Was macht man mit einer Wordpress-Installation mit Version 2.3 und einem Theme, das ungefähr ebenso alt ist?
Man nimmt sich einen Feiertag lang Zeit und bringt beides auf aktuellen Stand – Wordpress hat’s überlebt (mit einigem Fummeln), das Theme nicht — deswegen gibt’s jetzt ein Neues.
So langsam sollte wieder alles laufen, und jetzt auch wieder ein bisschen besser und schneller als vorher (alle Ecken sind ent-staubt ).

Hin und wieder ist es nötig, aber ein bisschen Respekt hat man doch jedesmal wieder davor — und checkt fünfmal, dass man es auch auf der richtigen Maschine ausführt… :

dd if=/dev/zero of=/dev/sda bs=10240
dd if=/dev/zero of=/dev/sdb bs=10240

Und tschüß

Gut drei Monate nach Erscheinen der neuen Versionslinie 2.1 von Wordpress habe ich es endlich auch geschafft, auf die neue Version umzusteigen.
Nach einigen Plugin-Updates und kleinen Anpassungen am Theme sollte nun wieder alles so laufen wie zuvor.
Sollte jemand Fehler entdecken bitte ich um eine kurze Nachricht .

Für das Blog-System Wordpress sind Sicherheitsupdates für den 2.0- sowie den 2.1-Versionszweig erschienen. Die Versionen 2.0.10 und 2.1.3 beheben einige kleinere Fehler im XML-RPC-System und Cross-Site-Scripting-Anfälligkeiten.
Ein Update sollte daher von allen Anwendern zeitnah durchgeführt werden.
Für Nutzer der deutschen Version steht wieder ein Upgradepaket mit allen auszutauschenden Dateien bereit.

Dem Download-Server von wordpress.org ist das passiert, was man wohl als GAU bezeichnen darf: ein unbekannter Cracker hatte sich Zugang verschafft und die dort abgelegte Version 2.1.1 mit Codeänderungen versehen, die potentielle Sicherheitslücken darstellen.
Wer in den letzten 3-4 Tagen die englischsprachige Version geladen hat ist somit angreifbar und muss dringend auf die neu verfügbare (und sichere) Version 2.1.2 updaten; die deutsche Lokalisation war nicht betroffen, da diese anderweitig gehostet wird, ebenso ist die alte Versionschiene 2.0 sauber.
Wer die Möglichkeit hat (sei es als Hoster oder als Selbstschrauber) sollte als Sofortmaßnahme bis zum Update Zugriffe auf theme.php und feed.php unterbinden und alle HTTP-Anfragen mit den Zeichenfolgen ix= oder iz= blocken.
Ein lokalisiertes Update-Paket der deutschen Version ist zum Download bereit, ebenso die englischsprachige Version.
Nähere Informationen zu den Vorgängen gibt es im deutschen Wordpress-Blog.

Im 2.1-Versionspfad von WordPress sind erneut Sicherheitslöcher entdeckt worden, welche für Cross-Site-Scripting-Attacken genutzt werden können.
Eingaben an den Parameter ‘post’ in der Datei /wp-admin/post.php (falls “action” auf “delete” oder “deletecomment” gesetzt ist) werden nicht korrekt gefiltert, bevor sie an einen Benutzer zurückgegeben werden. Dies kann ausgenutzt werden, um im Kontext einer betroffenen Seite beliebigen HTML- und Scriptcode in der Browsersitzung eines Benutzers auszuführen und hierbei z.B. Cookie-Daten an fremde Server zu senden.
Für eine erfolgreiche Ausführung muss der betroffende Nutzer als Administrator angemeldet sein.
Ein weiterer Fehler betrifft die Suchfunktion. Sobald ein einzelnes Komma ohne zusätzliche Zeichen an die Suchmethode übermittelt wird, verabschiedet sich diese mit einem SQL-Fehler:

WordPress database error: [You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ') AND ((post_status = 'publish' OR post_status = 'private')) ORDER BY post_dat' at line 1] SELECT SQL_CALC_FOUND_ROWS wp_posts.* FROM wp_posts WHERE 1=1 AND () AND ((post_status = 'publish' OR post_status = 'private')) ORDER BY post_date DESC LIMIT 0, 10

Ein weiterer SQL-Inject durch dieses Problem ist bisher nicht bekannt.
Beide Fehler wurden im SVN-Trunk behoben, ein offizieller Bugfix oder Patch ist bislang nicht erhältlich. Bis zum Erscheinen eines solchen empfielt sich Vorsicht oder z.B. eine zusätzliche Absicherung durch mod_security o.ä.