Etwas überrascht habe ich heute früh festgestellt, dass es eine neue WordPress-Version gibt. Im aktuellen Release wurden einige Verbesserungen vorgenommen, die der Sicherheit von WordPress-Blogs zu Gute kommen. Dazu wurden Sicherheitsverbesserungen die mit der kommenden Version 2.9 veröffentlicht werden, auf 2.8 zurückportiert und nun als Version 2.8.5 herausgegeben.
Der Grund dafür liegt in einer Schwachstelle der Trackback-Schnittstelle, welche aktuell für DoS-Attacken auf WordPress-Blogs ausgenutzt wird. Zwar wird seitens WordPress-Deutschland das Problem nicht als gefährlich eingestuft aber ein Update ist auf jeden Fall ratsam.
Weiterhin wurden Code-Teile entfernt, die in Variablen befindlichen PHP-Code ausführen. Auch beim Datei-Upload gab es Änderungen. Hier wurde die Whitelist der erlaubten Dateierweiterungen, die bislang nur normale Nutzer berücksichtigt hat, auch auf Administratoren erweitert.
Zudem empfehlen die Entwickler das WP-Plugin WordPress Exploit Scanner. Dieses durchsucht Dateien und Tabellen einer WordPress-Installation nach Auffälligkeiten ab. Wer also lieber ganz sicher gehen will, dass sein Blog sich nichts eingefangen hat, sollte das Plugin mal laufen lassen.
WordPress 2.8.5 steht im Moment nur bei WordPress.org zum Download bereit. Bei WordPress-Deutschland ist die aktuelle Version und auch die DE-Edition noch nicht zu haben. Kann aber nicht mehr lange dauern.
Update 17:00 Uhr: Bei WordPress-Deutschland gibt es jetzt auch das Updgrade-Paket und die DE-Edition.
