Anfang Dezember  wurde die 2. Beta Version der kommenden offiziellen WordPress Version 2.9 veröffentlicht. Vor dem ersten RC (Release Candidat) soll dies laut den Entwicklern die letzte Beta Version zum Testen für die WordPress Gemeinde sein.

Ich werde die Beta Version gleich einmal in meiner Testumgebung installieren, mal sehen wie sich WordPress 2.9 anfühlt…

Vor kurzem wurde das WordPress Sicherheitsrelease 2.8.6 veröffentlicht. Die Version behebt ein Problem durch das auf bestimmten Apache-Installationen Dateien wie “foto.php.jpg” als Code ausgeführt werden konnten. Weiter wurde eine XSS-Lücke geschlossen.

Ich habe soeben das aktuelle WordPress Update 2.8.6 installiert und habe dadurch nun wieder einmal mehr Sicherheit bekommen. Dann also bis zur nächsten Sicherheitslücke …

Es gibt ein neues WordPress 2.8.5 DE-Edition und Upgradepaket. Gestern wurde die WordPress Version 2.8.5 veröffentlicht. Bei dieser Version handelt es sich um ein Sicherheitsrelease, das ein vor kurzen bekannt gewordenes Sicherheitsproblem behebt. Durch das Problem konnte, unter bestimmten Bedingungen, mit Hilfe der Trackback Funktion ein “Denial-of-Service-Angriff” durchgeführt werden.

• Download WordPress 2.8.5 DE-Edition
• Upgradepaket für 2.8.4 auf 2.8.5

neben dem Sicherheitsupdate wurde zusätzlich für Administratoren, beliebige Dateien in die Mediathek hochzuladen, wieder deaktiviert. Diese Funktion kann man aber auch mit

define('ALLOW_UNFILTERED_UPLOADS', true);

in der wp-config.php wieder aktivieren.

Hintergrund: Bislang beschränkte eine Whitelist für Dateierweiterungen nur “normale Anwender” bestimmte Dateien für den Upload zu verwenden. So konnten Angreifer, die in das Admin-Konto eingedrungenen sind, beliebige Dateien hochladen. Durch die Anpassung soll es diesen Leuten erschwert werden, das Hochladen und Ausführen eigenen PHP-Codes durchzuführen.

Via: WordPress 2.8.5 DE-Edition und Upgradepaket

Da mein PageRank im Moment sowieso im Keller ist, habe ich darüber nachgedacht meine Permalinkstruktur so einfach und effektiv wie möglich anzupassen.

Bei solch einer Umstellung ist man natürlich immer etwas vorsichtig mit so weitreichenden Änderungen, man stellt sich immer die Frage wie verhalten sich die Links auf meine Webseite und wie kommen Google und Co. mit diesen Änderungen zurecht. Man möchte natürlich nicht, das die Links ewig lange ins leere laufen. In meinem Artikel Permalinkstruktur unter WordPress umstellen bin ich vor einiger Zeit schon mal auf das Thema eingegangen, unter anderem damit, wie man mit den richtigen WP Plugins dieses Problem in den Griff bekommt.

Meine alte Permalinkstruktur:

/%category%/%year%-%monthnum%/%postname%

wurde nun auf die neue Permalink-Struktur umgestellt

/%year%-%monthnum%/%postname%

Bei der Änderung der Blog Permalinkstruktur ging es mir auch darum den Kategorie-Namen aus dieser zu entfernen. Der Grund lag hauptsächlich darin, das durch Änderung von Kategorienamen, indirekt auch immer die entsprechenden Beitrags Links verändert wurden. Zusätzlich wollte ich die Links verkürzen.

Weiter wurde meine Motivation durch den Artikel WordPress Permalinks und die Performance von Michael angeregt, indem er die Performance Nachteile von Kategorienamen am Anfang eines WP Permalinks anspricht.

Fazit zur Umstellung

Für die Umstellung gab es aus meiner Sicht keinen günstigeren zeitpunkt, da mein Pagerank sowieso gerade auf 0 gesetzt wurde. Erste Tests vorhandenen Links haben mir gezeigt, das alle URLs dank des hervorragend arbeiteten WP-Plugins Permalinks Migration Plugin for wordpress weiterhin erreichbar sind. Google wird durch das Plugin mit einem “301 Redirect” über die Änderungen informiert. Ich habe natürlich zusätzlich gleich mal eine neue Sitemap bei Google eingereicht und somit sollten über kurz oder lang die ganzen Google Links aktualisiert werden.

Nicht so einfach ist es natürlich mit Links auf einzelne Artikel direkt von anderen Webseiten. Diese werden aber weiterhin auf den richtigen Beitrag umgeleitet.

WordPress 2.8.1 enthält Änderungen zur Verbesserung der Sicherheit von Plugins, indem sichergestellt wird, dass nur auf korrekt registriert Plugin-Seiten zugegriffen werden kann. Dies führt nun dazu das man die Administrationsseite für das Adsense Deluxe Plugin (Version 0.8) nicht mehr aufrufen kann, man bekommt die Meldung: “Du hast nicht ausreichend Rechte, um auf diese Seite zuzugreifen”.

Um diesen Fehler zu beheben muss man den Code der Plugin-Datei minimal anpassen.

