Seit Kurzem ist eine Sicherheitslücke bekannt, die dann auftritt, wenn man die Funktionen
und
nicht richtig verwendet.
Problem
In der bisherigen Dokumentation wurde suggeriert, dass diese Funktionen die URLs escapen – also unsichere Zeichen aus der URL entfernen.
Dem war aber nicht so.
Daher beide Funktionen absichern, wenn diese mit Usereingaben verwendet, oder wenn damit potentiell unsichere URLs weiterverarbeitet werden.
Lösung:
Unbedingt folgende Funktonen zum Absichern verwenden:
esc_url() oder
Wobei esc_url_raw() nur dort verwendet werden sollte, wo das „&“ Zeichen nicht ersetzt werden muss (speichern in die Datenbank, Redirect oder HTTP-Abfrage mit zB wp_remote_get()).
Weitere Infos:
https://wordpress.org/news/2015/04/wordpress-4-1-2/
https://make.wordpress.org/plugins/2015/04/20/fixing-add_query_arg-and-remove_query_arg-usage/
http://wptavern.com/xss-vulnerability-affects-more-than-a-dozen-popular-wordpress-plugins
http://wptavern.com/xss-vulnerability-what-to-do-if-you-buy-or-sell-items-on-themeforest-and-codecanyon