Bei WordPress scheint nun eine Sicherheitslücke aufgetaucht zu sein, wie www.heise.de berichtet:

Durch eine Sicherheitslücke in dem Blog-System WordPress ist es registrierten Nutzern unter bestimmten Umständen möglich, beliebigen Schadcode mit Rechten des Webserver-Prozesses ausführen zu lassen.
[…]
Gibt ein registrierter Nutzer in seinem persönlichen Profil beispielsweise im Anzeigenamen ein Newline-Zeichen gefolgt von einigen PHP-Befehlen an, werden diese beim Öffnen einer unter Umständen angelegten Cache-Datei durch den Webserver ausgeführt.

Robert ergänzt unter www.basicthinking.de/blog:

Wer also unter Options -> General den Haken bei “Membership: Anyone can register” gesetzt hat, einfach deaktivieren und sowieso auf das Wp-Update warten.

Vor diesem Hintergrund sollte man also die registrierten Benutzer – z.B. Kommentatoren, die einen Status als „registrierter Leser“ haben – einem kritischen Blick unterziehen bzw. sie eventuell ganz löschen.

Weiterhin bin ich zumindest auf ein „Kommentare abonnieren“-Plugin gestoßen, das ebenfalls Anlass zur kritischen Prüfung sein könnte. Blogs, die das Plugin „Filosofo Enroll Comments“ benutzen, könnten durch die Sicherheitslücke betroffen sein, da das Plugin auf die Benutzerverwaltung von WordPress setzt (siehe auch http://www.ilfilosofo.com/blog/enroll-comments/, englisch):

Is this plugin a security risk because it allows anybody to login to WordPress?
By default, no. When first activated, the plugin sets the “New User Default Role” (under Options > General in the admin control panel) to “subscriber,” which allows new users to log in and not much else. If an administrator chooses to change the “New User Default Role” to something higher, then new enrollees will have that level of permission.

Letztendlich bleibt aber zu hoffen, dass es zeitnah eine Einschätzung der WordPress-Entwickler gibt, ob es sich um ein ernstzunehmendes Problem handelt, sowie natürlich auch in absehbarer Zeit ein Patch bzw. Update…