Nur kurze Zeit nach dem Release des Sicherheitsupdates 2.8.2 ist gestern mit der Version 2.8.3 ein weiterer Bugfix erschienen. Diesmal wurde ein schwerwiegendes Rechteproblem behoben, sodass ihr unbedingt upgraden solltet.

Die it-republik erläutert:

Das Problem tritt auf, sobald man als User registriert ist. Über einen modifizierten URL können bereits mit dem Status “Abonnent” diverse Einstellungsseiten wie zum Beispiel die Bereiche für Plug-ins und Themes aufgerufen und geändert werden.

Wie immer findet ihr das Upgradepaket sowie die deutsche Sprachdatei auf wordpress-deutschland.org.

Vor wenigen Stunden ist mit WordPress 2.8.2 ein wichtiger Sicherheitsfix veröffentlicht worden.
Das Update von 2.8 auf 2.8.1 erschien ja schon recht zügig, und mit 2.8.2 wird nun eine weitere Sicherheitslücke geschlossen.

Diese ermöglichte es Angreifern, über die Kommentarfunktion XSS-Exploits zu nutzen: so wurden die URLs der Kommentar-Autoren nicht korrekt überprüft und es war daher mit einer entsprechenden URL möglich, dass der Admin über die Anzeige dieser URL im Adminbereich auf eine schadhafte Seite weitergeleitet wurde.

Zeitweise ging zwar gerade eben erst einmal der Server von WordPress-Deutschland in die Knie, aber im Laufe des Tages sollte es problemlos möglich sein, die eingedeutschte Version 2.8.2 von dort herunterzuladen.

Wer in den letzten Wochen die zahlreichen Blogeinträge und Spekulationen über die neue WordPress-Version 2.7 verfolgt hat, der könnte auf den Gedanken kommen, dass die Blogger heute schon ihr am sehnlichsten gewünschstes Weihnachtsgeschenk bekommen haben: 2.7 steht seit heute Nacht offiziell zum Download bereit. :-)

Herunterladen könnt ihr die neuen Dateien wie gewohnt auf wordpress-deutschland.org, eine ausführliche Erläuterung der immens vielen neues Features findet ihr unter http://blog.wordpress-deutschland.org/2008/12/11/wordpress-27-wurde-veroeffentlicht.html.

Viel Spaß! :-)

Seit gestern steht einmal mehr eine neue WordPress-Version zum Download bereit: bei 2.6.5 handelt es sich um ein Sicherheitsupdate, das man also auf jeden Fall durchführen sollte.

Wie das WordPress Deutschland-Blog berichtet, wird mit dem Update, neben einigen kleineren Fehlern, vor allem ein XSS Exploit verhindert.

Wer sich nun wundert, dass bei seiner Versionsnummer doch 2.6.3 steht und nun auf einmal 2.6.5 kommt: die Version 2.6.4 wurde übersprungen, da kürzlich ein gefaktes WordPress-Update im Umlauf war. Dies hatte es darauf abgesehen, Daten zu klauen. Schützen könnt ihr euch vor solchen Fakes übrigens, indem ihr erst dann updatet, wenn der Hinweis auf eine neue Version oben im Dashboard auftaucht und die Dateien anschließend von der offiziellen WordPress-Seite bezieht.
Eine offizielle Version 2.6.4 hat es also niemals gegeben.

Heute Nacht ist mit der Version 2.6.3 ein Sicherheitspatch für WordPress erschienen: um kein Risiko einzugehen, solltet ihr dieses Update also unbedingt durchführen!

Geändert werden müssen lediglich die beiden Dateien wp-includes/class-snoopy.php und wp-includes/version.php – das heißt, ihr ladet euch hier auf WordPress Deutschland die beiden Dateien herunter und schiebt sie via FTP auf euren Server, wobei ihr die bestehenden Dateien natürlich überschreibt.

Wie das WordPress Deutschland-Blog mitteilt, befindet sich die Sicherheitslücke in der Snoopy-Library (die dafür verwendet wird, im Dashboard die Feeds zu importieren) und ermöglicht einen Zugriff auf den Rootserver.

Gestern haben die WordPress-Entwickler etwas unverhofft eine neue Version veröffentlicht.
2.6.2 stellt ein Sicherheitsupdate dar, das heißt, ihr solltet es durchführen – auf jeden Fall aber, wenn ihr es euren Besuchern erlaubt, sich einen Account zu erstellen (so, wie es hier auf neontrauma.de der Fall ist).

Bislang war es möglich, sich mit einem bestimmten Namen zu registrieren, der die Passwörter aller anderen User auf ein zufallsgeneriertes Passwort zurücksetzt. Das an sich wäre noch nicht einmal ein Sicherheitsproblem – da die neuen Passwörter ja per Mail an die einzelnen User versandt werden. Aber in Verbindung mit einer Schwäche der mt_rand()-Funktion, die für das Generieren der Passwörter zuständig ist, wird das Ganze heikel: diese ließ, mit etwas Geschick, Rückschlüsse auf das generierte Passwort zu.

