Bis hinauf zur letzten Wordpress Version (2.8.3) wurde zum heutigen Tage eine kritische Sicherheitslücke bekannt gegeben, die Admin-Accounts betrifft.
Durch die Lücke können Angreifer das Passwort des Administrator Zuganges zurück setzen. Der Admin kann nicht kompromittiert werden, sich aber auch nicht mehr einloggen, hat es die betreffende Installation erwischt.
Schritt 1
Im Vorab machen Sie unbedingt ein Backup!
Zwei Teilschritte sind dafür notwendig - Datenbankbackup und Seitenbackup. In der mysql-Oberfläche kann man die Datenbank exportieren, optimal mit allen Schlüsseln und explizitem Comment mit Datum zu empfehlen. Packen Sie das Päckchen am besten als gzip, dies ist ein getestetes, sicheres Format und zudem recht schmal. Das Seitenbackup realisiert man via FTP. Am besten kopieren Sie Ihre komplette aktuelle Seite auf Ihre Festplatte, und können es ggf. zu späterem Zeitpunkt leicht durch Kopieren (bei Problemen vorherigem Löschen der bestehenden Daten) wieder herstellen.
Schritt 2
Gehen Sie via FTP in die Datei wp-login.php, dort finden Sie in Zeile 188-195:
$key = preg_replace('/[^a-z0-9]/i', '', $key);
if ( empty( $key ) )
return new WP_Error('invalid_key', __('Invalid key'));
$user = $wpdb->get_row($wpdb->prepare("SELECT * FROM $wpdb->users WHERE user_activation_key = %s", $key));
if ( empty( $user ) )
return new WP_Error('invalid_key', __('Invalid key'));
Ändern Sie diese Zeilen in (Änderungen hier fett):
$key = preg_replace('/[^a-z0-9]/i', '', $key);
if ( empty( $key ) || is_array( $key ) )
return new WP_Error('invalid_key', __('Invalid key'));
$user = $wpdb->get_row($wpdb->prepare("SELECT * FROM $wpdb->users WHERE user_activation_key = %s", $key));
if ( empty( $user ) )
return new WP_Error('invalid_key', __('Invalid key'));
