Ich habs schon behoben:
Ich weiß nicht ob es an meinem WordPress liegt, aber die Sonderzeichen sehen mehr als seltsam aus.
In dem Blog-System WordPress wurden mehrere Sicherheitslücken entdeckt, die so genanntes Cross Site Scripting (XSS) und die Preisgabe interner Serverinformationen ermöglichen, wie aus einem Advisory einer Gruppe Namens Neo Security Team hervorgeht. Durch eine unzureichende Filterung der Kommentare lässt sich JavaScript-Code in diese einbetten, der nach ihrer Freischaltung auf den Rechnern der Besucher zur Ausführung kommt. Dies ist besonders kritisch bei WordPress-Installationen, auf denen keine Moderation erfolgt und Kommentare automatisch freigeschaltet werden. Ein unregistrierter Nutzer könnte sich auf diese Weise möglicherweise administrativen Zugang zum Blog verschaffen, wenn die manipulierten Kommentare von einem eingeloggten Administrator gelesen werden.
Vorgehensweise
Die Datei wp-comments-post.php öffnen und jeweils trim()
durch htmlentities(trim())
ersetzen. Befindet sich 4× in dieser Datei, Zeile 21-24. Und so siehts dann aus:
$comment_author = htmlentities(trim($_POST['author']));
$comment_author_email = htmlentities(trim($_POST['email']));
$comment_author_url = htmlentities(trim($_POST['url']));
$comment_content = htmlentities(trim($_POST['comment']));</code>