haben sollten. Anfällig dafür ist neben Wordpress 3.4 auch der Vorläufer 3.3.

Neben den Sicherheitslücken werden 18 weitere Fehler mit Wordpress 3.4.1 beseitigt. Diese betreffen beispielsweise Probleme beim Auffinden von Seiten-Templates und die Permalink-Struktur von Kategorien. Wordpress 3.4.1 soll jetzt mit Plugins und Themes besser zurechtkommen, die Javascript nicht korrekt laden. Außerdem wurde die Kompatibilität mit Servern verbessert, auf denen PHP 5.2.4 oder 5.4 mit einer ungewöhnlichen Konfiguration läuft (safe mode, open_basedir).

Die Sicherheitsexperten raten dringend zu einer zeitnahen Aktualisierung der Software. Die neue Version erhalten Sie auf der Downloadseite von Wordpress.org, eine deutschsprachige Version gibt es bei wpde.org. Ein bereits installiertes Wordpress lässt sich am einfachsten über das Dashboard aktualisieren. Klicken Sie einfach auf den Link „Bitte aktualisiere jetzt.“. Wie immer bei Updates, sollten Sie vorher sicherheitshalber ein Backup der Datenbank und der Wordpress-Dateien anlegen.