KRiZZi'S BLoG

Seit heute ist die neue WP-Version (3.0.4) raus, die eine Sicherheitslücke schließt:

Version 3.0.4 of WordPress, available immediately through the update page in your dashboard or for download here, is a very important update to apply to your sites as soon as possible because it fixes a core security bug in our HTML sanitation library, called KSES. I would rate this release as “critical.”

Tach auch! Hat dann mit meinem blöden Rücken doch etwas länger als geplant gedauert, bzw. dauert im Prinzip noch immer. Aber ich schaffe es unterdessen zumindest schon wieder, Halbstundenphasen schmerzfrei auf meiner Ultra-Hightech-Bürostuhl-Spezialanfertigung (bloß leider nicht für mich angefertigt, das ist der Haken) zu verbringen.

… how i keep it goin’under….

hab  – frühmogenz – neue Taskbar eingebaut, die schon bei caschy für Kontroversen gesorgt hat. However,

wenn ihr Probleme damit habt, bitte in die Kommentare – iss halt beta!

ist gestern die Version 2.8.3 erschienen, die einen Rechtefehler im Backend korrigiert (registrierte Benutzer können bis 2.8.2 durch Manipulation einer URL auch ohne entsprechende Rechte Einstellungen ändern).

Wer bereits 2.8.x im Einsatz hat, muss nicht das Komplettpaket (DE- oder EN-Version) nutzen, sondern kann auf ein Upgrade zurückgreifen, das nur die entsprechenden Files austauscht. Die entsprechenden deutschen Sprachdateien gibt’s separat hier.

Viele Leute haben gedacht, der Andreas/Redunzl entwickelt das olle Semmelstatz nicht weiter, und es sei längst ‘outdated’. Manche nehmen es bei Vergleichen von Statistik-Plugins (evtl. aus diesem Grund) gar nicht erst auf. Liebe Leute, ihr seid im Irrtum!

Seit heute ist die Version 3.3 raus. Hier die Features:

Nach dem Bekanntwerden der Sicherheitslücken haben sie scheinbar nochmal Vollgas gegeben. Version 2.8.1 ist bei den üblichen Quellen zu beziehen:

• wordpress-deutschland.org (upgrade)
• wordpress.org (englisch)
• de.wordpress.org (huch, ich seh gerade, dass hier noch die 2.8.0 im Angebot ist – wird sich bestimmt sehr bald ändern )

Core Security berichtet über gleich mehrere Schwachstellen bei WordPress:

• in der admin.php werden z.B. die Zugriffsrechte nicht korrekt geprüft, so dass sich Plugins manipulieren lassen, unter anderem das PHP-IDS (Intrusion Detection System)
• das ‘Related Ways To Take Action’-Plugin hat XSS-Probleme, wodurch sich JavaScript-Code im Browser des Opfers ausführen lässt

Eine nicht unbekannte und wohl auch nicht zu selten genutzte Sicherheitslücke in WordPress ist der Standardpräfix wp_. Aus Sicherheitsgründen sollte dieser also möglichst auf etwas abenteuerlicheres geändert werden, was u.a. auch von Plugins wie WP – Security Scan auf Wunsch automatisch übernommen wird.

Sorry, dass in den letzten 2 Tagen das Kommentieren nicht funktioniert hat. Leider wurde ich erst vorhin darauf aufmerksam gemacht, so dass ich da auch jetzt erst was dran ändern konnte.

Ist offenbar ein kleines Plugin-Problem, das ich aber gerade versuche zu klären. Zur Zeit sollten Kommentare wieder problemlos möglich sein.

Wer jetzt sein(e) Blog(s) noch nicht auf 2.8 umgestellt hat, sollte da besser auch mit warten. Die Probleme sind wohl hinlänglich bekannt (z.B. Autoupdate/Rollback und Speicherprobleme), daher soll die Version 2.8.1 auch schon Ende dieser Woche in die Betaphase gehen.