WordPress ist Scripting-gefährdet!

Nachdem ich vorhin die Idee hatte, mal zu prüfen, ob WordPress anfällig für Cross-Site Scripting ist, bin ich inzwischen über meinen anfänglichen Schock hinweg.

Mein Testfall war folgender einfacher Code:

1
2
3
<script>
  top.document.location.href = "http://google.de";
</script>

Postet man diesen als einfachen Kommentar in einem Blog, wird die Artikelseite danach jedes Mal automatisch auf Google weitergeleitet - einzige Ausnahme: man hat JavaScript bei sich deaktiviert. Das ganze geht sogar soweit, dass man als Administrator so seine Probleme hat, den Kommentar über die Admin-Oberfläche wieder zu löschen! Beim ersten Mal bin ich direkt in die Datenbank reingegangen und habe dort den Eintrag geändert.

Natürlich musste ich mir nun überlegen, wie ich dem ganzen Herr werden kann: die plausibelste Lösung war in meinen Augen, HTML-Quelltext in Kommentaren zu deaktivieren. Allerdings kann man so auch keine Links mehr posten oder irgendwelche Texte hervorheben - etwas, das ich selbst immer gerne mache: eine Lösung musste her!

Die Idee war, ein Plugin zu benutzen, das einem erlaubt, BBCode anstelle von HTML zu verwenden - doch das einzige, was ich fand, war ein Plugin, dass seit WordPress 1.2 nicht mehr weiterentwickelt worden ist :( .

Wie ich nunmal bin, habe ich mir kurzerhand gedacht: na wenn es nichts gibt, dann mache ich es eben selber :D ! Dabei herausgekommen ist in den letzten Stunden das kleine Plugin BBComment - das erste Plugin, das ich komplett selber geschrieben habe und das für die Hauptfunktionalität kein Fummeln im WordPress-Quelltext benötigt ;) .

Alle bereits existierenden Kommentare werde ich übrigens in nächster Zeit von HTML nach BBCode übersetzen ;) . Soll ja alles seine Ordnung haben :D !
Update:
Die Probleme wurden beseitigt :) .
XSS-befreite Grüße, Kenny