Als heute Nachmittag mein eMail Postfach fast im Minutentakt neue WordPress Systemmails erhalten hat, da wusste ich es gab wieder mal ein neues Sicherheitsupdate.

Ich hatte da auch recht, dass Sicherheitsupdate 4.8.2 wurde von WordPress veröffentlicht und bei den meisten Webseiten auch automatisch eingespielt.

WordPress 4.8.2 und älter sind von einem Problem betroffen, bei dem $wpdb->prepare() unerwartete und unsichere Queries erstellen kann, die zu potenziellen SQL Injections (SQLi) führen können. Der WordPress Core ist nicht direkt davon betroffen, allerdings wurde das System abgehärtet, um Plugins und Themes davor zu schützen, derartige Sicherheitslücken zu produzieren.

WordPress 4.8.3 enthält eine Änderung im Verhalten der Funktion esc_sql(). Die meisten Entwicklungen sind nicht von dieser Änderung betroffen, weitere Details findet man in der developer note.

Wie immer gilt, wer das Update von Hand einspielen muss, sollte zuerst ein komplettes Backup machen – und bei den anderen wurde es bereits automatisch installiert.

Probleme mit dem Sicherheitsupdate sind bisher keine bekannt 🙂