WordPress 3.4 Beta 1

5. April 2012

Nach vier Monaten Entwicklungszeit hat das Entwicklerteam das erste Beta-Release von WordPress 3.4 veröffentlicht. Wenn der Betatest gut läuft und keine massiven Bugs gefunden werden, wird WordPress 3.4 im Mai erscheinen. Vier Wochen bleiben also der Community, um WordPress auf dem eigenen Webspace zu testen.

Theme anpassen (WordPress 3.4)

WordPress 3.4 bringt eine ganze Menge an Neuerungen:

  • Anpassung des Themes über eine Voransicht der “echten” Website
  • Variable Größen des Header-Bilds in der Kopfzeile
  • Auswahl des Header-Bildes und des Hintergrunds aus dem Inhalt der Mediathek
  • Flexible benutzerdefinierte Größen des Headerbildes
  • Verbesserungen bei der Suche und Auswhl von Themes

Auch im technischen Unterbau hat sich einiges getan:

  • Die erweiterte XML-RPC-Schnittstelle öffnet den Zugang zu Artikeln und Taxonomieddaten wie Kategorien und Tags für Software-Klienten von Drittherstellern und ersetzt das alte metaWeblog-API
  • Themes können ihre Unterstützung für die neuen Headerbild-Funktionen über ein neues API anmelden
  • Geschwindigkeitserhöhung in WP_Query
  • Verbesserungen der Übersetzungsfunktionen
  • Unterstützung für die Installation von child themes aus dem offiziellen Themeverzeichnis

Für den Betrieb einer produktiv genutzten Website ist WordPress 3.4 Beta 1 noch nicht geeignet – es sind wahrscheinlich noch immer kritische Bugs darin verbergen, die zu Fehler oder sogar Datenverlusten führen könnten.

Kommentare

WordPress: Ungepatchte Privacy-Lücke

1. April 2012

Eigentlich wollte ich den heutigen Tag damit verbringen, ein paar liegen gebliebene Arbeiten in Haus und Garten zu erledigen. Mittendrin bin ich aber auf eine bisher unentdeckte Lücke gestoßen, die die Privatsphäre eines WordPress-Administrators empfindlich beeinträchtigen könnte. Nach meinen bisherigen Recherchen ist über diese Lücke nichts im WordPress-Bugtracker und bei den üblichen anderen Anlaufstellen zu finden.

Auswirkungen

Die Privatsphäre des Blogadministrators wird beeinträchtigt.

Ursachen

Die Lücke findet sich in der Komponente eines Drittherstellers, die Automattic mit geringen Anpassungen und Erweiterungen für WordPress nutzt.

Ich möchte aus naheliegenden Gründen die Identität des Drittherstellers hier nicht öffentlich machen. Da es um einen bekannten Namen handelt, gehe ich davon aus, dass auch Nutzer anderer Open Source-CMSe von dieser der Lücke betroffen sein könnten. Die Art, in der WordPress die Drittkomponente einsetzt, spricht dafür, dass diese Praxis weit verbreitet ist.

Risikoabschätzung

Zur Zeit gehe ich davon aus, dass diese Lücke bereits seit einiger Zeit existiert und nicht von der eingesetzten WordPress-Version abhängt. Ob ich selbst einen Patch für diese Lücke erstellen kann oder lieber abwarte, bis diese Aufgabe jemand mit größerer Fachkenntnis erledigt, ist für mich noch nicht ganz klar.

Die technischen Ansprüche und notwendigen IT-Kenntnisse für das Design eines einen funktionierenden Exploits wären gering. Bei mir selbst habe ich glücklicherweise noch keine Versuche festgestellt, die Lücke auszunutzen.

Public Disclosure

  • Hier ist die Lücke im umgebenden WordPress-Umfeld zu sehen.
  • Die Details sind hier noch besser erkennen.

Mein persönliches Fazit aus dieser Lücke: Bis auf Weiteres werde ich die betroffene WordPress-Instanz nicht mehr öffentlich zugänglich machen und unter Umständen sogar für immer aus dem Verkehr ziehen.

Kommentare [4]

10 frische, kostenlose WordPress-Themes aus dem offiziellen Verzeichnis

28. März 2012

Kostenlose Themes für wirklich jede Art von Websites sind eine der wesentlichen Stärken von WordPress. Darum liegt der Schwerpunkt der Entwicklung für die Version 3.4 auch auf dem einfachen Wechsel und der leichten Konfiguration des Blogdesigns.

Grund genug, mal wieder einen Blick in das offizielle Theme-Verzeichnis zu werfen und nachzusehen, welche schönen Gratis-Designs die Theme-Autoren für die Community in den ersten paar Monaten des Jahres entworfen haben.

Hier sind zehn meiner Favoriten aus dem heurigen Jahr:

Delicacy

delicacy

Ein kulinarisches WordPress-Theme für die Blogs von “Foodies”.

Autor: alex27

Esquire

esquire

Ein elegantes und ausdrucksstarkes Theme mit vielen optisch unterschiedlich gestalteten Artikel-Formaten.

Autor: Automattic

Hatch

hatch

Hatch ist ein einfaches Theme für Fotoblogs und Portfolios von Designern oder bildenden Künstlern. Optimiert für kleinere Bildschirme von Smartphones und Tablets.

Autor: Griden

Origin

origin

Minimalistisches Theme mit adaptivem Layout.

Autor: Griden

Oxygen

oxygen

Schlichtes Theme für Magazine, die gerne unterwegs auf dem Smartphone gelesen werden.

Autor: Griden

Patchwork

patchwork

Handarbeiten, basteln, nähen und dann darüber bloggen: Die drei verschiedenen Farbstile passen zu vielen kreativen Hobbys.

