Einige WordPress Themes, darunter auch das Standard Theme besitzen Cross-Site-Scripting Lücken (XSS), die Angreifer ausnutzen können. Da nicht alle Themes betroffen sind, sollte man auf jeden Fall überprüfen ob das eigene Anfällig ist oder nicht . Dies kann man mit folgender Adresse überprüfen:

http://<Blog-URL>/index.php/index.php/“><script>alert()</script>

Sollte ein Fensterchen aufgehen, ist das Theme verwundbar. In diesem Fall wäre es angebracht im Verzeichnis des Themes, also unter /content/themes/<Theme-Name>/, in den Dateien searchform.php oder sidebar.php nach dem Ausdruck

action=“<?php echo $_SERVER[‚PHP_SELF‘]; ?>“

zu suchen und ihn durch

action=“<?php echo htmlspecialchars($_SERVER[‚PHP_SELF‘]); ?>“

zu ersetzen. Ein offizielles Update ist noch nicht vorhanden, sodass dies auf jeden Fall getan werden sollte.

Quelle: heise.de