WordPress 4.0.1 ist am 20. November 2014 erschienen und behebt Sicherheitslücken und diverse Fehler. Das Update wird allen WordPress-Nutzern schnellst möglich empfohlen.
Folgende Sicherheitslücken wurden (unter anderem) geschlossen:
- Drei Cross-Site-Scripting Lücken, womit die Benutzer mit der Rolle Mitarbeiter und Autor die Website manipulieren konnten. Entdeckt von Jon Cave, Robert Chapin und John Blackbourn vom WordPress Sicherheitsteam.
- Eine Cross-Site-Request-Forgery Lücke, womit Benutzer unberechtigt aufgefordert werden könnten, das Passwort zu ändern.
- Ein Problem, womit man bei der Passwort-Abfrage einen Denial of Service auslösen konnte. Gemeldet wurde dies von Javier Nieto Arevalo und Andres Rojas Guerrero.
- Weitere mögliche serverseitige Übergriffs-Attacken, wenn WordPress Aufrufe über HTTPS tätigen musste. Gemeldet von Ben Bidner.
- Eine extrem unglückliche Hashtag-Überschneidung hätte es ermöglichen können, dass Benutzerkonten manipuliert werden konnten. Gemeldet von David Anderson.
- WordPress annuliert nun den einmaligen Link in der Passwort-Zurücksetzen-Mail, falls dem Benutzer doch sein Passwort wieder eingefallen ist, sich anmeldet und dann die E-Mail Adresse ändert. Gemeldet von Momen Bassel, Tanoy Bose und Bojan Slavkovi? of ManageWP.
(Quelle: blog.wpde.org)
Nicht vergessen: vor dem Update am besten ein Backup machen. In der Regel passiert zwar nichts (ich habe bisher nie das Backup gebraucht), aber sicher ist sicher.
