News CMS WordPress mit Hintertürchen

MichaG

Redakteur
Teammitglied
Registriert
Juli 2010
Beiträge
13.338
Am Dienstag entdeckten die Entwickler des bekannten CMS WordPress eine Sicherheitslücke in einigen Plugins der Software. Aufgrund dieser für Angreifer nutzbaren „Hintertür“ hatte man alle Passwörter für WordPress.org zurückgesetzt.

Zur News: CMS WordPress mit Hintertürchen
 
Wird es durch die zurückgesetzten Passwörter nicht noch einfacher für Bösewichte gemacht? :confused_alt:
 
Wow, klasse.
Da ist man ein vorbildlicher Webmaster und installiert sich die neusten Updates auf offizieller Quelle, und öffnet damit Hackern Tür und Tor.

Das nimmt wirklich überhand in letzter Zeit.


Bin mal gespannt ob sich das neue deutsche Cyber-Abwehrzentrum traut eine eigene Homepage online zu stellen :lol:
 
Wordpress ist das letzte Sch***system, ein degenerierter PHP-Codemüllhaufen.

Da es im April schon einen Angriff auf die Systeme gab, könnten damals schon die Weichen für die Backdoors gestellt worden sein.

Wenn die ihre Infrastruktur so pflegen wie den "Quellcode", muss einen gar nichts wundern.
 
Betrifft das nun auch Standalone-Installationen der Wordpress.org Software? Bzw. den PlugIns die über dieses Repository installiert wurden!?
Ergänzung ()

g0l3m schrieb:
Wordpress ist das letzte Sch***system, ein degenerierter PHP-Codemüllhaufen.

Kannst Du es denn besser!? :rolleyes:
 
WordPress ist unglaublich gut. Flexibel. Erweiterbar. Zuverlässig. Und vergleichsweise sicher.

Aber letztere beide habe ich, dann mal ab ans zurücksetzen...
 
Falcon schrieb:
Betrifft das nun auch Standalone-Installationen der Wordpress.org Software? Bzw. den PlugIns die über dieses Repository installiert wurden!?
Ergänzung ()

Kannst Du es denn besser!? :rolleyes:

Nur weil man die Mannstunden nicht aufbringen kann, ist es trotzdem möglich es beurteilen zu können. Wenn jemand einen Deich aus Watte baut kann man seine Unzulänglichkeit auch erkennen wenn man nicht die Möglichkeit hat selber den Sand zu buddeln. Wordpress hat viele geile Sache .. aber auch viel Müll, vermutlich aus den frühen Tagen. Ähnlich ergeht es ja auch krüppel php :freak:
 
Falcon schrieb:
Kannst Du es denn besser!? :rolleyes:
jup, und ich muss g0l3m Recht geben, der Code ist einfach richtig schlecht.
Alles prozedural, die SQL-Querys biegen mir die Fußnägel um usw.
Aber das scheint bei populären PHP-OpenSource-Projekten Gang und Gebe zu sein.
 
ice-breaker schrieb:
jup, und ich muss g0l3m Recht geben, der Code ist einfach richtig schlecht.
Alles prozedural, die SQL-Querys biegen mir die Fußnägel um usw.
Aber das scheint bei populären PHP-OpenSource-Projekten Gang und Gebe zu sein.

Und schon mal überlegt warum das so ist?
Ich geb dir einen Hinweis. Fängt mit Abwärts an und hört mit kompatibilität auf.
 
@icebreaker: das ist die crux von open-source ;) jeder idiot der von sich glaubt programmieren zu können ("äh oop? Oo was ist das? ne neue app?") darf seinen beitrag leisten. und wenn die commits nicht überprüft werden, kommt dann sowas bei raus. außerdem wird wordpress auf unzähligen seiten in 100.000enden configs betrieben. es ist schon lange kein reines blog-system mehr sondern ein ausgewachsenes, stabiles und meist sicheres system. man kann seine kunden nicht alle paar wochen vor den kopf stoßen und das komplette systemdesign umwerfen. (abwärtskompatibilität)
 
a3rosol schrieb:
man kann seine kunden nicht alle paar wochen vor den kopf stoßen und das komplette systemdesign umwerfen. (abwärtskompatibilität)

die basteln jetzt schon seit 9 Jahren an Wordpress rum, wenn man da einmal das System von Grund auf neu designed ist das doch wirklich kein Problem.
Es spricht ja niemand davon, dass es mit jedem neuen PHP-Release die neuesten Funktionen nutzen soll (Namespaces).
PHP5 ist aber mitlerweile auch schon 7 Jahre auf dem Markt, das letzte PHP4 Update gab es vor 3 Jahren, da kann mir niemand sagen, dass man nicht rechtfertigen kann mal ein Bruch zu machen um ein neues sauberes objektorientiertes System zu machen. Es gibt genug Projekte, die gezeigt haben, dass man auch mal ein Bruch machen kann.
Dauerhaft nur auf der Abwärtskompatibilität herumzureiten bedeutet dann aber auch sich jedem technischen Fortschritt zu verschließen.
 
Gruml schrieb:
Und schon mal überlegt warum das so ist?
Ich geb dir einen Hinweis. Fängt mit Abwärts an und hört mit kompatibilität auf.

Das ist einfach Quatsch. Bei Wordpress ändert sich ständig die interne API und das sogar undokumentiert. Da werden sogar Funktionsparametrisierungen ohne Hinweis in irgendeinem Changelog geändert. Man wundert sich, warum eine Funktion nicht mehr funktioniert, um dann nach 2 Stunden Quelltextwühlerei im Core festzustellen, dass für einen existierenden Funktionsaufruf ein neuer Parameter dazugekommen ist.

