Als Gesprächspartner sind Frank Bültge von bueltge.de und Vladimir Simovic von perun.net mit dabei, die wohl jedem WordPress-Nutzer bekannt sein dürften. Zum einen durch ihre sehr informativen Blogs und zum anderen durch diverse Buchprojekte zu WordPress.

In dem über zwei Stunden dauernden Podcast geben die beiden einen guten Einblick in WordPress. Das ganze ist angereichert mit vielen Informationen zur aktuellen Version und eigenen Erfahrungen, was ganz kurzweilig und interessant ist.

Weitere Informationen zum Inhalt, die Links der Sendung sowie den Podcast zum downloaden oder hören findet man auf der Seite zur Ausgabe 171 der Technikwürze. Gerade Einsteigern Blog-Anfänger sei dieser Podcast sehr empfohlen. Aber auch alte WP-Hasen werden ihre Freude daran haben.

]]> http://www.dinofuss.de/2010/06/29/ausfuehrlicher-podcast-zu-wordpress/feed/ 0 http://www.dinofuss.de/2010/06/21/reibungsloser-umstieg-auf-wordpress-3-0/ http://www.dinofuss.de/2010/06/21/reibungsloser-umstieg-auf-wordpress-3-0/#comments Mon, 21 Jun 2010 18:27:21 +0000 dinofuss http://www.dinofuss.de/?p=2941 Ganze drei Tage konnte ich meine Neugier zügeln bevor ich gestern mein Blog auf WordPress 3.0 aktualisiert habe. Zur Sicherheit habe ich vorher noch schnell eine Sicherung der Datenbank gemacht. Denn mit einem Backup in der Hinterhand lässt es sich viel entspannter updaten.

Danach habe ich das Update mittels der Auto-Update-Funktion eingespielt, was schon bei den letzten Updates sehr gut funktioniert hat. Und auch bei diesem großen Versionssprung gab es keinerlei Probleme beim updaten. Innerhalb weniger Minuten war das Update durch und irgendwie hatte ich das Gefühl, dass es um einiges schneller lief als bei den vorherigen Aktualisierungen.

Das einzige was man danach noch händisch aktualisieren muss, sind die 4 neuen Schlüsseln, die man in die wp-config.php eintragen sollte.

Die bereits 4 vorhandenen Keys:

define('AUTH_KEY', 'xxx');
define('SECURE_AUTH_KEY', 'xxx');
define('LOGGED_IN_KEY', 'xxx');
define('NONCE_KEY', ' xxx');

werden um 4 weitere Keys ergänzt:

define('AUTH_SALT', 'xxx');
define('SECURE_AUTH_SALT', 'xxx');
define('LOGGED_IN_SALT', 'xxx');
define('NONCE_SALT', 'xxx');

die hauptsächlich für den MultiUser-Betrieb  genutzt werden. Auch wenn man diesen nicht nutzt, sollte man diese trotzdem eintragen. Generieren kann man die Schlüssel z.B. über die Seite https://api.wordpress.org/secret-key/1.1/salt/. Besser ist es aber die Schlüssel selbst zu generieren z.B. mit KeePass. Schließlich geht es dabei um die Sicherheit und da ist es bestimmt sinnvoller die Schlüssel selbst zu generieren anstatt sie von einer Webseite zu kopieren.

Nach der ersten Anmeldung im Backend war fast alles wieder vorher. Lediglich meine 3-Spalten-Ansicht des Dashboards wurden beim updaten zurückgesetzt was aber kein Problem ist. Es ist eher eine Chance mal das Dashboard wieder etwas neu zu organisieren und gehört daher vielleicht zu den vielen neuen Features von WP3

Alles in allem muss man sagen, dass die WordPress-Entwickler einen tollen Job gemacht haben und das sich das Update auf jeden Fall lohnt.

]]> http://www.dinofuss.de/2010/06/21/reibungsloser-umstieg-auf-wordpress-3-0/feed/ 0 http://www.dinofuss.de/2010/06/17/wordpress-3-0-thelonious-erschienen/ http://www.dinofuss.de/2010/06/17/wordpress-3-0-thelonious-erschienen/#comments Thu, 17 Jun 2010 19:39:16 +0000 dinofuss http://www.dinofuss.de/?p=2932 Nach einer sehr langen Entwicklungszeit und zuletzt drei Release Candiate-Versionen ist heute das Major-Release WordPress 3.0 veröffentlicht worden.

Diesmal ist die Version dem großartigen Jazz-Pianisten und Komponisten Thelonious Monk gewidmet. Und wie der große Versionssprung schon vermuten lässt, bringt die neue Version sehr viele Neuerungen und Verbesserungen mit.

Die auffälligste Neuerung ist das neue Standard-Theme von WordPress namens “Twenty Ten”, das damit nun das gute alte Kubrik (endlich) ablöst. Dieses bietet einige Funktionen mit denen man das Theme besser an eigene Bedürfnisse anpassen kann. Dann gibt es ein neues Menüsystem, mit dem man mittels Drag&Drop eigene Menüs ganz unkompliziert erstellen kann.