Autor: sixhours

Rumput Hijau

rumput-hijau

Ein typografischer Leckerbissen, der auch den Suchmaschinen schmeckt.

Autor: satrya

Scrappy

scrappy

Feminin, erfrischend, im Stil der in Europa erst Fuß fassenden Scrapbooks.

Autor: sixhours

Sundance

sundance

Ein Theme für Videos, passend für Inhalte aus YouTube oder Vimeo, aber auch für selbstpubliziertes Filmmaterial.

Autor: Automattic

Vintage Camera

vintage camera

Ein Theme im Sixties-Retrostil mit einer markanten Analogkamera als Signet. Für den traditionsbewussten Schwarzweiss-Fotoblogger.

Autor: sixhours

Kommentare [1]

So wird das deutsche WordPress ab Version 3.4 gravierend schneller

28. Februar 2012

Die deutsche Spracheinstellung kostet WordPress teilweise über 40 Prozent Geschwindigkeit im Vergleich zur englischen Variante. Die Hauptursache ist die aufwendige und speicher-fressende Übersetzungsbibliothek, die WordPress bei jedem Seitenaufruf abarbeiten muss, um die originalen englischen Texte in ihr deutsches Gegenstück zu übersetzen.

Dazu wird der Webserver durch eine träge in PHP geschriebene Nachahmung von Funktionen gequält, die in vielen Fällen bereits als schneller C-Code im Betriebssystem des Webservers vorhanden sind – die sogenannte gettext-Bibliothek.

Langsames WordPress als Resultat von “günstigem” Webspace

Kann das deutsche WordPress auf diese “nativen” C-Funktionen zurückgreifen, reduziert sich der Übersetzungs-Overhead auf schlanke vier Prozent. Gleichzeitig sinkt der Hauptspeicher-Verbrauch des Webservers, sodass als Konsequenz WordPress auch wieder auf billigeren Webhosting-Paketen mit etwas niedrigerem memory_limit laufen könnte. Es gibt ja immer noch günstige Webspace-Angebote, bei dem der Hoster dieses Speicherlimit für PHP auf asketische 32 MB gesetzt hat.

Und beim Webspace-Anbieter liegt auch in Zukunft “der Hund begraben”: Die gettext-Erweiterung für PHP ist ein optionaler Bestandteil, den der Webhoster bereitstellen muss. Nicht auf jedem Webspace ist PHP mit dieser schnellen Extension eingerichtet, und in diesen Fällen wird sich an der Geschwindigkeit wahrscheinlich auch in Zukunft nichts ändern.

Licht → Tunnel

Für Nutzer aller anderen Webspace-Angebote ist Licht am Ende des Tunnels zu erkennen. Beim WordPress-Team ist ein Patch eingetrudelt, der die im Betriebssystem eingebauten schnellen gettext-Funktionen in WordPress integriert, und Andrew Nacin hat vorsichtig signalisiert, dass dieser Patch in die Version 3.4 eingearbeitet werden könnte.

Leider zeigt WordPress nirgendwo im Dashboard an, ob die schnelle oder die langsame Variante der Übersetzungsbibliothek genutzt wird – die Auswahl erfolgt vollständig ohne Eingriffsmöglichkeit für den Anwender, indem die vorhandenen Fähigkeiten (oder eben auch Unfähigkeiten) des Webservers benutzt werden.

Ein Diagnose-Plugin

Ich habe darum das Plugin Native gettext diagnosis geschrieben, das sich als zusätzlicher Eintrag im Menü “Werkzeuge” einnistet und eine Reihe von Tests durchführt.

Screenshot des Plugins “Native gettext diagnosis”

Ist die PHP-Erweiterung “gettext” geladen und das Ergebnis des Tests “WordPress kann das locale setzen” ein “Ja”, kann WordPress zumindest nach dem derzeitigen Stand der Entwicklung in Version 3.4 schneller werden.

Das Plugin funktioniert auch ab WordPress 3.2 und kann daher schon jetzt benutzt werden, um festzustellen, ob der eigene Webspace mit WordPress 3.4 schneller oder langsam arbeiten wird.

Mein Tipp: “Native gettext diagnosis” installieren, den Menüpunkt “Werkzeuge → Gettext-Diagnose” aufrufen und bei negativem Resultat entweder den eigenen Webhoster kontaktieren oder schlimmstenfalls den Webspace-Anbieter wechseln.

Meine eigenen Tests zeigen, dass zum Beispiel Host Europe, Uberspace und Dreamhost die schnelle gettext-Extension anbieten, während auf Windows basierende Hoster da leider oft passen müssen.

Kommentare [22]

21 nützliche Code-Schnippsel für functions.php

20. Februar 2012

Die Darstellung des Volltexteditors anpassen, Einbruchsversuche mit leicht erratbaren Benutzernamen und Passwörter erschweren, jQuery direkt aus den Google-Netzwerk laden lassen und vieles mehr kann man in WordPress über einige wenige Zeilen in der Datei functions.php des Themes steuern.

Eine wachsende Sammlung solcher nützlicher Schnippsel stellt Merlin Mason zusammen mit einer einfachen Copy & Paste-Funktion auf wpfunction.me zur Verfügung.

wpfunction.me

Gut abgelagerte WordPress-Veteranen werden wahrscheinlich den größten Teil schon kennen oder ein Plugin für den einen oder anderen Zweck aus dem Ärmel schütteln. Aber wer ohne großen Rechercheaufwand das Plugin-Arsenal auf seiner WordPress-Installation ein wenig abmagern möchte, sollte mal einen Blick auf die Sammlung werfen.

Kommentare