Im Artikel „WordPress lässt Lücke ungepatcht“ beschrieben wir ein Sicherheitsproblem, das eine Software-Security-Firma vor etwas mehr als einem halben Jahr an das WordPress-Security-Team gemeldet hat: Wenn jemand einen Autor-Account nutzen kann, kann man durch gezielte Manipulation der Datenbank in Zusammenhang mit Vorschaubildern („Thumbs“) Dateien löschen, die sich außerhalb des Mediaverzeichnisses befinden.
So könnte man etwa die wp-config.php-Datei entfernen und WordPress zu einer Neuinstallation zwingen. Damit wäre es möglich eine Datenbankverbindung anzugeben, die man als Angreifer selbst unter Kontrolle hat. So übernimmt man dann den Serveraccount, auf dem WordPress läuft.
Diese Privacy Escalation ist aber nur für User möglich, die Zugang als Autor haben, also mindestens die Rechte besitzen, Mediendateien hochzuladen, zu löschen und zu bearbeiten.
In den letzten 24 Stunden hat WordPress nun eine Version 4.9.7 ausgerollt, so dass viele Installationen heute ein automatisches Update vermeldet haben. Daneben sind nach Angaben verschiedener Onlinemedien weitere siebzehn Bugs behoben worden.
Wer in WordPress die automatische Updatefunktion deinstalliert hat, sollte nun die Routine selbst anwerfen und das System aus Sicherheitsgründen auf den neusten Stand bringen.
Als neuen Funktion, die auch für reine Bediener interessant sein könnte, erlaubt WordPress 4.9.7 nun im Adminmenü der Widgets, basale HTML-Tags in Sidebar-Descriptions zu verwenden.
Von WordPress, Gutenberg, der eigenen Website und der wirtschaftlichen Lage
Auch wenn die Sommerzeit dafür sorgt, dass nicht allzu viele Technologie-Nachrichten eingehen, bleibt es spannend: Die WordPress-Welt diskutiert über Gutenberg, den neuen Editor, der Teil des WordPress Kerns werden wird. Beim WordCamp in Belgrad wurde nun ein Fahrplan zur Einführung vorgestellt.
Dies ist auch Thema in der aktuellen Episode des goneo Webmacher Podcasts, mit dem wir wöchentlich einige News, Infos, Tipps und Anregungen für alle Webseitenbetreiber vermitteln wollen.
[podloveaudio src=“https://www.goneoserver.de/podcastgenerator/media/2018-06-29_goneopodcast_41_wordpress_gutenberg_rollout.mp3″]
Abonniere diesen Podcast, vergib bitte fünf Sterne dafür auf iTunes und gib uns, wenn du möchtest Feedback via Facebook, Twitter oder einfach hier in den Blogkommentaren.
„Von WordPress, Gutenberg, der eigenen Website und der wirtschaftlichen Lage“ weiterlesen
Sicherheit: WordPress lässt Lücke ungepatcht
Es ist eine Lücke in aktuellen WordPress-Versionen bekannt geworden, die bereits vor sechs Monaten entdeckt worden ist. Damit können unter Umständen Fremde Dateien in einer Installation löschen, auch kritische Dateien wie zum Beispiel .htaccess, index.php oder auch die wichtige wp-config.php. Im letzteren Fall führt WordPress praktisch eine Neuinstallation aus, die dann manipuliert werden kann. Für das Problem gibt es keine Lösung von WordPress, nur einen Hotfix einer Sicherheitsfirma. „Sicherheit: WordPress lässt Lücke ungepatcht“ weiterlesen
Unklarer Veröffentlichungstermin für WordPress 5.0 mit Gutenberg
Mitte Juni tagte die europäische WordPress-Welt in Belgard bei WordCamp Europe 2018. Mit über 30 Prozent Marktdurchdringung ist die Aufmerksamkeit auf das ehemals blogorientierte Contentmanagement System sehr groß.
Vor allem die Einführung eines neuen Editors mit dem Name Gutenberg weckt Interesse. Lange gab es aus der WordPress-Welt keine Neuigkeiten, was einen Termin zur Einführung von Gutenberg als integraler Bestandteil von WordPress angeht. Nun verdichten sich die Hinweise auf eine WordPress 5.0 Einführung. Allerdings sind noch umfangreiche Betatest- und Bugfixrunden zu drehen.
Inzwischen hat WordPress die „Schallmauer“ von 30 Prozent Nutzung überschritten. Das heißt: 31 Prozent aller Websites laufen nach einer Erhebung von w3techs mit WordPress, was einen Marktanteil von um die 59 Prozent bedeuten würde (viele Sites haben kein identifizierbares CMS).
