Sicherheitsprobleme mit WP-DB-Backup

aufgrund einiger Sicherheitsprobleme im WordPress Plugin WP-DB-Backup haben wir dieses Plugin in allen betreuten WordPress-Instanzen deaktiviert. Angreifer können u.U. mit überschaubaren Aufwand Lage und Name von Datenbanksicherungen ermitteln und die Sicherungen dann herunterladen.

Sicherheitsprobleme bei bash Shell

Wie heute bekannt wurde, hat der bei vielen Linux und Unix-Systemen verwendete Kommandointerpreter bash ein Sicherheitsproblem, durch das evtl. auch Schadsoftware in ein System eingeschleust werden kann. Weitere Informationen s. z.B.

http://www.heise.de/newsticker/meldung/Standard-Unix-Shell-Bash-erlaubt-das-Ausfuehren-von-Schadcode-2403305.html

Auf allen von uns betreuten Linux-Server-Systemen sind bereits Updates installiert die diese Sicherheitslücke schließen.

WordPress 4.0

Die nächste WordPress Version 4.0 mit Codenamen “Benny” wurde veröffentlicht. Die wichtigsten Neuerungen sind zum einen eine überarbeitete Medienverwaltung und zum Anderen neue Möglichkeiten zur Einbettung von Multimediainhalten. Ebenso wurde der Pluginbereich überarbeitet.

Weitere Informationen:

http://blog.wpde.org/2014/09/04/wordpress-4-0.html

Die komplette Übersicht:

https://codex.wordpress.org/Version_4.0

Die von uns betreuten WordPress-Installationen wurden bereits größtenteils aktualisiert, sofern keine Komponenten das Upgrade noch verhindern.

WordPress XML-RPC DOS-Attacken

Gestern beobachteten wir auf einigen WordPress-Installationen Attacken aus dem Internet, die über die XML-RPC Schnittstelle von WordPress durchgeführt wurden. Folge war eine extrem hohe Last auf den mySQL-Datenbanken und dementsprechend lange Antwortzeiten bei Content Management Systemen, die mySQL verwenden.

Als Vorsichtsmaßnahme haben wir die Pingback Schnittstelle auf allen WordPress-Installationen deaktiviert, über die diese Art von Angriffen ausgeführt wird.

WordPress 3.9.2/3.8.4

Für WordPress wurde ein Sicherheitsupdate veröffentlicht, welches primär eine Denial-of-Service Problem sowie einige Fehler behebt. Alle WordPress Sites unter einer 3.9.x Version wurden inzwischen auf die aktuelle Version 3.9.2 aktualisiert. Installationen die noch unter einer Version 3.8.x liefen wurden auf die Version 3.8.4 umgestellt.

Weiter Informationen zu dem Problem:

http://www.heise.de/newsticker/meldung/Drupal-und-WordPress-schliessen-gemeinsame-DoS-Luecke-2287767.html

Ausfall 9.6.2014

Wg. Problemen im Backbonebereich unserer Uplinks waren unsere Server-Systeme zwischen ca. 14:30 und 15:30 nur eingeschränkt erreichbar. Inzwischen sollten wieder alle Dienste wie gewohnt arbeiten.