1. Am besten machst du erst einmal eine Sicherheitskopie des Plugins.
2. Öffne die Datei zum bearbeiten. Am einfachsten direkt über WordPress. (1)
3. Suche nach dem Text admin_head (2)
   
4. Ersetze den Text admin_head gegen admin_menu (3)
   
5. Speicher die Änderungen und schon kannst du wieder auf den Administrationsbereich von Adsense Deluxe zugreifen – Fertig.

Via: Fix AdSense Deluxe For WordPress 2.8.1

Update 24.08.09: Hier die Plugin-Datei mit meiner Anpassung drin: adsense-deluxe-fix-wp2.8.x

Update 08.03.10: > Einen Tipp habe ich vielleicht noch. Wenn das Plugin nicht laufen sollte, dann achtet darauf, das die Plugin Datei nicht in einen Unterordner liegen darf. Die Datei muss direkt im WordPress Plugin Ordner liegen, also immer schöndirekt im Ordner  /wp-content/plugins ablegen

Heute wurde mit WordPress 2.8.2 ein Sicherheitsrelease veröffentlicht. Dieses Update behebt einen schwerwiegenden XSS-Exploit. Es wird allen Benutzern dringend geraten auf die neue Version zu aktualisieren Via: WordPress 2.8.2 DE-Edition und Upgradepaket

Vor zwei Tagen haben die Entwickler von WordPress das erwartete Wartungs- und Sicherheitsrelease 2.8.1 freigegeben. Neben der Schließung eines Sicherheitslochs, wurden auch viele Bugs aus 2.8 behoben. Du kannst die ganze WordPress 2.8.1 DE-Edition herunter laden oder nur das Upgradepaket für 2.8 auf 2.8.1. Via: WordPress 2.8.1 (inkl. Sprachdatei & DE-Edition).

Man versucht ja immer wieder mal etwas neues auszuprobieren. Diesmal habe ich mich damit beschäftigt wie man unter WordPress am einfachsten mehrere Artikel in einer Artikelserie zusammenfassen kann und dieses dann ohne größeren Aufwand kenntlich macht. Am Ende meiner Suche bin ich auf das WordPress Plugin Organize Series gestoßen und habe es gleich einmal getestet.

Das Plugin bietet eine Menge an Funktionen und Einstellungsmöglichkeiten um Beiträge einer Serie zuordnen zu können. So kann man zum Beispiel beliebig viele Serien erstellen. Jeder Serie kann ein eigenes “Serien-Icon” und eine Beschreibung zugeordnet werden.

Hat man nun eine entsprechende Serie erstellt und konfiguriert, sollte man sich zuerst einmal die möglichen Einstellungen für das Plugin anschauen. Dort kann man die verschiedenen Templates für die Ausgaben der Serien-Informationen anpassen, diese automatisch auf den Artikel platzieren lassen und weitere Informationen zum Plugin erhalten. (weiterlesen …)

Ich verwende seit einigen Tagen das WordPress Plugin ‘Sideblog’ um in meiner Sidebar den Bereich “Kurz berichtet” zu integrieren. Nun ist ein Update für das ‘Sideblog’ Plugin verfügbar (Version 6.0). Das WP-Plugin wurde nun vom Entwickler so angepasst, das es “multible widgets” unterstützt, die es mit der neuen Widget-API von WordPress 2.8 gibt.

Hinweis: Das Plugin ist nicht Rückwärtskompatible mit älteren WP Versionen.

In the process of committing updated code for WP 2.8 to wordpress subversion repository. Due to changes in rendering multiple widgets, version 6.0 of Sideblog breaks backward compatibility. Get Sideblog version 6.0 here

Bei mir funktionierte nach dem Update erst einmal das Sideblog Widget für die Sidebar nicht mehr, alle Einstellungen waren weg. Also schnell die Einstellungen im Widget neu setzen, abspeichern und alles geht wieder. Der Vorteil, man kann nun das Widget mit verschiedenen Einstellungen auf verschiedenen Sidebars platzieren.Via: updated sideblog for WP 2.8

Ein neues, kleines Sicherheits-Feature möchte ich diesmal kurz ansprechen. Nach einer neuen Installation von WordPress 2.8 wird man nun auf dem Dashboard darauf hingewiesen, dass man als Admin mit einem automatisch generiertem Passwort arbeitet und dies könnte ein Sicherheitsrisiko darstellen. Daher wird empfohlen ein neues Passwort zu vergeben.

Zum ändern des Passwortes wird man nach der Anmeldung solange auf dem Dashboard hingewiesen, bis man das Passwort ändert oder den Hinweis für immer abschaltet.

Mein Fazit

Sicherheit ist immer gut, doch leider wurde dieses Sicherheits-Feature nicht durchgängig implementiert, sondern nur für den Blog-Administrator. Ist es zum Beispiel erlaubt sich direkt als ein neuer Benutzer an einem Weblog anzumelden, bekommt man auch ein automatisch generiertes Passwort zugewiesen und per E-Mail zugesendet. Meldet der neue Benutzer sich dann das erste Mal am Blog an bekommt er die oben gezeigte Hinweis-Meldung nicht angezeigt. Ich Denke da muss und kann noch etwas nachgebessert werden.