Desweiteren wurden ein knappes Dutzend kleinerer Bugs behoben – unter anderem das Problem, dass in ein Posting eingefügte Bilder teilweise nur in der vollen Größe eingesetzt werden konnten, nicht aber als Thumbnail. Alle Bugfixes der 2.6.2er-Version könnt ihr, wie immer, hier nachlesen.

Die deutsche Version wird wohl heute im Laufe des Tages erscheinen.

Im Hause WordPress folgt man auch dieser Tage wieder dem altbewährten Prinzip, einer neuen Version bald darauf etliche Bugfixes in Form eines kleineren Updates nachzuliefern.

So ist seit heute WordPress 2.6.1 erhältlich; momentan liegt die deutsche Sprachversion aber noch nicht vor. Diese wird sicherlich im Verlaufe des Tages erscheinen.

Edit, halb zwölf: wie ich gerade sehe, ist mittlerweile auch die deutsche Sprachversion auf der WordPress-Deutschland-Seite erhältlich.

Wie man im WordPress-Blog betont, ist das Update diesmal allerdings optional und wirkt sich nicht verbessernd auf die Sicherheit des Blogs aus: wer mit seiner 2.6er jetzt keinerlei Probleme hat, der kann also getrost auf diese neue Version verzichten. Allerdings sind um die sechzig Fehlerchen und Fehler eliminiert worden, sodass sich ein Upgrade für den ein oder anderen sicher lohnt.

Kaum sind die Updates auf die aktuelle WordPress-Version 2.6 über die Bühne, da sickern auch schon die ersten Informationen über die wahrscheinlich übernächste Version aus den Entwicklerkreisen: auf 2.6.1, an der momentan gearbeitet wird, soll 2.7 folgen.

Noch sind allerdings erst wenige Fakten bekannt. Für die Neugierigen unter euch:

vertikales Menue

Im Backend wird es erneut eine optische Veränderung geben: die Navigation wandert an den linken Rand und wird vertikal statt, wie bisher, horizontal ausgerichtet sein.
Ob das nun großartig zur Verbesserung der Übersichtlichkeit und somit der Benutzerfreundlichkeit dient, sei einmal dahingestellt. Ich persönlich zumindest komme mit der horizontalen Menueleiste wunderbar zurecht – aber das ist wohl auch Gewöhnungssache.

Drag & Drop beim “Artikel schreiben”

Mittels Drag & Drop lassen sich zudem die einzelnen Felder und Elemente auf der “Artikel schreiben”-Seite beliebig anordnen – das ist eine Neuerung, die ich sehr begrüße. Wichtige Objekte kann man sich gut erreichbar platzieren und eher selten benötigte Elemente stattdessen an den Rand verbannen.

Vladimir Simovic hat auf seiner Seite perun.net mittels eine Flashvideos eine Demo des neuen Adminbereichs erstellt: so sieht die “Schreiben”-Seite in 2.7 aus

mehr Corefeatures

Wenn man einen Blick in den Codex für 2.7 wirft, so sieht man dort zudem eine ganze Reihe an angestrebten Veränderungen und Verbesserungen. Zu einem Großteil werden Features, die man bis dato über Plugins einbinden muss, in den standardmäßigen Funktionsumfang aufgenommen. Beispiele hierfür sind etwa die Google-Sitemap, deren Vorhandensein in Hinblick auf Suchmaschinenoptimierung eine wichtige Rolle spielt, das Schreiben von Kommentaren direkt aus dem Adminbereich heraus oder etwa die Möglichkeit, über neue Kommentare via Email informiert zu werden.

zwei neue APIs

Über zwei neue Schnittstellen soll es möglich sein, dass man die Kommentare auch über externe Programme verwalten kann, und dass man zudem bei Neuerungen in einem Theme einen Update-Hinweis erhält – analog zu den jetzt schon vorhandenen Hinweisen bei den Plugins.
Das macht Sinn, da auch Themes desöfteren Sicherheitslücken beinhalten und in Hinblick auf Bugfixes regelmäßig auf den neusten Stand gebracht werden sollten.

keine Sicherheitsfixes

In Sachen Sicherheit wird 2.7 vorraussichtlich jedoch nichts verändern, sodass die Update-Muffel unter euch nicht unbedingt umsteigen müssen.

und wann ist’s soweit?

Glaubt man den Gerüchten, so hat das Entwicklerteam den Dezember diesen Jahres als Release-Datum für die finale Version angepeilt – ein Weihnachtsgeschenk für die Blogosphäre also. :-)