Nur mal so kurz zwischendurch eingestreut; das selbstgebaute Theme hier ist jetzt auch einigermassen iPhone-tauglich, jaja.
(Und ich weiss jetzt endlich, wie man mit dem iPhone einen Screenshot machen kann: einfach ‘Home’ drücken und dazu kurz den Ein/Aus Schalter; der Screenshot landet dann direkt in der Bildergalerie.)
Jetzt gehts aber Schlag auf Schlag; gerade erst kam das 2.8.5 Update und jetzt schon wieder ein Security-Release: WP 2.8.6.
Aus dem wordpress-deutschland.org-Blog:
Soeben wurde WordPress 2.8.6 veröffentlicht. Diese Version ist ein Sicherheitsrelease und behebt ein Problem, durch das auf bestimmten Apache-Installationen Dateien wie “foto.php.jpg” als Code ausgeführt werden können.
Das Problem tritt unter bestimmten Einstellungen des Apache-Webservers auf, wenn in der Konfiguration “AddHandler application/x-httpd-php .php” eingesetzt wird (allerdings ist AddType, dass z.B. bei Strato zum Einsatz kommt, unbetroffen). Des weiteren wurden eine XSS-Lücke geschlossen.
Jetzt darf ich erneut 17 Blogs aktualisieren… super. *nerv. Mal schauen, ob ich manuell, …
… eine Premiere: Irgendwann gestern zwischen 17:00h und 23:55h hat sich die Datenbanktabelle, in der alle Beiträge, Attachments und Seiten des Blogs abgelegt werden, einfach so verabschiedet.
Im Administrationsbereich von Wordpress wurde behauptet, ich hätte bislang Null, Zero, 0, Beiträge geschrieben, das Blog sieht im Frontend entsprechend zerstört aus. (Und ich so: aaaarrrrhhhh)
Zum Glück mache ich ein tägliches Backup der Datenbank; allerdings war das neueste von gestern um 18h und nur noch ein drittel der Dateigröße der Backupdateien davor – dh es wurde schon das “geschrumpfte” Blog gesichert.
Mist.
In phpMyAdmin angekommen, um das ältere Backup einzuspielen, sehe …
Unfortunately, I missed some places when fixing the privilege escalation issues for 2.8.1. Luckily, the entire WordPress community has our backs. Several folks in the community dug deeper and discovered areas that were overlooked. With their help, the remaining issues are fixed in 2.8.3. Since this is a security release, upgrading is highly recommended. Download 2.8.3, or upgrade automatically from your admin.
Gestern hat ein User des deutschen WP-Forums beschrieben, wie ein beliebiger registrierter User auf Adminfunktionen, für die er eigentlich keine Rechte hat, zugreifen kann. Da es unter anderem die Einstellungen der Permalinks und die Plugins betrifft, kann er ziemlich viel Mist anstellen.
Die Lücke ist dem Wordpress-Securityteam gemeldet worden.
Betroffen sind alle 2.8er Versionen und 2.7, ob noch ältere Versionen ebenfalls anfällig sind, ist unklar.
Bis ein Patch erscheint, empfiehlt es sich, die User-Registrierung abzuschalten und unbekannte User zu löschen.
Der Hack ist übrigens so einfach, dass man sich wirklich fragt, wie das durchrutschen konnte. Ich werde ihn hier nicht beschreiben, konnte …
Ich habe gestern die 17 Wordpress-Installationen, auf die ich Zugriff habe, auf die neueste Version 2.8.2 aktualisiert. Da mir das Ganze über den Browser, das Backend und die dortige “autoupgrade” Funktion zu lange dauert, obendrein bei allen Installationen die deutsche Wordpress-Version von wordpress-deutschland.org zum Einsatz kommt und einige der Installationen schon mehrere grosse Versionsprünge hintendran waren, habe ich die Aktualisierungen manuell per FTP gemacht. Ich habe da schon länger eine Methode, die sich bislang als sehr stressfrei und stabil erwiesen hat, diese möchte ich heute mal vorstellen.
Wie bei allen Updates gilt: Backups machen. Vorher. Umfassend. Datenbank, Theme-Dateien, …
Na, benutzt Ihr auch gerne und freudig Wordpress, weil es ja so unendlich viele Plugins und Themes und hastenichtgesehen gibt? Gut.
Und, wie oft habt Ihr bei den meist “ehrenamtlich” tätigen Entwicklern vorbeigeschaut, gedankt, geholfen, gespendet?
Das muss wohl jeder für sich selbst beantworten. Aber vielleicht vor der Beantwortung oder einer voreiligen “was willst Du denn jetzt von mir?” Reaktion einfach mal diesen Eintrag bei Frank Bueltge lesen.
(…) Habe ich noch zu den Anfängen gesagt, dass es toll ist, wenn man eine Spende erfährt, so kann ich das jetzt noch immer sagen; der Unterschied ist, ich kann es nur
…
Gestern erschien das nächste “große” Release des Blogmotors, Wordpress 2.8, genannt “Baker”. Heute wurde die deutsche Variante auf wordpress-deutschland.org veröffentlicht.
Ich habe mich noch nicht durch die ganzen Neuerungen durchgewühlt, kann aber sagen, dass das (manuelle) Update von Version 2.7.1 (DE) auf 2.8-DE stressfrei geklappt hat. Schaumerma.
Nachtrag
Der erste Eindruck ist rund. Das Ding läuft, fühlt sich an wie zuvor (klein bisschen langsamer im Backend, aber vielleicht höre ich auch nur Flöhe husten). Das neue body_class() Template-Tag habe ich schon mal im Theme eingebaut, die Möglichkeiten für bereichsweise CSS Gestaltung der Inhalte sind verlockend. Bei der …
Das Paket, auf dem u.a. die Webrocker Seite läuft, ist heute innerhalb des Providers umgezogen. Die Anpassungen an die neuen Pfade und die Übernahme in eine neue Datenbank haben etwas länger gedauert, als ich zunächst geplant hatte, daher kam es zu einem längeren Ausfall der Seite (ca 3h).
Dabei habe ich wieder etwas gelernt; wenn das Encoding der wp-config.php nicht stimmt und in den Kommentaren dort die Umlaute zerschossen dargestellt werden (was gerne mal bei irgendwelchem UTF8 / ISO Konflikten auftritt, dann kann das dafür sorgen, dass anstelle der erwarteten Wordpress Seite nur noch eine weisse Seite ohne Inhalt erscheint. …
w3c - valid CSS | Valid XHTML 1.0 | Valid RSS | Powered by WordPress
Das Design, 1023 Texte, die Illustrationen und ein paar Fotos sind von mir.
