Gestern haben die WordPress-Entwickler etwas unverhofft eine neue Version veröffentlicht.
2.6.2 stellt ein Sicherheitsupdate dar, das heißt, ihr solltet es durchführen – auf jeden Fall aber, wenn ihr es euren Besuchern erlaubt, sich einen Account zu erstellen (so, wie es hier auf neontrauma.de der Fall ist).

Bislang war es möglich, sich mit einem bestimmten Namen zu registrieren, der die Passwörter aller anderen User auf ein zufallsgeneriertes Passwort zurücksetzt. Das an sich wäre noch nicht einmal ein Sicherheitsproblem – da die neuen Passwörter ja per Mail an die einzelnen User versandt werden. Aber in Verbindung mit einer Schwäche der mt_rand()-Funktion, die für das Generieren der Passwörter zuständig ist, wird das Ganze heikel: diese ließ, mit etwas Geschick, Rückschlüsse auf das generierte Passwort zu.

Desweiteren wurden ein knappes Dutzend kleinerer Bugs behoben – unter anderem das Problem, dass in ein Posting eingefügte Bilder teilweise nur in der vollen Größe eingesetzt werden konnten, nicht aber als Thumbnail. Alle Bugfixes der 2.6.2er-Version könnt ihr, wie immer, hier nachlesen.

Die deutsche Version wird wohl heute im Laufe des Tages erscheinen.