Um WordPress besser und flexibler als CMS nutzen zu können, wurden die Funktionen “Custom Post Types“ und „Custom Taxonomies“ implementiert, womit sich weitere Beitragstypen und eigene Taxonomien erstellen lassen. Bei der Installation lässt sich nun Name und Passwort des Administrators frei wählen und bei der Erstinstallation werden die Sicherheitsschlüssel automatisch generiert. Neben dem Standard-Theme hat auch das Backend eine optische Auffrischung erfahren.

In dieser Version wurden außerdem WPMU (Multiuser-Version) und WordPress zusammengelegt. Die Funktion nennt sich nun Multisite und ermöglicht den Betrieb von mehreren eigenständigen Blogs mit einer Installation.

Darüber hinaus gibt es aber noch viel viel mehr Neuigkeiten, die auf der Codex-Seite ausführlich beschrieben sind. Zudem gibt es noch eine Screenshot-Galerie zur neuen Version. Einige der Neuerungen zeigt das nachstehende Video.

WordPress 3.0 steht bei WordPress Deutschland als DE-Edition und als offizielle englischsprachige Version zum Download zur Verfügung. Wie immer gibt es bei großen Versionssprüngen kein Upgrade-Paket.

In meiner großen Notizen-Sammlung bin ich jetzt wieder auf das WordPress-Plugin AntispamBee von Sergej Müller gestoßen, dass ich vor Monaten schon mal ausprobieren wollte. Jedenfalls läuft es jetzt hier seit dem Wochenende und macht einen guten Job. Das Plugin erfordert keine Registrierung und sendet auch keine Daten zu irgendwelchen Servern wie das Akismet tut. Wie es genau funktioniert und was es alles kann, hat der Autor in seinem Blog sehr gut dokumentiert.

Jedenfalls habe ich Akismet und NoSpamNX jetzt abgeschaltet und damit auch ein Plugin eingespart. Insgesamt finde ich AntispamBee (aktuell in Version 1.5) die bessere und effektivere Lösung gegen den alltäglichen Spam.

Unter anderem wurden Probleme mit Pingbacks und zeitgesteuerten Veröffentlichungen beseitigt. Eine Übersicht aller Korrekturen findet man bei core.trac.wordpress.org.

Ich habe mein Blog über die automatische Update-Funktion aktualisiert, was wieder einmal schnell und problemlos funktioniert hat. Wer lieber selber updaten möchte, findet bei WordPress Deutschland die aktuelle DE-Edition, das Updgrade-Paket (2.9 auf 2.9.1) und auch die offizielle englischsprachige Version zum downloaden.

WordPress 2.9 bringt eine ganze Menge neuer Funktionen mit, die ein Update ganz reizvoll machen. Zu den Höhepunkten von Version 2.9 gehören sicherlich die Bildbearbeitungsfunktionen, die Plugin-Massenaktualisierung, der Papierkorb, Thumbnails, vereinfachtes einbinden von Videos (z.B. YouTube, Google Video usw.) mittels oEmbed.

Darüber hinaus lassen sich die Datenbank-Tabellen direkt vom Backend aus optimieren und reparieren. Auch gibt es einen merklichen Geschwindigkeitszuwachs, der durch optimierte Stylesheet-Dateien und verbesserte jQuery-Scripte erreicht wurde. Und natürlich gab es diverse Fehlerbereinigungen. Eine ausführliche Auflistung aller Änderungen findet man auf WordPress.org.

Ich habe für mein Update von dinofuss.de das automatische Update gewählt, was ohne Probleme funktioniert hat. Im Vorfeld hatte ich die Plugins auf den neuesten Stand gebracht und zur Sicherheit ein Datenbank-Backup angelegt. Danach funktionierte fast alles ohne Probleme. Nur das Plugin Simple Tags hat seine Funktion verweigert. Dazu gibt es aber in Peruns Weblog eine einfache Lösung. Es muss lediglich eine Codezeile des Plugins ergänzt werden und schon arbeitet Simple Tags wieder ohne Probleme.

Ansonsten arbeiten soweit ich das in der kurzen Zeit überblicken konnte alle anderen Plugins, die derzeit zum Einsatz kommen einwandfrei. Aktuell sind das: Add From Server, Akismet, Batch Categories, Dashboard: Icerocket Reactions Extended, DoFollow, Exec-PHP, FeedStats, Live Comment Preview, No Self Pings, NoSpamNX, o42-clean-umlauts, Pagebar2, Page Link Manager, Preview Frame, PXS Mail Form, Sayfa Sayac – PostReadCounter, Search Everything, Semmelstatz, Simple Tags, StatPress, Time Zone, WordPress.com Stats, WordPress Database Backup, WP-Memory-Usage, WP-ServerInfo.

Mein erstes Fazit ist durchaus positiv. Mein Highlight der Version ist der Bildeditor, mit dem sich Bilder sehr einfach skalieren, rotieren, zuschneiden und spiegeln lassen. Ein lohnendes Update, dass man sich zu Weihnachten gönnen sollte.

WordPress 2.9 steht in der englischen Original-Fassung und als DE-Edition bei WordPress-Deutschland zum Download bereit.

