Arcadewelten.eu

Mit dem Update auf WordPress 3.3.2 schließen die Entwickler einige Sicherheitslücken in der weit verbreitetem Blog-Software und ihren Komponenten. In den Bibliotheken Pluploa, SWFUpload und SWFObject wurden nicht näher beschriebene Schwachstellen geschlossen, die vertraulich von Sicherheitsexperten gemeldet wurden. Die Bibliotheken dienen unter anderem dem Hochladen und Einbetten von Mediendateien.

Quelle: heise.de /Zum Artikel

Es gibt vieles Themes und Plugins, darunter auch Premium-Themes z.B. von StudioPress oder Elegant Themes welche das PHP-Script timthumb benutzen, um z.B. Vorschaubilder zu erzeugen oder Bilder zuzuschneiden.
Dieses Script enthält aber eine schwerwiegende Sicherheitslücke welche praktisch kompletten Zugriff auf das ganze Blog bietet.
Jeder sollte also überprüfen, ob von ihm verwendete Themes oder Plugins die Datei timthumb.php mitbringen. Falls ja, sollte man diese Datei unbedingt erst einmal löschen, bis eine korrigierte Version von timthumb verfügbar ist.
Ebenso sollte der Blog auf Hacks geprüft werden (z.B. vorher nicht da gewesene base64-Codes.

Eine aktualisierte Version (1.34) der Datei timthumb.php ist wohl bereits verfügbar. Zum Download der Datei. Wir empfehlen den Austausch der alten timthumb.php auf eurem Server (falls vorhanden) mit dieser neuen Version.

Quelle : blog.wordpress-deutschland.org

Das Fakebook nun sehr genutzt wird um interessante News und Nachrichten schnell und sicher zu verbreiten ist jedem bekannt, leider aber auch Spamern und Betruegern die dann ihre Fake Videos verteilen um Werbeeinnahmen zu steigern oder eben Daten zu Sammeln.

So erfuhr man z.b. Gestern vom Tot von Amy Winehouse und schon nach einigen Stunden ging bei Facebook dieser Mist rum :

man muss ja nicht unbedingt auch noch erwaehnen das dieses auch sehr geschmacklos ist, ist ja selbst klaerent denken wir.

Nach dem web-burner.de nun sehr negativ bewertet wurde durch WOT und auch oft vor Gewarnt wurde hat man nun die Seite web-burner.de.vu ins leben gerufen, man muss nicht unbedingt erwaehhnen das es hier auch um like jacking geht denken wird, interessant ist aber das Werbebanner was auf den Beiden seiten sich Oeffnet und man nicht wirklich schliessen kann sondern immer dann auf der Seite iq-mania.de Landet.

Unbekannte haben sich Zugriff auf das offizielle Pluginverzeichnis verschafft und die drei populären Plugins AddThis, WPtouch und W3 Total Cache mit einer Backdoor ausgestattet. Durch die Hintertür kann man Zugriff auf das betroffoffene System erlangen.

Wie genau dabei vorgegangen wurde, wird derzeit noch ermittelt – als eine erste Vorsichtsmaßnahme wurden auf WordPress.org, bbPress.org und BuddyPress.org alle Passwörter zurückgesetzt. Wer sich dort anmelden möchte, muss sich ein neues Passwort zusenden lassen.

Quelle und vollstaendiger Bericht : blog.wordpress-deutschland.org

Auch sehr Interessant sollte das hier sein : mtekk.us

Soeben wurde WordPress 3.1.2 veröffentlicht. Diese Version ist ein Sicherheitsrelease und behebt eine kritische Sicherheitslücke sowie einige kleinere Fehler. Durch das Sicherheitsproblem können User mit der Benutzerrolle “Mitarbeiter” (Contributor) unberechtigt Beiträge veröffentlichen.

Eine Aktualisierung auf die neue Version 3.1.2 wird dringend empfohlen, insbesondere für Installationen, die eine Benutzerregistrierung zulassen oder die nicht vertrauenswürdige Benutzer haben.

Quelle und downloads fuer WP 3.1.2: wordpress-deutschland.org

Blogger die Versionen vor 3.1 nutzen sollten auch bedenken das es keiner Updates fuer ihre Blog Versionen mehr gibt. ! Also genau der richtige Zeitpunkt auf Version 3.1 Upzudaten :)

Hallo liebe Leser,

Wir suchen für Wordpress ein plugin, oder eben ein ganz eigenständiges Script,
Mal hier eine kleine Beschreibung wo für wir das brauchen oder was es können soll :

Man sollte dort z.b. Link eintragen bzw. einsenden sollen, und zwar die Leser, der Admin sollte diese nur Freischalten können, zu dem Link sollte dann z.b. noch eine Beschreibung abgeben werden.

