So lässt sich Ihr WordPress-Kennwort bis einschließlich Version 2.8.3 von jedem Internetnutzer zurücksetzen

Im der weit verbreiteten, kostenlosen Blog-Software WordPress wurde eine Schwachstelle entdeckt, die jedem Internetnutzer das Zurücksetzen des Administratorkennworts eines Blogs erlaubt.

Alleine durch das Aufrufen der Web-Seite des Blogs, die für das Zurücksetzen der Passwörter zuständig ist (wp-login.php), wird bei der Verwendung eines bestimmten Parameters das Passwort des Administrators des jeweiligen Blogs zurückgesetzt. Das neue Administratorkennwort wird dem Administrator jedoch direkt per E-Mail zugestellt.

Durch die Schwachstelle ist ein Denial-of-Service-Angriff (DoS-Angriff) gegen den Administratorzugang möglich: Setzen Angreifer mit einem Script oder Programm das Passwort automatisch z.B. alle zwei Sekunden zurück, bleibt dem Administrator keine Chance, sich unter seinem Zugang einzuloggen. Für gewöhnlich existieren neben dem Administratorkonto jedoch zahlreiche andere Benutzerkonten für die Autoren des Blogs, sodass der Betrieb nicht lahmgelegt wird.

Eine große Gefahr entsteht durch die Sicherheitslücke daher für Ihr Blog nicht. Falls für Ihr Blog bereits der Administratorzugang zurückgesetzt wurde und Sie eine entsprechende E-Mail erhalten haben, ändern Sie das Passwort einfach wieder. In den meisten Fällen wird es sich schlichtweg um einen Streich handeln oder um neugierige Personen, die im Internet auf die Hinweise zur Sicherheitslücke gestoßen sind und sie testen wollten.

Trotzdem sollten Sie die neue Version 2.8.4 einspielen, wenn Sie WordPress verwenden. Diese behebt den Fehler.