do_reset_wordpress=1 und was es für das CMS beudeutet

Dieses WordPress-Theme hat eine Sicherheitslücke - das sollten Sie wissen! Generell sollten Sie sich vor dem Einsatz üder das bevorzugte Theme informieren.

Juli 5, 2022 - Lesezeit: 2 Minuten

Wenn Sie diesen Request in Ihrer Statistik sehen, dann werden Sie angegriffen! Ihre WordPress Installation ist in Gefahr und Sie müssen Maßnahmen ergreifen.

Das ThemeGrill Demo Importer-Plugin verfügt über mehr als 200.000 aktive Installationen und kann mit nur einem Klick zum Importieren von Demo-Inhalten, Widgets und Designeinstellungen für offizielle ThemeGrill-Themes verwendet werden.

In den Versionen 1.3.4 und höher, sowie in den Versionen 1.6.1 und darunter, gibt es eine Sicherheitslücke, die es jedem nicht authentifizierten Benutzer ermöglicht, die gesamte Datenbank in den Standardzustand zu versetzen, wonach sie automatisch als Administrator angemeldet werden. Die folgende URL löst den Reset aus

/wp-admin/admin-post.php?do_reset_wordpress=1

Diesen String können Sie in der variable $_SERVER['QUERY_STRING'] entdecken, wenn Sie eine Statistik für Ihren Blog führen oder selbst eine PHP Statistik programmiert haben die diese Variable ausliest.

public function reset_wizard_actions() {
global $wpdb, $current_user;

if ( ! empty( $_GET['do_reset_wordpress'] ) ) {
if ( 'admin' != $current_user->user_login ) {
$user = get_user_by( 'login', 'admin' );
}

if ( empty( $user->user_level ) || $user->user_level > 10 ) {
$user = $current_user;
}

// Drop tables.
$drop_tables = $wpdb->get_col( sprintf( "SHOW TABLES LIKE '%s%%'", str_replace( '_', '\_', $wpdb->prefix ) ) );
foreach ( $drop_tables as $table ) {
$wpdb->query( "DROP TABLE IF EXISTS $table" );
}

// Installs the site.
$result = wp_install( $blogname, $user->user_login, $user->user_email, $blog_public );

// Updates the user password with a old one.
$wpdb->update(
$wpdb->users,
array(
'user_pass'           => $user->user_pass,
'user_activation_key' => '',
),
array( 'ID' => $result['user_id'] )
);

// Set up the Password change nag.
$default_password_nag = get_user_option( 'default_password_nag', $result['user_id'] );
if ( $default_password_nag ) {
update_user_option( $result['user_id'], 'default_password_nag', false, true );
}

// Update the cookies.
wp_clear_auth_cookie();
wp_set_auth_cookie( $result['user_id'] );

// Redirect to demo importer page to display reset success notice.
wp_safe_redirect( admin_url( 'themes.php?page=demo-importer&browse=all&reset=true' ) );
exit();
}
}

Schlagworte:

Beiträge in der Kategorie "WordPress":

Das beliebteste CMS WordPress hacken

Mit wenigen Tricks finden Sie heraus, wie Sie WordPress hacken können und ermitteln beispielsweise das verwendete CMS, den Author oder die Admin URL.

Die WordPress Seite Ihres CMS ist nicht erreichbar?

Ist Ihre WordPress Webseite nach dem letzten Update nicht mehr erreichbar, dann könnte Ihnen dieser Beitrag schnell helfen um das Problem schnell zu beheben

Was ist ein CMS und Wie funktioniert es?

Die besten Content-Management-Systeme im Vergleich: Alles was ihr über WordPress, Joomla!, Drupal, TYPO3 und Co. wissen müsst. Jetzt Vergleich ansehen.

th3_alpha.php im WordPress CMS Log und die Beudeutung

Das WordPress Plugin steht im Verdacht Malware zu enthalten. In unterschiedlichen Foren im Netzt sind dazu widersprüchliche Infos zu finden - es ist abzuwarten

So machen Sie WordPress wirklich gegen Angreifer sicher

Machen Sie WordPress mit wenigen Handgriffen sicher(er) - diesen Trick kennen die wenigsten Administratoren aber Sie sollten ihn als Betreiber auch kennen.

Kommentieren Sie gut in anderen WordPress oder CMS Blogs

Damit Ihre WordPress Seite im Internet schnell bekannt wird, sollten Sie in anderen ähnlich gelagerten Blogs kommentieren und Ihre Seite ausreichend vernetzen.

