Sicherheitsl√ľcken in WordPress Plugins

Dass die Gefahr besteht, sich mit dem Plugin von der Stange mal eben eine kritische Sicherheitsl√ľcke ins WordPress zu holen, dar√ľber sollte sich jeder Betreiber eines WordPress-Blogs im Klaren sein. Wie ars technica allerdings k√ľrzlich berichtete, hat es gerade drei relativ verbreitete Plugins erwischt.

Wobei erwischt eher bedeutet, das Sicherheitsberater logische Fehler im Code endeckt und veröffentlicht haben. Im wesentlichen handelt es sich um Möglichkeiten, sich entweder direkt ohne Credentials direkt als Administrator eines Blogs anzumelden, oder die Benutzerrolle eines vorhandenen Benutzers zum Admin zu eskalieren. In einem Fall könnten von Angreifern aber ohne weiteres Login direkt Datenbanken gelöscht werden.

Betroffen sind InfiniteWP, WP Time Capsule und WP Database. Wer diese Plugins installiert hat, sollte also dringend aktuelle Updates einspielen, f√ľr alle drei stehen bereits Fixes bereit.

Instant Images ‚Äď WordPress Plugin

Sicherlich ist schon aufgefallen, dass ich zur Bebilderung meines Geblogges hier wirklich gerne Bilder von unsplash.com nutze. Die Bilder dort sind in der Mehrzahl nicht nur sehr schön anzusehen, sondern stehen sämtlich unter der CC Zero Lizenz formally known as public domain. Das vorne weg.

Nun wird das Hinzuf√ľgen von unsplash-Bildern noch einfacher f√ľr mich, denn ich nutze dazu jetzt das WordPress-Plugin Instant Images (hiess fr√ľher mal UnsplashWP). Jenes stellt eine √úbersicht und Suchmaske f√ľr die unsplash-Bibliothek im WordPress-Backend zur Verf√ľgung, l√§dt einem ausgew√§hlte Bilder in die Medienbibliothek und von dort k√∂nnen sie wie gewohnt in Artikel eingef√ľgt werden. Das kann man auch am Artikel selbst initieren, hier musste ich aber die Seite einmal reloaden, um ein hochgeladenes Bild in den Bibliothek sehen zu k√∂nnen.

Wer m√∂chte, kann sich einen Unsplash-Account zulegen und seinen eigenen API-Key f√ľr das Plugin nutzen.

Das ist an sich prima, leider muss ich immer noch losziehen, um meiner Linking-Policy gerecht zu werden, die an die FAQ von unsplash angelehnt ist (die Autorinformation steht aber schon am Bild):

A simple credit like ‚ÄėPhoto by x‚Äô with a link back to their Unsplash profile is always appreciated.

[yasr_overall_rating]

Katzenbild: Q’Aila Edm