Стефан Эссер из PHP Security Blog не доволен. Он только что написал блог, опубликованный под названием WordPress — разработчики совершенно сходят с ума, утверждая, что всего через несколько часов после выпуска версии 1.5.2 разработчики исправили некоторые дополнительные недостатки безопасности и заново загрузили файл загрузки, не помечая его по-другому. Стефан ранее связывался с WordPress о недостатках безопасности в своем продукте и внес несколько исправлений. Конечный результат, согласно утверждениям Стефана, заключается в том, что многие пользователи WordPress, которые скачали предварительно обновленную версию 1.5.2, по-прежнему будут уязвимы для известных и опубликованных уязвимостей.
Забавно, что через несколько часов после публикации поста в блоге Стефан переименовал заголовок поста в « WordPress — безответственное тихое обновление тарбола » без предварительного уведомления.
Подобные разговоры о безопасности WordPress Мартина Гейслера можно найти в его блоге. Его совет: «Не забудьте обновить любую установку, которая у вас может быть».
Дугал Кэмпбелл , разработчик для WordPress, отвечает на то, что он видит как кампанию страха, неуверенности и сомнений в отношении версии 1.5.2. Дугалл признает, что первый загружаемый архив, который будет размещен на wordpress.org, не содержал всех исправлений безопасности, которые они намеревались включить, но что ситуация была исправлена до того, как было опубликовано первоначальное объявление о выпуске, и поэтому любой, кто загрузил архив после публикации официального объявления это безопасно от проблемы.
Согласно сообщению Стефана, рассматриваемый эксплойт включает функцию в коде WordPress, предназначенную для работы с серверами, на которых включен register_globals. Функция проверяет, включен ли register_globals в конфигурации PHP, и если да, то пытается сбросить все глобальные переменные, которые были созданы. Функция непреднамеренно внесла дополнительный недостаток — позволяя удаленным пользователям обходить защиту, предлагаемую функцией.