Wie sehr bei Wordpress auf Abwärtskompatibilität geachtet, zeigen auch die Plugins, die auf einmal beim Update von z. B. 2.9.x auf 3.x.x nicht mehr funktionieren :rolleyes:

Falcon schrieb:
Kannst Du es denn besser!? :rolleyes:

Darum geht es gar nicht. Hier geht es um ein System, das zigfach auch kommerziell im Einsatz ist und seit Jahren entwickelt wird. Ständig werden sinnige und unsinnige Features ohne Konzept und Sinn und Verstand drangeklöppelt und die Basis modert vor sich hin. Das Ganze wird auch noch als tolles & cooles Produkt "vermarktet" - ich würde mich als Entwickler schämen. Wordpress war technisch 2005 vielleicht cool, 2011 ist dieser Haufen Chaos einfach nur peinlich.

ice-breaker schrieb:
die basteln jetzt schon seit 9 Jahren an Wordpress rum, wenn man da einmal das System von Grund auf neu designed ist das doch wirklich kein Problem.
Es spricht ja niemand davon, dass es mit jedem neuen PHP-Release die neuesten Funktionen nutzen soll (Namespaces).

Danke. Genau das meine ich. Den (harten) Schritt der Neuentwicklung gehen gerade einige etablierte Systeme: Typo3 & ExpressionEngine z. B.. Hier wird der Grundstein gelegt, dass es die Systeme auch noch in 5+ Jahren gibt. Keine Ahnung, warum dieser Ehrgeiz in der WP-Devloper Community nicht vorhanden ist und die immer mehr Durcheinander da dranzimmern.

Wordpress kann man im professionellen Einsatz komplett vergessen. Es sei denn, man braucht erst Schmerzen und dann eine Insolvenz.
 
a3rosol schrieb:
@icebreaker: das ist die crux von open-source ;) jeder idiot der von sich glaubt programmieren zu können ("äh oop? Oo was ist das? ne neue app?") darf seinen beitrag leisten. und wenn die commits nicht überprüft werden, kommt dann sowas bei raus. außerdem wird wordpress auf unzähligen seiten in 100.000enden configs betrieben. es ist schon lange kein reines blog-system mehr sondern ein ausgewachsenes, stabiles und meist sicheres system. man kann seine kunden nicht alle paar wochen vor den kopf stoßen und das komplette systemdesign umwerfen. (abwärtskompatibilität)

Dass OOP irgendetwas sicherer macht ist so ein Ammenmärchen wie sichere Atomkraftwerke.
OOP ist erst einmal gar nichts anderes als ein Stil zu programmieren.
Man kann gut prozedural programmieren, und man kann mit OOP Programme gründlich in den Sand setzen - es gibt genügend Beispiele, es gibt natürlich genauso gut Gegenbeispiele und "von allem was".
Ja, das ist OpenSource. Aber verlassen wir doch mal im Webbereich OpenSource - ich schaue mir mal ein paar ausgesuchte kommerzielle, nicht (Web) OpenSource Projekte an und kann nur den Kopf schütteln - zum Beispiel vBulletin.
OpenSource ist erst einmal nicht besser oder schlechter als kommerziell / "ClosedSource" (wobei es im PHP-Webbereich keine ClosedSource geben kann, außer Spezialverschlüsselter Code).
Übrigens springen sehr viele kommerzielle Hersteller auf den OpenSource Zug auf - man sehe sich doch die ganzen Plugins und Programme für die Programme an. Ob die alle wirklich durchgetestet werden wage ich einmal sehr stark zu bezweifeln.

Und ja, ich finde Wordpress - und sein Pendant Joomla, das ist noch grauenvoller programmiert - auch nicht gerade berauschend. Wobei guter Code auch nicht gleich gutes Programm heißt. Am besten kriegt es (mittlerweile) wohl Drupal hin.
Die durchwegs gut programmierten führen halt ein Nischendasein - wie z.B. ModX.
 
Tenschert schrieb:
Am besten kriegt es (mittlerweile) wohl Drupal hin.

Guter Witz.
Selbst Drupal ist großer Rotz und da brauch ich mir nicht einmal den PHP Quälcode anschauen. Es reicht, wenn ich nur auf die Datenbanktabellen schaue. Erste Normalform ist bei denen auch ein Fremdwort.
 
Tenschert schrieb:
Dass OOP irgendetwas sicherer macht ist so ein Ammenmärchen wie sichere Atomkraftwerke.
von Sicherheit sprach doch niemand oder?
Also nicht in Bezug auf OOP, es entstehen aber oftmal bessere Modelle, sofern die Verantwortlichen für das Modell keine Vollidioten sind: schonmal jemanden gesehen der seinen prozeduralen Code 1:1 auf OOP portiert hat? :freak:

Tenschert schrieb:
Aber verlassen wir doch mal im Webbereich OpenSource - ich schaue mir mal ein paar ausgesuchte kommerzielle, nicht (Web) OpenSource Projekte an und kann nur den Kopf schütteln - zum Beispiel vBulletin.
Das vBulletin funktioniert wundere ich mich jeden Tag, neija man sieht aber auch an größeren Foren, dass vBulletin gehörig gegen die Wand fährt: Doppel-Account-Suche auf den MyIsam-Tabellen und alles hängt, weil niemand mehr auf die Tabelle schreiben kann

Whiz-zarD schrieb:
Guter Witz.
Selbst Drupal ist großer Rotz und da brauch ich mir nicht einmal den PHP Quälcode anschauen. Es reicht, wenn ich nur auf die Datenbanktabellen schaue. Erste Normalform ist bei denen auch ein Fremdwort.
Autsch, also die 1. Normalform zu verletzen ist schon bitter.
Wenn man alles darüber verletzt das kann ich nachvollziehen, es gibt oft gute Gründe dafür (Performance).
 
Zurück
Oben