LN-Waschpress

Schlagwort: WordPress

  • WordPress 5.2 freigegeben

    WordPress 5.2, dass dem Jazz-Bassisten Jaco Pastorius gewidmet ist, kümmert sich hauptsächlich um bessere Sicherheit sowie die weitere Verbesserung des mit WordPress 5.0 im Dezember 2018 eingeführten neuen Block-Editors Gutenberg.

    Site Health Check nun offiziell

    In Sachen Sicherheit arbeiten die WordPress-Entwickler seit einiger Zeit am Projekt Site Health Check, um sowohl die Sicherheit als auch die Stabilität und Leistung des gesamten WordPress-Ökosystems zu verbessern. Ursprünglich war die erste öffentliche Verfügbarkeit von Site Health Check für WordPress 5.1 geplant, wurde aber auf 5.2 verschoben.

    In der nun erschienenen zweiten Hauptversion von 2019 steht dem Anwender im Menü unter WerkzeugeWebsite Zustand ein ausführlicher Report über den Zustand des Systems zur Verfügung. Dort werden kritische Probleme und mögliche Verbesserungen aufgelistet. Zudem kann auf einen ausführlichen Report zugegriffen werden. Sehr praktisch, wie ich finde.

    Wiederherstellungsmodus

    Einige Fehler in WordPress, die sich für Anwender als schwerwiegend darstellen, verhinderten bisher, dass weiterhin auf das Admin-Dashboard zugegriffen werden kann und die weitere Diagnose und Behebung über einen FTP-Client vorgenommen werden muss. Dieses Szenario haben die Entwickler jetzt entschärft.

    Dazu wurde in WordPress 5.2 ein Wiederherstellungsmodus eingeführt, der im Fall eines solchen Fehlers zunächst die Meldung absetzt, dass die Seite technische Schwierigkeiten hat. Der Adminstrator erhält daraufhin eine E-Mail samt Link zum Einloggen in das Backend mit der Option, die letzten Änderungen rückgängig zu machen.

    Gutenberg aufgewertet

    Der Block-Editor Gutenberg hat bei seiner Einführung für viel Kritik gesorgt. Diese resultierte nicht nur aus der Umstellung auf das neue Konzept, sondern auch aufgrund nicht ausentwickelter Funktionen. Seitdem haben die Entwickler ständig nachgebessert und das gilt auch für WordPress 5.2.

    Gutenberg soll in der neuen Version Beiträge 35 Prozent schneller laden als bisher und die Zeit halbieren bis ein Tastendruck angenommen wird, wodurch sich das Tippgefühl zumindest schneller anfühlt. Ob es wirklich schneller ist, wird die Erfahrung der nächsten Tage zeigen.

    Neue Blöcke und Management

    Das neue Release bringt auch fünf neue Blöcke mit. Es handelt sich dabei um Blöcke, die bekannte Widgets wie RSS, Suche, Kalender und Tag-Cloud einbinden. Zudem gibt es einen Amazon Kindle Embed Block, der eine sofortige Vorschau von einer Amazon Kindle-URL bietet.

    Darüber hinaus wird ein neues Block-Management-Werkzeug vorgestellt, mit dem sich gezielt selten oder nie genutzte Blöcke ausblenden lassen. In der Beitragsansicht erscheint nach dem Öffnen des Hamburger-Menü rechts oben der neue Eintrag Block-Manager, mit dem sich neben den standardmäßig mit Gutenberg ausgelieferten Blöcken auch die von nachinstallierten Block-Plugins wie Advanced Gutenberg Blocks ausblenden lassen.

    Mindestens PHP 5.6

    WordPress 5.2 setzt zudem die minimal erforderliche PHP-Version auf 5.6. Anwender mit noch älteren PHP-Versionen werden benachrichtigt, dass sie die Version anheben müssen. Aktuell ist immerhin bereits 7.3.x. So wird die Minimalversion auch in den nächsten Versionen weiter angehoben.

  • WordPress 5.1 »Betty« ist da

    A Little Better Every Day

    Gestern kurz vor Mitternacht erschien, wie angekündigt, WordPress 5.1 mit dem Codenamen »Betty«, benannt nach der Jazz-Musikerin Betty Carter. Die neue Version des CMS bringt nicht nur neue Funktionen, sondern schließt auch endgültig eine Sicherheitslücke im Kern der Software.

    Gutenberg beschleunigt

    Für WordPress 5.1 wurden über 300 Fehler behoben und 165 Verbesserungen eingepflegt. Eine der Zielsetzungen der Entwickler war die Verbesserung der Leistung des mit Version 5.0 eingeführten neuen Editors Gutenberg. Dies soll sich vor allem in einem schnelleren Start als auch in einer beschleunigten Bedienung und einem gefühlt geschmeidigeren Tippvorgang ausdrücken. Für Gutenberg sind weitere Verbesserungen in den nächsten Versionen vorgesehen.