WordPress Kommentar Funktion leicht im CMS deaktivieren

WordPress Kommentare deaktivieren Sie als angemeldeter Admin an Ihrem Blog im Backend ganz einfach. Der Beitrag zeigt Schritt für Schritt was Sie tun müssen.

WordPress installieren so einfach geht es

So machen Sie den Download von WordPress und installieren das CMS auf Ihrem Webserver und verbinden es mit der dortigen SQL-Datenbank. In wenigen Schritten.

Groß angelegte Angriffswelle auf das CMS WordPress

Ein groß angelegter Angriff gegen 1,3 Mio WordPress-Installationen wurde auf Schwachstellen in Plugins und Themes durchgeführt - laut Angaben der ZDNET.de.

Beitragsdatum in Wordpress ausblenden oder doch nicht?

Suchmaschinen finden aktuelle Beiträge toll, doch lassen Sie sich nicht zu Manipulationen mit dem Beitragsdatum hinreißen, Google belohnt Ehrlichkeit.

Ist das CMS WordPress jetzt am Ende wie behauptet?

Nach jedem großen Release Update brodelt die Gerüchteküche um das beliebte CMS WordPress der Welt und prophezeiht dessen Ende, doch tot gesagte leben länger

do_reset_wordpress=1 und was es für das CMS beudeutet

Dieses WordPress-Theme hat eine Sicherheitslücke - das sollten Sie wissen! Generell sollten Sie sich vor dem Einsatz üder das bevorzugte Theme informieren.

Kategorien

Automad

Das kostenlose Flat File CMS Automad bietet bereits nach der Installation auf dem Server das beste Layout unter allen CMS am Markt.

Bludit

Das kostenlose Flatfile CMS Bludit ist das beliebteste Content Management System, das dem großen WordPress sehr nahe kommt, jedoch deutlich mehr Sicherheit bietet.

CMS

In dieser Rubrik geht es um übergreifenden Themen aus dem Bereich der Content Management Systeme.

Coast

Coast ist ein CMS aus deutscher Feder und ist mit einem exzellenten HTML/PHP Frontend-Editor zu vergleichen, die Daten werden direkt in der HTML-Datei gespeichert.

GetSimple

Das kostenlose Content Management System GetSimple verspricht genau das, was der Name andeutet, ein stabiles Flat File CMS auf der Basis von XML-Dateien.

GRAV

Das kostenlose Content Management System GRAV gehört zu den komplexesten CMS, da es den größten Funktionsumfang mitbringt.

Handlebars.JS

Handlebars.js ist eine kostenlose JavaScript Template-Engine mit der einfache Webseiten oder Prototypen leicht und schnell erzeugt werden können.

htaccess

Die .htaccess ist die wohl wichtigste und mächtigste Datei, über die der Server seinen Umgang mit den Daten und Besuchern steuert.

Java

Java ist die strategische Programmiersprache für verteilte Anwendungen im Internet oder auch in der Client-Server Architektur und sogar auf dem Host.

Monstra

Das CMS Monstra ist ein überaus gelungenes und sauber entwickeltes CMS mit Admin-Backend und Flat File Datenbank.

PHP

PHP ist die strategische Programmiersprache des Internets, mit PHP geht alles und ohne PHP nichts! Allerdings ist PHP nicht auf lokalen Client-Umgebungen verbreitet (aber möglich).

Pico

Das CMS Pico ist derzeit das ausgereifteste und einfachste headless CMS für den Einsatz großer Mengen an MarkDown-Files (Content).

Smarty

Smarty ist eine Template-Engine auf Basis der Programmiersprache PHP und ist in der Lage HTML-Vorlagen (Templates) dynamisch mit Content zu versorgen.

Typemill

Typemill ist zunächst ein ganz normales Flat File CMS, entfaltet jedoch sein wahres Potenzial mit einigen besonderen Plugins, die es zum kraftvollen Publishing-Tool macht.

WonderCMS

WonderCMS ist das mit Abstand kleinste CMS das es derzeit kostenlos gibt. WonderCMS kommt mit einem PHP-Script und einer JSON-Datenbank aus und bietet ein Backend.

WordPress

Das datenbankbasierte Content Management System WordPress ist das beliebteste CMS und hält die meisten Installationen - ist allerdings auch das am meisten attackierte System.

Derzeit sind noch keine passenden Beiträge vorhanden.