WordPress 2.8 scheint unter keinem guten Stern zu stehen. Der Start von WordPress 2.8 war aufgrund diverser Probleme (unter anderem bei der Installation und dem automatischen Update) schon ganz schön holprig und innerhalb von 6 Wochen wurden schon drei Updates veröffentlicht.
Auch heute ist wieder eine schwere Sicherheitslücke aufgetaucht. Das Problem liegt in der Funktion zum Zurücksetzen des Passworts und ermöglicht es, unbefugten das Admin-Passwort zurückzusetzen. Diese Lücke kann zwar nicht genutzt werden um in das System einzudringen, weil das neue Passwort per Mail an den Administrator gesendet wird, aber es ist sehr ärgerlich und es verunsichert viele WordPress-Nutzer.
Zum Glück gibt es schon einen Fix für das Problem. Eine korrigierte Version der Datei wp-config.php steht bei WordPress Deutschland zum Download bereit. Man kann aber auch die wp-config.php selbst fixen, indem man den Eintrag in Zeile 190 :
if ( empty( $key ) ) durch if ( empty( $key ) || is_array( $key ) ) ersetzt.
Egal wie man es macht, man sollte es auf jedenfall schnellstmöglich machen. Ob eine neue aktualisierte Version 2.8.4 geben wird oder ob es bei dem Fix bleibt, wird man in den nächsten Tagen sehen. Von diesem Fehler ist nicht nur die aktuelle Version 2.8.3 betroffen, sondern auch die anderen 2.8.x-Versionen.