    PHP an die Kette gelegt

    WordPress 5.1 bietet darüber hinaus erste Ansätze des Projekts PHP Site Health. Die neue Version beginnt mit der Anzeige von Hinweisen für Website-Administratoren, deren Installationen von WordPress auf bereits länger veralteten PHP-Versionen laufen. Zudem überprüft Site Health bei der Installation von Plugins künftig, ob ein Plugin eine mit der Website nicht mehr kompatible Version von PHP benötigt, in welchem Fall die Installation verhindert wird.

    Ausblick auf WP 5.2

    Die Entwickler bieten zudem bereits jetzt einen Ausblick auf WordPress 5.2, das am 23. April erscheinen soll. Dann soll Gutenberg, das von Version 4.8 auf 5.1 angehoben wird, ein Block-Verzeichnis mitbringen, das die zunehmende Flut an neuen Blöcken organisiert. Zudem sollen selten oder nie benutzte Blocks zur Verbesserung der Übersicht versteckt werden können.

    Zeitnah aktualisieren

    WordPress-Administratoren sollten ihre Instanzen zeitnah aktualisieren. Dieses aus Sicherheitserwägungen immer empfohlene Vorgehen erhält dieses Mal wegen des Schließens der oben genannten Sicherheitslücke noch mehr Dringlichkeit. Hier lief das Update gestern Abend ohne Probleme durch.

  • Schwere Sicherheitslücke in WordPress enthüllt

    Bild: CC0 Public Domain

    Alle Versionen der WordPress-Software der letzten sechs Jahre einschließlich WordPress 5.0.0 enthielten eine schwere Sicherheitslücke, die relativ einfach die komplette Übernahme einer WordPress-Instanz erlaubte.

    Beliebiger PHP-Code ausführbar

    Das enthüllten jetzt die Entdecker der Lücke beim Sicherheitsunternehmen RIPS Technologies GmbH. Die Lücke, die Ende letzten Jahres entdeckt und dem WordPress-Sicherheitsteam gemeldet wurde, erlaubt es einem Angreifer, durch zwei Verwundbarkeiten im WordPress-Kern beliebigen PHP-Code auf dem Server auszuführen. Dazu wird lediglich das Berechtigungslevel Autor benötigt.

    Die beiden Lücken lassen sich mit einer Kombination aus Path-Traversal-Angriff und Local File Inclusion ausnutzen. Durch ein vorbereitetes und auf dem System ausgeführtes JavaScript-Exploit können die einzelnen Schritte zur Übernahme des Systems automatisiert ausgeführt werden.

    Fehler im Media-Handling

    Die Lücken bestehen in der Art, wie WordPress Medien verarbeitet. Wenn ein Bild in eine WordPress-Installation hochgeladen wird, wird es zunächst in das Verzeichnis wp-content/uploads verschoben. WordPress erstellt auch einen internen Verweis auf das Bild in der Datenbank, um Metainformationen wie den Besitzer des Bildes oder den Zeitpunkt des Uploads verfolgen zu können. Diese Metainformationen werden als Post-Meta-Einträge in der Datenbank gespeichert. Jeder dieser Einträge ist ein Schlüssel/Wertpaar, das einer bestimmten ID zugeordnet ist.

    Dies Post-Meta-Einträge vor WordPress 4.9.9.9 und 5.0.1 konnten beliebig verändert und auf beliebige Werte eingestellt werden. Weitere technische Einzelheiten beschreibt detailliert der Blogpost der Entwickler.

    Lücken in 4.99 und 5.0.1 geschlossen

    Die Lücke, die per Local File Inclusion ausgenutzt werden kann wurde mit WordPress 5.0.1 geschlossen und nach 4.9.9. portiert, um auch Anwender, die noch nicht auf 5.0 aktualisieren möchten, zu schützen. Das Ausnutzen des Path-Traversal-Angriffs ist unter bestimmten Bedingungen immer noch möglich. Dazu bedarf es eines Plugins, dass es noch erlaubt, beliebige Post-Meta-Daten zu überschreiben.

    WordPress 5.1 ist fast da

    Derzeit hilft es, seine WordPress-Instanz zumindest auf Version 4.9.9. oder gleich auf das aktuelle 5.0.3 zu aktualisieren. Vollen Schutz auch bei Fehlverhalten von Plugins aus dritter Hand wird erst WordPress 5.1 bieten, das in wenigen Tagen am 21. Februar veröffentlicht werden soll.

    https://www.youtube.com/watch?time_continue=1&v=iWeRbsrjUOA