Zum Inhalt springen

Archiv für "Wordpress" (Seite 11)

WordPress 2.5 ist da

Die nächste "große" WordPress-Version ist gerade erschienen.
Neues Design, neue Funktionen, neu neu neu.

Nachtrag
So, knapp 20 Minuten nach der Meldung ist WP 2.5 hier installiert. Ha! :-)

Nachtrag Nachtrag
Hups... ich hatte vergessen, eine Modifikation in meiner comment-post.php mit umzuziehen, deshalb kamen bis eben keine Kommentare durch. *räusper*-
Plugin-Probleme konnte ich bislang keine feststellen. Das neue Backend sieht schnieke aus, ist aber etwas gewöhnungsbedürftig. Da aber der gute Jeffrey Zeldman hinter dem Design steckt, bin ich guter Dinge, dass es sich letztlich als smarter ...

WordPress Hackereien, revisited 2

Ich kann jeden WordPressanwender nur *eindringlichst* empfehlen, auf die neueste Version (en|de) zu aktualisieren.

Im Zuge der Nachforschungen zu den momentanen WP-Exploits bin ich über dieses Ticket auf trac.wordpress.org gestolpert.
Darin wird erläutert, wie einfach ein Angreifer auf älteren WordPress-Installationen an eine User/Password Kombination herankommt:

(...) With read-only access to the WordPress database, it is possible to
generate a valid login cookie for any account, without resorting to a
brute force attack. This allows a limited SQL injection vulnerability
to be escalated into administrator access. (...)

Das krasse dabei ist: Er muss dazu nicht das Passwort kennen, es ...

WordPress Hackereien Revisited

Gestern abend und heute früh habe ich noch ein paar sehr interessante Infos und Links zu den momentan kursierenden WordPress Exploits gefunden und zunächst hatte ich sie als Update an meinen ursprünglichen Post gehängt. Nach kurzer Überlegung bin ich aber zum Schluss gekommen, dass diese Infos zu wichtig sind, um sie in einem älteren Post schimmeln zu lassen:

Im "offiziellen" WordPress Support-Forum ist letzte Woche ein Thread erschienen, der sich ebenfalls mit einer neuen Art von Exploit auseinandersetzt. In betroffenen Installationen wird im wp-content Verzeichnis ein Verzeichnis mit dem Namen “1″ angelegt, in dem html- und Javascript-Dateien abgelegt ...

Pingback, Trackback, Scheissdreck revisited

Diesmal geht es nicht darum, dass die Pingback/Trackback-Funktion von WordPress nicht richtig funktioniert, sondern darum, dass es immer mehr Leser und Betreiber von Blogs nervt, wenn statt der erwarteten Kommentare zu einem Artikel die Pingbacks und/oder Trackbacks der verlinkenden Blogs auftauchen.

Wahrscheinlich hat das mit der Größe des jeweiligen Blogs zu tun. Unbekannte Blogs und deren Betreiber freuen sich wahrscheinlich eher darüber zu sehen, wer auf sie verlinkt. Bekanntere Blogs befürchten dagegen wohl eher, dass die Pingbacks/Trackbacks lediglich dazu dienen sollen, Besucher von dem bekannteren Blog abzufischen. Tatsächlich gibt es eine Menge Ping/Trackbacks, die aus nichts anderem bestehen ...

WordPress Hackereien

In letzter Zeit fallen mir immer mehr WP-Blogs auf, die als Spam-Link-Schleudern missbraucht werden, zuletzt hatte es Jojos Beetlebum erwischt. Aber auch das Law-Blog und andere wurden schon attackiert.

Dabei gelingt es dem Angreifer, Inhalte an das Blog oder an einen Beitrag anzuhängen, durch Einsatz von CSS-Attributen werden diese Inhalte aber "versteckt", so dass sie für den normalen Besucher der Seite nicht zu sehen sind. Ein Feedreader oder ein Blick in den Quellcode zeigt die eingeschmuggelten Inhalte.

Jetzt fragt man sich, na, wo ist denn der Zweck von Links, die niemand sieht? Die wird ja auch niemand klicken, nicht ...

WordPress 2.3.2 Security Update

Kurz vor Jahresende kommt noch mal ein "urgend security update" des 2.3er WordPress-Branches heraus. Bislang ist nur die originale englische Version erhältlich, aber die angepasste deutsche Version dürfte, wie in der Vergangenheit auch, sehr zeitnah auf WordPress-Deutschland zum Download angeboten werden.

Das Update wird wieder einmal dringend empfohlen, weil es mehrere kritische Lücken stopft, wie z.B. einen Bug, der Posts mit dem Status "Entwurf" sichtbar macht. Auch wird das momentane Verhalten, dass bei Fehlern Meldungen im Browser ausgegeben werden, die die Pfadstruktur des Webservers aufzeigen, und für weitere Angriffe benutzt werden können, geändert.

WordPress Blogroll Spam Exploit

Es ist eine neue Lücke in WordPress aufgetaucht, die es möglich macht, dass fremde Links in die Blogroll eingebaut werden.

Betroffen sind die Versionen 2.1 bis zur aktuellesten, 2.3.

Im WordPress-Repository sind bereits Patches für 2.2x und 2.3 eingebaut, eine aktualisierte WP Version ist aber offiziell noch nicht veröffentlicht.

Mein winziger Beitrag zur nächsten WordPress-Version

Mein erster Patch hat es in den Source-Code von WordPress geschafft.

Die absolut überlebenswichtige Funktionalität, dass in den title-tags der WordPress-eigenen Tagcloud "Beitrag" oder "Beiträge" steht ( resp. "Topic"/"Topics"), je nach dem, ob es eben nur einen oder mehrere Beiträge dafür gibt, ist damit möglich. Ha! :-)

Darauf hat die Welt gewartet!

Das coolste WordPress-Theme aller Zeiten

Retro Mac
Punkt.