Gerade eben wurde die Blogsoftware WordPress in Version 2.8.6 veröffentlicht. Dabei handelt es sich um Sicherheitsupdate in dem zwei Sicherheitslücken geschlossen wurden. Eine der Lücken ermöglicht es Dateien wie foto.php.jpg als Code auszuführen. Wie WordPress Deutschland berichtet, tritt dieses Problem dann auf, wenn in der Konfiguration des Apache Webservers “AddHandler application/x-httpd-php .php” zum Einsatz kommt.

Bei der zweiten Lücke die geschlossen wurde, handelt es sich um eine XSS-Lücke. Ein Update sollte man also schnellstmöglich durchführen. Bei WordPress Deutschland steht neben der englischen Version auch schon die DE-Edition und das Upgrade-Paket zum Download bereit.

Ich habe das Update eben über die automatische Aktualisierung eingespielt, was wie schon bei den letzten Updates (für Version 2.8 gab es ja schon so einige) problemlos funktioniert hat. Bleibt zu hoffen, das Version 2.9 die Ende des Jahres erscheinen soll unter einem besseren Stern steht und weniger anfällig ist.

Der Grund dafür liegt in einer Schwachstelle der Trackback-Schnittstelle, welche aktuell für DoS-Attacken auf WordPress-Blogs ausgenutzt wird. Zwar wird seitens WordPress-Deutschland das Problem nicht als gefährlich eingestuft aber ein Update ist auf jeden Fall ratsam.

Weiterhin wurden Code-Teile entfernt, die  in Variablen befindlichen PHP-Code ausführen. Auch beim Datei-Upload gab es Änderungen. Hier wurde die Whitelist der erlaubten Dateierweiterungen, die bislang nur normale Nutzer berücksichtigt hat, auch auf Administratoren erweitert.

Zudem empfehlen die Entwickler das WP-Plugin WordPress Exploit Scanner. Dieses durchsucht Dateien und Tabellen einer WordPress-Installation nach Auffälligkeiten ab. Wer also lieber ganz sicher gehen will, dass sein Blog sich nichts eingefangen hat, sollte das Plugin mal laufen lassen.

WordPress 2.8.5 steht im Moment nur bei WordPress.org zum Download bereit. Bei WordPress-Deutschland ist die aktuelle Version und auch die DE-Edition noch nicht zu haben. Kann aber nicht mehr lange dauern.

Update 17:00 Uhr: Bei WordPress-Deutschland gibt es jetzt auch das Updgrade-Paket und die DE-Edition.

]]> http://www.dinofuss.de/2009/10/21/wordpress-2-8-5-fuer-mehr-sicherheit/feed/ 0 http://www.dinofuss.de/2009/08/12/wordpress-2-8-4-beseitigt-problem-mit-admin-passwort/ http://www.dinofuss.de/2009/08/12/wordpress-2-8-4-beseitigt-problem-mit-admin-passwort/#comments Wed, 12 Aug 2009 12:39:59 +0000 admin http://www.dinofuss.de/?p=2152 Die WordPress-Entwickler haben relativ schnell auf das gestern aufgetretene Problem reagiert und eine bereinigte Version 2.8.4 zur Verfügung gestellt. Damit können nun unbefugte nicht mehr das Admin-Passwort zurücksetzen.

Also alle die noch nicht auf die neue Version 2.8.4 aktualisiert haben, sollten dies baldigst nachholen. Per Auto-Update geht das auch ganz schnell und reibungslos. Von diesem Problem sind soweit ich das gelesen habe, alle früheren Versionen betroffen und nicht nur die 2.8.x. Von daher betrifft es wohl einen großen Nutzerkreis.

Wer das Update nicht mit der AutoUpdate-Funktion einspielen kann oder will findet auch das entsprechende Upgrade-Paket bei WordPress Deutschland im Upgradepaket Archiv.

Auch heute ist wieder eine schwere Sicherheitslücke aufgetaucht. Das Problem liegt in der Funktion zum Zurücksetzen des Passworts und ermöglicht es, unbefugten das Admin-Passwort zurückzusetzen. Diese Lücke kann zwar nicht genutzt werden um in das System einzudringen, weil das neue Passwort per Mail an den Administrator gesendet wird, aber es ist sehr ärgerlich und es verunsichert viele WordPress-Nutzer.

Zum Glück gibt es schon einen Fix für das Problem. Eine korrigierte Version der Datei wp-config.php steht bei WordPress Deutschland zum Download bereit. Man kann aber auch die wp-config.php selbst fixen, indem man den Eintrag in Zeile 190 :

if ( empty( $key ) ) durch if ( empty( $key ) || is_array( $key ) ) ersetzt.

Egal wie man es macht, man sollte es auf jedenfall schnellstmöglich machen. Ob eine neue aktualisierte Version 2.8.4 geben wird oder ob es bei dem Fix bleibt, wird man in den nächsten Tagen sehen. Von diesem Fehler ist nicht nur die aktuelle Version 2.8.3 betroffen, sondern auch die anderen 2.8.x-Versionen.