Obst ist nicht genug

Stürmischer Herbst mit WordPress 2.3?

Heute soll es ja soweit sein, die neue WordPressversion 2.3 wird veröffentlicht. Es gibt einen ganzen Sack voll neuer Funktionen, da wären z.B. Tags nebst Tagwolke, SEO-Verbesserungen, mehr Datenbanksicherheit und Updatebenachrichtigungen.

Letzteres sorgt allerdings bereits jetzt für Unmut bei WordPressnutzern, denn diese durchaus sinnvolle Funktion überträgt beim Überprüfen der Versionsinformationen auch Daten, die dafür nicht notwendig wären, so z.B. die Adresse des Blogs, kurz URL genannt. Im WP-Forum wird bereits darüber diskutiert und das eine oder andere Blog berichtet darüber.

Nun muß man aber auch sehen, daß WordPress keine deutsche Erfindung ist und die WP-Macher insofern keine große Rücksicht auf deutsche Datenschutzbefindlichkeiten nehmen müssen. Ich weiß nicht wie das mit Datenschutz in den USA aussieht, aber kann mir vorstellen, daß man sich da keine großen Gedanken gemacht hat, als man die URL mit in die übertragenen Daten aufgenommen hat.
Vielleicht wird ja in der von WordPress-Deutschland lokalisierten Version die URL-Geschichte entfernt, um den hiesigen Datenschutzbelangen besser zu entsprechen.

Allerdings werden in den oben genannten Quellen nicht nur die Datenschutzaspekte angesprochen, sonder auch Sicherheitsfragen. WordPress und gerade auch die Plugins sind ein beliebtes Angriffsziel für bösartige Würmer und sonstige Schadsoftware. Mit der Kenntnis der URL und der dort verwendeten Plugins mit den Versionsinformationen wäre es natürlich deutlich effektiver, Schwachstellen auszunutzen, als anfällige Systeme mühsam durch Abklappern zu finden.
Dieses rumgeklingel habe ich hier auch schon gehabt. Vorzugsweise wird versucht, Dateien mit bekannten Schachstellen im Verzeichnis /wp-content/plugins/ aufzurufen.
Dagegen kann man sich übrigens recht einfach schützen, indem man das PLUGINDIR in der wp-config.php einfach umdefiniert:

define('PLUGINDIR', 'wp-bla/fasel');

Dann muß man natürlich auch alle Plugins in dieses Verzeichnis kopieren :-).

Lange Rede, kurzer Sinn, ich habe mich wie schon bei den Werbezappelecken entschlossen, das Problem programmtechnisch zu bekämpfen, diesmal aber nicht hier mit einem Plugin, sondern drüben bei Schnurpsel mit einer Anleitung:
WordPress 2.3 – Anonym up-to-date bleiben

9 Kommentare »