So und nun kommt es das soll dann als eine Art Übersichtlich Box bzw. Seite angezeigt werden, wie z.b. eine Art Tabelle wenn man die links mit Beschreibung die durch Leser Eingereicht wurden freischaltet.

Gibt es so ein Plugin für Wordpress überhaupt ?

Oder eben ein eigenständiges Script mit Datenbank.

Wer da was kennt oder Ideen hat, immer her damit, entweder per Kommentar oder gerne über das Kontakt Formuar =)

Danke schon einmal im voraus ;)

Wordpress 3.0.4 ist erschienen und behebt eine Kritische Sicherheitsluecke ( XSS )

Es Wird dringend Empfohlen das jeder Schnellst moeglich das Update einspielt, dieses kann per Autoupdate vorgenommen werden oder ueber das Upgradepaket von 3.0.3 auf 3.0.4

Quelle : blog.wordpress-deutschland.org

Im Blog von wordpress-deutschland wurde bekannt geben das das die unterstuetzung fuer php4 wie auch mysql 4 in WP ab Version 3.1 beendet wird "WordPress verabschiedet sich von PHP 4 und MySQL 4"

php 4 bekommt seit einiger Zeit von den php Entwicklern schon gar keine updates oder Support mehr und gilt als veraltet und unsicher.
Jeder Hoster sollte eigentlich schon php 5 anbieten eben so mysql, im Zweifelsfall sollte man einmal den Support seines Hosters Kontaktieren und nachfragen wie es mit der aktuellen Versionen aussieht.

quelle : wordpress-deutschland.org

Auf einer netten Anfrage vom Blog Betreiber Ein Blog für Rödermark moechte ich hier nachkommnen, und den Interessanten Bericht ueber Phishing und Datenklau ein kleinen Artikel Ausschnitt hier veroeffentlichen :

04.06.2010 (KOD) – Aus gegebenem Anlass möchte ich nochmal auf die Problematik im Zusammenhang mit JavaScript aufmerksam machen. Der gegebene Anlass war dieser Bericht. Was da auf der Strasse möglich ist, habe ich einfach einmal auf eine etwas andere Art für das Internet umgesetzt.

Ich habe eine nette Bitte per Email vom Betreiber der Seite Ein Blog für Rödermark bekommen, einen beitrag hier zu zitieren und hier zu veroeffentlichen, dieser bitte fuer diesen sehr Interessanten Artikel komme ich gerne nach und kopiere hiermit per Zitat.

Bewertungen der Webseiten mit SeitTest.

11.05.2010 Es gibt ein sehr nützliches Tool für Webbseitenbetreiber (SEO). Mit diesem Tool kann die technische Qualität einer Webseite überprüft werden. Die Webseite wird dann auch noch bewerten. Aus dieser Bewertung heraus kann eine Optimierung der Webseite durchgeführt werden. Es geht bei dieser Bewertung ausschl. um eine technische Bewertung. Versuchen Sie es einmal bei http://seittest.de/ mit Ihrer Webseite.

Macht der Blog jetzt Werbung für SeitTest? Im Prinzip schon, es ist ein hilfreicher Dienst der einen schnellen Überbick der Webseite gibt und dazu noch kostenlos ist.

Aber der Hauptgrund in diesem Blog ist:

Das Testergebnis wird von dubiosen Webseiten als Qualitätsmerkmal missbraucht. Als Beispiel sei die Seite eines Verbraucher Portals genannt. Hier wird dem Leser der Eindruck vermittelt die Seite an sich, also das Angebot dieser Seite, ist Geprüft und Empfohlen worden.

Nach übereinstimmenden Meldungen wurden in den vergangenen Tagen gleich reihenweise mit Wordpress erstellte Websites gehackt. Schien sich die Attacke zunächst nur gegen Websites zu richten, die von dem US-Unternehmen DreamHost gehostet werden, ist mittlerweile klar, dass auch Blogs auf GoDaddy, Bluehost und Media Temple betroffen sind. Zudem seien nach unbestätigten Aussagen von WPSecurityLock auch andere PHP-basierte Management-Systeme wie die eCommerce-Lösung Zen Cart von dem Angriff betroffen.

Allen infizierten Seiten scheinen Skripte hinzugefügt worden zu sein, die dem Anwender nicht nur Malware unterschieben, sondern unter anderem auch verhindern, dass etwa auf Googles Safe-Browsing-API beruhende Browser wie Firefox und Google Chrome beim Aufruf der Seite Alarm schlagen. Trifft Googles Search-Bot auf eine so präparierte Seite, liefert diese einfach harmlosen Code aus. Neu sind solche Browser-Weichen nicht, bislang nutzen Entwickler sie jedoch eher, um an den Internet Explorer und Firefox unterschiedlichen Code aufgrund unterschiedlicher Funktionen auszuliefern