Sicherheitslücken in WordPress Plugins

Dass die Gefahr besteht, sich mit dem Plugin von der Stange mal eben eine kritische Sicherheitslücke ins WordPress zu holen, darüber sollte sich jeder Betreiber eines WordPress-Blogs im Klaren sein. Wie ars technica allerdings kürzlich berichtete, hat es gerade drei relativ verbreitete Plugins erwischt.

Wobei erwischt eher bedeutet, das Sicherheitsberater logische Fehler im Code endeckt und veröffentlicht haben. Im wesentlichen handelt es sich um Möglichkeiten, sich entweder direkt ohne Credentials direkt als Administrator eines Blogs anzumelden, oder die Benutzerrolle eines vorhandenen Benutzers zum Admin zu eskalieren. In einem Fall könnten von Angreifern aber ohne weiteres Login direkt Datenbanken gelöscht werden.

Betroffen sind InfiniteWP, WP Time Capsule und WP Database. Wer diese Plugins installiert hat, sollte also dringend aktuelle Updates einspielen, für alle drei stehen bereits Fixes bereit.

Instant Images – WordPress Plugin

Sicherlich ist schon aufgefallen, dass ich zur Bebilderung meines Geblogges hier wirklich gerne Bilder von unsplash.com nutze. Die Bilder dort sind in der Mehrzahl nicht nur sehr schön anzusehen, sondern stehen sämtlich unter der CC Zero Lizenz formally known as public domain. Das vorne weg.

Nun wird das Hinzufügen von unsplash-Bildern noch einfacher für mich, denn ich nutze dazu jetzt das WordPress-Plugin Instant Images (hiess früher mal UnsplashWP). Jenes stellt eine Übersicht und Suchmaske für die unsplash-Bibliothek im WordPress-Backend zur Verfügung, lädt einem ausgewählte Bilder in die Medienbibliothek und von dort können sie wie gewohnt in Artikel eingefügt werden. Das kann man auch am Artikel selbst initieren, hier musste ich aber die Seite einmal reloaden, um ein hochgeladenes Bild in den Bibliothek sehen zu können.

Wer möchte, kann sich einen Unsplash-Account zulegen und seinen eigenen API-Key für das Plugin nutzen.

Das ist an sich prima, leider muss ich immer noch losziehen, um meiner Linking-Policy gerecht zu werden, die an die FAQ von unsplash angelehnt ist (die Autorinformation steht aber schon am Bild):

A simple credit like ‘Photo by x’ with a link back to their Unsplash profile is always appreciated.

[yasr_overall_rating]

Katzenbild: Q’Aila Edm