Neu in WordPress 2.9: Vorschaubild für Artikel

13. Oktober 2009

WordPress 2.9 kommt wohl im Lauf des Novembers auf die Server der mutigen early adopters und bringt als Anreiz für einen frühen Upgrade einige Änderungen mit, unter anderem integrierte rudimentäre Bildbearbeitungsfunktionen und die Möglichkeit, einem Artikel ein Vorschaubild zuordnen zu können.

“In echt” sieht der Arbeitsablauf bei der Erstellung eines Artikels mit angeflanschtem Bild vulgo “canonical thumbnail” dann etwa so aus:

Der Inhalt des Artikels wird herkömmlich bearbeitet. Über eine neu dazugekommene Metabox lässt sich das Vorschaubild des Artikels definieren, das über die WordPress-Mediathek erreicht werden kann:

WordPress 2.9: Vorschaubild für Artikel

Das Vorschaubild ist im einfachsten Fall bereits in der Mediathek vorhanden. Andernfalls zapft man entweder die lokalen Bildvorräte oder das Web für die nötigen Pixel an und lädt sie ad hoc auf den eigenen Webspace:

WordPress 2.9: Vorschaubild für Artikel

Als Resultat all dieser Mühen ist am Ende ein Vorschaubild mit dem Artikel verknüpft:

WordPress 2.9: Vorschaubild für Artikel

Ein paar Punkte bleiben noch offen, etwa fehlt in der derzeitigen Fassung eine Löschfunktion, um das Vorschaubild auch wieder loszuwerden.

Offen ist für mich persönlich auch die Frage, warum nicht mehrere Bilder als Thumbnail zugeordnet werden könnrn. Die Möglichkeiten, die Themeautoren mit einer unlimitierten Galerie von Vorschaubildern offen stünden, wären den zusätzlichen Aufwand für die Verwaltung einer ganzen Galerie von Artikelbildern sicher wert.

Die Knackpunkt ist aber: Damit das Vorschaubild auch auf der Website öffentlich sichtbar wird, muss das jeweilige Theme mitspielen. WordPress 2.9 wird deswegen einige neue Funktionen für Theme-Programmierer enthalten, die auf die Vorschaubilder zugreifen können.

Im Umkehrschluss heißt das aber: Alle derzeitigen Themes können ohne Änderung mit den Thumbnails nichts anfangen.

Kommentare [3]

Neu in WordPress 2.8.5: Sichere Mediathek

30. August 2009

Die Bemühungen der WordPress-Entwickler gehen in letzter Zeit nach einem öffentlichen Rüffel von Matt Mullenweg vermehrt in Richtung “Perfektion der Sicherheit”, und so dichtet WordPress Lücken beinahe im Wochentakt. Als weitere Sicherheitsmaßnahme gegen Cracker, die über einen geknackten Administrationsaccount in eine fremde WordPress-Seite eindringen konnten, beschränkt WordPress ab der kommenden Version 2.8.5 die in der Mediathek erlaubten Dateitypen.

Eingeschränkte Uploads für Administratoren

Bis dato haben ja Administratoren jegliche Freiheiten in der Auswahl der Dateitypen, die sie ins Medienarchiv ihrer Site laden können: Ob JPEG-Bilder, Flashfilme oder OpenOffice-Dokumente – WordPress speichert uneingeschränkt jeden Dateityp auf der Website. “Gewöhnliche” Benutzer ohne Administratorrechte dagegen dürfen weitaus weniger und müssen sich auf eine bestimmte Auswahl gemäß der sogenannten MIME-Type-Whitelist beschränken.

Ab WordPress 2.8.5 gilt diese Whitelist auch für Administratoren, die damit erstmalig mit der Fehlermeldung “Der Dateityp entspricht nicht den Sicherheitsrichtlinien. Bitte einen anderen versuchen.” oder “File type does not meet security guidelines. Try another.” konfrontiert werden können.

WordPress-Meldung "Der Dateityp entspricht nicht den Sicherheitsrichtlinien. Bitte einen anderen versuchen."

Ungefilterte Uploads konfigurieren

Wer trotzdem weiterhin uneingeschränkte Uploads benötigt, kann die Sicherheitsprüfung über eine zusätzliche Zeile in der Datei wp-config.php komplett ausschalten:

define ('ALLOW_UNFILTERED_UPLOADS', true);

Dateitypen für die Mediathek freigeben

Das vollständige Ausschalten der Sicherheitsmaßnahmen ist in vielen Fällen aber ohnehin nicht notwendig: Über das Plugin WordPress mime-config von WordPress-Entwickler Peter Westwood alias “westi” lässt sich die Liste der erlaubten Dateitypen anpassen und erweitern.

