Ich habe nun (schon wieder) alle Blogs mit einem weiteren Batch ausrüsten müssen. In den vergangenen Tagen ist eine weitere Sicherheitslücke aufgetaucht, die als kritisch eingestuft werden muss. Diese Lücke konnte nun mit dem neusten Update von WordPress geschlossen werden. Dieses Update wird im Laufe des Nachmittags eingespielt. Das Update wurde mittlerweile eingespielt!

Um weitere Lücken vorzubeugen, habe ich gewisse Systemdateien und Konfigurationseinstellungen verändert. Als Grundlagen dieser Änderungen dienten mir folgende Seiten:
Link 1 – WordPress Deutschland Blog
 Link 2 – WordPress Deutschland Blog

Was ich genau im Detail gemacht habe, wird hier nicht öffentlich geschrieben. Wer eine Frage hat, meldet sich per @ bei mir.
Weiter empfehle ich folgendes zu überprüfen:

Gibt es auf eurem Blog einen “admin”?

Im Admin-Bereich einen zusätzlichen Benutzer mit der Rolle “Administrator” hinzufügen. Benennt diesen “Administrator” möglichst unauffällig.

Logout aus dem Administrationsbereich.

Sich mit den Zugangsdaten des eben angelegten, neue Administrators anmelden.

Den alten Benutzer admin aus der Benutzerliste löschen und gegebenenfalls geschriebene Sachen auf einen anderen Benutzer übertragen lassen (Nicht auf den neuen Administrator!). Geht automatisch!


Wichtig: In Zukunft darauf achten, dass euer Benutzer mit der Rolle “Administrator” nie und nimmer einen Beitrag oder einen Kommentar verfasst. Auf diese Weise bleibt der Benutzername verborgen und ist somit weniger Angriffen ausgesetzt. Darauf achten, dass keine anderen Benutzer Administrationsrechte verfügen.