So geht’s sicher: Gurken StC

Das ‚Gurken Subscribe to Comments‘-PlugIn für WordPress ist gerade für die deutsche Blogosphäre sehr sinnvoll, da es bei der Kommentar-Benachrichtungsfunktion das nötige Double Opt-In hinzufügt. Soweit so gut, doch machte mich Sumi auf einen Fehler aufmerksam. So wird im abgesicherten Blog (Sicherheitstipps für WordPress-Blogs) auf der Bestätigungsseite eine Passwortabfrage für die htaccess des Adminbereichs gestellt. Klickt man sie weg, bekommt man die Seite angezeigt.

Das machte mich stutzig und brachte direkt den Gedanken, was dieses Script zum einen im Adminbereich zu suchen hat und zum anderen was es dort für Daten ziehen will. Ein Blick in den Quelltext zeigte es ziemlich schnell. Die Seite fragt doch tatsächlich die wp-admin.css aus dem Adminordner an. Natürlich ist das weniger ein Sicherheitsrisiko, viel mehr aber sehr ärgerlich – benutzt man einen sicheren Blog. Davon abgesehen hat ein Plugin nichts im Adminordner zu suchen oder Daten von dort anzufragen. Ich habe mich diesbezüglich auch beim Autor gemeldet, doch bekam leider noch nicht die gewünschte Mail zurück. Also hier die Anleitung wie man dieses Übel umgeht:

Die neueste Version vom ‚Gurken Subscribe to Comments‚-PlugIn runterladen und entpacken.

Nun öffnet ihr die Datei gurken-subscribe-to-comments.php in eurem Editor (Coda, Editor etc.) und sucht nach:

@import url( <?php echo get_settings('siteurl'); ?>/wp-admin/wp-admin.css );

und ersetzt diese Zeile durch:

@import url( <?php bloginfo('template_directory'); ?>/wp-admin.css );

Speichert die Datei ab und schließt sie. Nun loggt ihr euch in euren Webspace ein und ladet den PlugIn-Ordner hoch. Danach navigiert ihr in den wp-admin-Ordner und ladet euch die wp-admin.css runter. Jetzt navigiert ihr in euren Theme-Ordner (des verwendeten Themes) und ladet dort die wp-admin.css wieder hoch. Anschließend könnt ihr das PlugIn aktivieren und für euch passend konfigurieren. Dies geht natürlich auch, wenn ihr das PlugIn bereits in Verwendung habt. Achtet nur wie immer darauf, dass es auch die neueste Version ist. (Anleitung bezieht sich auf Version 1.4 vom 08.10.2010)

Das war’s schon und jetzt geht’s auch ohne Passwortabfrage und Daten aus dem Adminordner zu ziehen.