Quelle: w3techs.com
„Unklarer Veröffentlichungstermin für WordPress 5.0 mit Gutenberg“ weiterlesen
Am 27.Mai 2018 wird WordPress 15 Jahre alt – wo bleibt WordPress 5.0?
In früheren Aussagen war davon die Rede, dass WordPress 5 im April 2018 erscheinen soll. Momentan steht der Versionszeiger auf 4.9. Wo bleibt das lang erwartete Release? Aktuell ist ein Release mit der Nummer 4.9.6 angekündigt.
Möglicherweise möchte WordPress die Veröffentlichung mit dem 15.Geburtstag der Open Source Software in Zusammenhang bringen.
„Am 27.Mai 2018 wird WordPress 15 Jahre alt – wo bleibt WordPress 5.0?“ weiterlesen
Joomla 3.8.7 neu in goneo-clickStart-Webanwendungen
„goneo clickStart“ heißt das Feature, mit dem goneo-Webhosting-Kunden ganz schnell viele wichtige und oft eingesetzte Webanwendungen installieren können.
Damit entfällt die Suche nach der aktuellen Version, einer deutschen Variante und die zeitraubende Download-Entpack-Hochlade-Prozedur. Auch die Installationsroutine führt das clickStart-Tool aus und richtet die Anwendung startbereit ein.
Für das bekannte Content Management System Joomla gab es kürzlich ein Serviceupdate. Nun wird die Version 3.8.7 aufgespielt, wenn man goneo clickStart benutzt. Anwendern, die bereits Joomla im Einsatz haben, sollten umgehend ihr System auf Version 3.8.7 updaten. Auf dieser Seite bei Joomla gibt es entsprechende Update-Pakete.
Updates für WordPress, Matomo und Drupal
Mit Beginn des zweiten Quartals 2018 erschienen einige Updates für populäre Open-Source-Webanwendungen: Neu sind WordPress 4.9.5, Matomo 3.4.0 und Drupal 8.5.1. Diese Versionen werden nun automatisch installiert, wenn du das goneo-Feature clickStart verwendest. Bestehende Installationen kannst du manuell auf den neusten Stand bringen.
„Updates für WordPress, Matomo und Drupal“ weiterlesen
Joomla empfiehlt Update auf Version 3.8.6
Vor kurzem hat Joomla eine neue Bugfix-Version mit der Nummer 3.8.6 veröffentlicht und empfiehlt, auf diese Version upzugraden. Dies sollte mittels der eingebauten Updatefunktion möglich sein. Ansonsten kann man die neuste Joomla-Version hier herunterladen (als Update- oder Vollinstallationspaket).
Mit 3.8.6 wird auch ein Sicherheitsproblem gelöst, das als „low priority“, aber mit „impact: high“ beschrieben wurde: https://developer.joomla.org/security-centre/723-20180301-core-sqli-vulnerability.html
Offenbar gibt es eine Lücke bei der Typenbehandlung in „User Notes“. Betroffen sind die Versionen 3.5.0 bis 3.8.5. Auch das BSI sprach eine Update-Empfehlung aus. Ein Angreifer müsse zur Ausnutzung der Sicherheitslücke gültige Zugangsdaten für Ihre Joomla!-Webseite besitzen und die Möglichkeit haben, auf die Verwaltungsoberfläche zuzugreifen, heißt es.
Drupal 8.5. ist nun als clickStart-Anwendung für dich bereit
Mit goneo-Clickstart installierst du jede Menge Anwendungen wie WordPress, Joomla, Drupal ganz schnell und ohne Down- und Uploads der Installationsdatei. Die Anwendungen sind sozusagen vorinstalliert und in wenigen Minuten einsatzbereit.
Sieh nach, welch großes Angebot goneo an schnell einsetzbaren Open Source Anwendungen hat, ganz ohne zusätzliche Kosten.
Inzwischen ist Drupal in der Version 8.5.0 erschienen. Es handelt sich um einen „minor release“ mit einigen Bugfixes und der vollen Unterstützung von PHP 7.2, das auch bei goneo schon zur Verfügung steht (auswählbar im goneo-Kundencenter).
Projekt: Welche WordPress-Plugins sind mit "Gutenberg" kompatibel?
Mit einer der künftigen Versionen wird in WordPress ein neuer Standard-Editor eingeführt.
Dieser Editor ist nach dem Erfinder des Buchdrucks, Johannes Gutenberg, benannt. Die Art und Weise, wie Inhalte in WordPress angelegt und bearbeitet werden, ändert sich dadurch recht grundlegend (Beitrag über Gutenberg hier im Blog).
Nun wird es interessant, welche Plugins mit Gutenberg funktionieren und welche nicht.
„Projekt: Welche WordPress-Plugins sind mit "Gutenberg" kompatibel?“ weiterlesen