WordPress-Plugin PJW Mime Config

(Quelle: WordPress Core Trac, Ticket 10692)

Kommentare [6]

Matt Mullenweg über Sicherheit, und wie er die Sache sieht

21. August 2009

Ich fasse mal zur Bewahrung der Übersichtlichkeit zusammen:

  • WordPress 2.8.1: Wegen eines Bugs in der automatischen Updatefunktion kann es vorkommen, dass das Filesystem eines ganzen Webservers gelöscht wird.
  • WordPress 2.8.2: Kommentare können verwendet werden, um den Account des Blogadministrator über XSS zu manipulieren.
  • WordPress 2.8.3: Registrierte Benutzer können ohne jede Einschränkung durch Berechtigungsprüfungen Plugins ein- oder ausschalten.
  • WordPress 2.8.4: Über den Aufruf einer öffentlich zugänglichen URL kann jeder kindische ID10T das Passwort des ersten Benutzers rücksetzen.
  • WordPress 2.9.0 (zur Zeit im Werden): Enthält einige Änderungen, die potentielle XSS-Lücken prophylaktisch stopfen.

Nun macht sich Matt Mullenweg, Chef der WordPress-Programmierer, Gedanken über seine “ideale” Bank. Wenn Matt eine Bank gründen und betreiben würde, dann liefe das so ab:

The first 3 years the focus would be entirely on […] building a world-class tech team building a rock solid infrastructure.

Ungewollte Ironie vom Feinsten, meine ich.

Kommentare [3]

WordPress 2.9 beginnt mit der Entsorgung von Altlasten

2. August 2009

Die Systemanforderungen von WordPress 2.8 sind für manche kleine Billighoster schon recht heftig, vor allem der Speicherbedarf geht da schon öfter mal durch eine etwas niedrig hängende Decke, aber ansonsten ist WordPress ein sehr genügsames Produkt: Das uralte PHP 4.3 und das schon seit langem nicht mehr weiterentwickelte MySQL 4.0 reichen als Basis aus.

Am Stand der Zeit sind die Mindestansprüche schon lange nicht mehr: In PHP 4.x werden seit 8. August 2008 nicht einmal mehr Sicherheitskorrekturen eingebaut, MySQL 4 vegetiert zur Zeit in einer extended support phase, quasi der Herz-/Lungenmaschine für Softwareprodukte.

Nichtsdestotrotz gehen etliche Webhosts den Weg des geringsten Widerstands und aktualisieren ihren Stack nur zögerlich oder überlassen dem Anwender die Auswahl der PHP-Version. Die Motivation für Anwender, ein laufendes System durch einen Update des PHP-Interpreters zu stören, ist damit recht mager.

Das wird sich mit WordPress 2.9 ändern – aber nur ein bisschen: In der nächsten Version wird WordPress allen betroffenen Anwendern mit Administratorberechtigung eine “sanfte” Aufforderung anzeigen, doch ein wenig, von Zeit zu Zeit, wenn’s geht, in den nächsten Monaten über einen Wechsel zu PHP 5 nachzudenken. Anleitungen zur Umstellung für diverse Webhoster sollen im Lauf der Zeit auf einer Seite im WordPress-Codex entstehen.

Kommentare [10]

Wie das Upgrade auf WordPress 2.8 einen Server plattmachen kann...

15. Juni 2009

Die automatische Updatefunktion in WordPress 2.8 beinhaltet einen kleinen Tippfehler, der unter ungünstigen Umständen dazu führen kann, dass Dateien am Webspace gelöscht werden. Wie das im Detail vor sich geht, kann man im Beitrag von Heiko “codestyling” Rabe nachlesen.

Alte Hasen wird das vorerst nicht erschrecken, die machen doch ohnehin Backups der ganzen Datenbank und auch der alten WordPress-Installation vor jedem Update – und sind damit ebenso wenig in Sicherheit wie die “Einfach drüberbügeln”-Fraktion.

Denn: Der WordPress-Bug hat Rundumschlag-Qualitäten und löscht Dateien nicht nur im Verzeichnis, in dem der gerade aktualisierte Blog gespeichert ist, sondern bei ungünstig gesetzten Zugriffsrechten auch in allen umliegenden oder darüber liegenden Verzeichnissen und damit vielleicht auch Inhalte anderer Domains auf dem selben Webspace.

Einzige Lösung ist, ein komplettes Backup inklusive aller Uploads in wp-content von allen Websites zu ziehen, bevor das Ein-Klick-Upgrade auf WordPress 2.8 angestoßen wird. Ironischerweise kann also ein konventionelles WordPress-Upgrade über FTP Zeit sparen…

Kommentare [3]