WordPress 2.9 ist da!Ein vorzeitiges Weihnachtsgeschenk gab es von den WordPress-Entwicklern, Version 2.9 ist da! Eine Übersicht der neuen Funktionen findet ihr auf WPD oder bei Perun.
Ich für meinen Teil warte noch ein bis zwei Wochen mit dem Update. Mancher Plugin-Entwickler wird sicherlich das eine oder andere noch aktualisieren müssen und wer weiß, wie schnell 2.9.1 da ist. Ein wenig Ironie muss sein. 
WordPress 2.8.6 ist da!Das Sicherheitsupdate auf WordPress 2.8.6 beseitigt zwei Lücken, die allerdings nur von registrierten und eingeloggten Benutzern ausgenutzt werden können.
Golem schreibt:
Bei den beseitigten Problemen handelt es sich zum einen um eine XSS-Verwundbarkeit in “Press This”, die von Benjamin Flesch entdeckt wurde. Zum anderen gibt es unter bestimmten Apache-Konfigurationen ein Problem beim Upload von Dateien. Wie Dawid Golunski herausfand, kann diese Sicherheitslücke mit präparierten Dateinamen ausgenutzt werden.
Ein rasches Update wird trotzdem empfohlen! Updateinformationen findet ihr hier auf englisch bzw. hier auf deutsch.
Ritter von .htaccessEin einfacher Weg WordPress etwas sicherer zu machen und dabei gleichzeitig den aktuellen Punkt 1 der Smilie-Wunschliste abzuarbeiten ist es, eine .htaccess-Datei im WordPress-Admin-Verzeichnis abzulegen und damit eine Passwortabfrage einzubauen, um lästige Besucher abzuwehren.
Wie geht das nun?
Eine ausführliche Anleitung findet ihr auf SELFHTML. Im Wesentlichen basiert der Schutz auf zwei Dateien, zum einen die Datei .htaccess, welche in das zu schützende Verzeichnis kommt und zum anderen auf die Datei .htpasswd, in welcher Username und das verschlüsselte Passwort stehen. Beide Dateien können mit einem Texteditor angelegt und anschließend auf den Server geladen werden.
Wer Shell-Zugriff besitzt, kann auch über das Programm htpasswd eine .htpasswd-Datei anlegen. Alternativ nutzt man einen Online-Generator dafür, wie er zum Beispiel hier zu finden ist.
Inhalt der beiden Dateien
Speicherort: .htpasswd
USERNAME:jd18zdgh7shuj
Speicherort: /wp-admin/.htaccess
AuthUserFile /SERVER_PFAD/.htpasswd AuthGroupFile /dev/null AuthName Intern AuthType Basic <Limit GET> require user USERNAME </Limit>
Damit es beim Kommentieren nicht zu Passwortabfragen kommt, müssen zwei Verzeichnisse vom .htaccess Schutz ausgenommen werden:
Speicherort: /wp-admin/css/.htaccess
Order Deny,Allow Allow From All Satisfy Any
Speicherort: /wp-admin/images/.htaccess
Order Deny,Allow Allow From All Satisfy Any
Die beiden .htaccess-Datein zum Schluss hebeln den Schutz für die beiden Verzeichnisse wieder aus. Der Punkt vor htaccess bzw. htpasswd muss gesetzt werden! Eine zwingende Voraussetzung, das der Schutz funktioniert, ist ein Apache Webserver und ein Provider, der diese Funktion aktiviert hat. Sollte das nicht der Fall sein, lohnt es sich nachzufragen.
WordPress 2.8.5 ist da!Untertitel: Mit dem Kopf durch die Glastür!
Autsch, das tat weh. Eigentlich wollte ich gerade einen netten Beitrag zur erhöhten Sicherheit von WordPress via .htaccess schreiben und ich Blindei laufe Vollgas gegen eine geschlossene Glastür. Ich sag’s euch, das war ein Erlebnis. Zuerst dachte ich, ich wäre Mike Tyson persönlich begegnet da ich nur Vöglein zwitschern hörte und alles dunkel wurde. Dann realisierte ich ernüchternd, dass da doch eine Tür war und ist. Nun brummt der Schädel und ein Cut ziert meine Stirn – ein passender Smilie wird nachgereicht – und ich beschränke mich darauf, jetzt nur auf das aktuelle WordPress-Update hinzuweisen.
Es handelt sich um Sicherheitsupdate, mehr dazu findet ihr hier auf Deutsch bzw. Englisch.
WordPress, WordPress, WordPress, WordPress 2.8.4 ist da!Nach langem Warten schnurrt hier nun auch der WordPress 2.8.x Motor. Der Grund warum ich so lange gewartet hatte war, dass es immer wieder eine Menge Folgeupdates nach dem Release einer neuen Version gibt die nicht immer zwingend auch den Vorgänger betreffen und hole hiermit auch nach, was ich die letzten Updates vernachlässigt habe:
WordPress 2.8.1 ist da!
Sicherheitsupdate da angemeldete Benutzer auf die Optionsseiten diverser Plugins zugreifen konnten, da die entsprechende Funktion zur Überprüfung fehlerhaft ist. Betrifft mich aber nicht, da ich “Jeder kann sich registrieren.” deaktiviert habe. 2.8.1 kam wenige Tage nach 2.8.
WordPress 2.8.2 ist da!
Sicherheitsupdate welches einen schweren XSS-Exploit in 2.8 behob. Hier hätte ich wohl auch updaten müssen, bin aber gar nicht sicher, aber ich war privat zu sehr eingespannt.
WordPress 2.8.3 ist da!
Sicherheitsupdate. Selbes Spiel wie beim Update auf 2.8.1, welches mich nicht betrifft, da ich keine registrierten Autoren/Kommentatoren zulasse.
WordPress 2.8.4 ist da!
Sicherheitsupdate da das Admin-Passwort von außen zurückgesetzt werden konnte, gut wer sein WP-Backend noch per .htaccess absichert.
Das soll jetzt aber kein Rant sein, denn so simple wie die Updates durch zu führen sind ist das kein Halsbruch! Umso mehr muss man den Einsatz des WordPress-Teams loben, Lücken schnell zu schließen. Auch wenn es die Versionsnummer nach oben treibt, aber wen juckt das schon.
Was ich aber sagen wollte ist, dass man bis zum ersten Sicherheitsrelease einer neuen Version ruhig warten kann. Auch die Plugin-Autoren ziehen bis dahin meist mit den Updates ihrer Plugins nach.
Loading ...| M | D | M | D | F | S | S |
|---|---|---|---|---|---|---|
| « Okt | ||||||
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | ||||
Proudly powered by WordPress | Einträge (RSS) und Kommentare (RSS) | GreenSmilies powered by niedermayr.cc 