Matt Mullenweg über Sicherheit, und wie er die Sache sieht

21. August 2009, 08:29

Ich fasse mal zur Bewahrung der Übersichtlichkeit zusammen:

  • WordPress 2.8.1: Wegen eines Bugs in der automatischen Updatefunktion kann es vorkommen, dass das Filesystem eines ganzen Webservers gelöscht wird.
  • WordPress 2.8.2: Kommentare können verwendet werden, um den Account des Blogadministrator über XSS zu manipulieren.
  • WordPress 2.8.3: Registrierte Benutzer können ohne jede Einschränkung durch Berechtigungsprüfungen Plugins ein- oder ausschalten.
  • WordPress 2.8.4: Über den Aufruf einer öffentlich zugänglichen URL kann jeder kindische ID10T das Passwort des ersten Benutzers rücksetzen.
  • WordPress 2.9.0 (zur Zeit im Werden): Enthält einige Änderungen, die potentielle XSS-Lücken prophylaktisch stopfen.

Nun macht sich Matt Mullenweg, Chef der WordPress-Programmierer, Gedanken über seine “ideale” Bank. Wenn Matt eine Bank gründen und betreiben würde, dann liefe das so ab:

The first 3 years the focus would be entirely on […] building a world-class tech team building a rock solid infrastructure.

Ungewollte Ironie vom Feinsten, meine ich.

Kommentare [3]

WordPress 2.9 beginnt mit der Entsorgung von Altlasten

2. August 2009, 01:58

Die Systemanforderungen von WordPress 2.8 sind für manche kleine Billighoster schon recht heftig, vor allem der Speicherbedarf geht da schon öfter mal durch eine etwas niedrig hängende Decke, aber ansonsten ist WordPress ein sehr genügsames Produkt: Das uralte PHP 4.3 und das schon seit langem nicht mehr weiterentwickelte MySQL 4.0 reichen als Basis aus.

Am Stand der Zeit sind die Mindestansprüche schon lange nicht mehr: In PHP 4.x werden seit 8. August 2008 nicht einmal mehr Sicherheitskorrekturen eingebaut, MySQL 4 vegetiert zur Zeit in einer extended support phase, quasi der Herz-/Lungenmaschine für Softwareprodukte.

Nichtsdestotrotz gehen etliche Webhosts den Weg des geringsten Widerstands und aktualisieren ihren Stack nur zögerlich oder überlassen dem Anwender die Auswahl der PHP-Version. Die Motivation für Anwender, ein laufendes System durch einen Update des PHP-Interpreters zu stören, ist damit recht mager.

Das wird sich mit WordPress 2.9 ändern – aber nur ein bisschen: In der nächsten Version wird WordPress allen betroffenen Anwendern mit Administratorberechtigung eine “sanfte” Aufforderung anzeigen, doch ein wenig, von Zeit zu Zeit, wenn’s geht, in den nächsten Monaten über einen Wechsel zu PHP 5 nachzudenken. Anleitungen zur Umstellung für diverse Webhoster sollen im Lauf der Zeit auf einer Seite im WordPress-Codex entstehen.

Kommentare [10]

Wie das Upgrade auf WordPress 2.8 einen Server plattmachen kann...

15. June 2009, 07:51

Die automatische Updatefunktion in WordPress 2.8 beinhaltet einen kleinen Tippfehler, der unter ungünstigen Umständen dazu führen kann, dass Dateien am Webspace gelöscht werden. Wie das im Detail vor sich geht, kann man im Beitrag von Heiko “codestyling” Rabe nachlesen.

Alte Hasen wird das vorerst nicht erschrecken, die machen doch ohnehin Backups der ganzen Datenbank und auch der alten WordPress-Installation vor jedem Update – und sind damit ebenso wenig in Sicherheit wie die “Einfach drüberbügeln”-Fraktion.

Denn: Der WordPress-Bug hat Rundumschlag-Qualitäten und löscht Dateien nicht nur im Verzeichnis, in dem der gerade aktualisierte Blog gespeichert ist, sondern bei ungünstig gesetzten Zugriffsrechten auch in allen umliegenden oder darüber liegenden Verzeichnissen und damit vielleicht auch Inhalte anderer Domains auf dem selben Webspace.

Einzige Lösung ist, ein komplettes Backup inklusive aller Uploads in wp-content von allen Websites zu ziehen, bevor das Ein-Klick-Upgrade auf WordPress 2.8 angestoßen wird. Ironischerweise kann also ein konventionelles WordPress-Upgrade über FTP Zeit sparen…

Kommentare [4]

Nerdstuff für einen erholsamen Sonntag: WordPress 2.8 Beta ist da!

17. May 2009, 07:44

Wer heute noch nichts vorhat, kann sich die Zeit mit Fehlersuche vertreiben: Die Beta-Version von WordPress 2.8 ist fertig zum Test.

Was ist neu in WordPress 2.8?

Ich fange mal mit dem Punkt an, der wohl für die meisten die “gute” Nachricht ist: An der Oberfläche sind nur zarte Veränderungen sichtbar – es gibt keine grundlegende Umstellung der Administration wie in WP 2.5 und WP 2.7. Die Verfeinerungen finden sich eher in praktischen Details, die die tägliche Anwendung eleganter machen. Ganz praktisch finde ich zum Beispiel die Möglichkeit, das Layout des Dashboards nach eigenem Gusto zwischen einer und vier Spalten aufzuteilen. Dass der Autor eines Beitrags nicht mehr über seine eigenen Kommentare über E-Mail benachrichtigt wird, fällt auch in die Kategorie “Lebenserleichterung mit WordPress”.

Nebenbei: In WordPress 2.9 wird sich die Oberfläche wohl wieder stärker verändern, wenn ich mir das Ergebnis des Design Tweak Polls von neulich so anschaue.

Schön gelöst ist der neue Theme-Installer: Themes direkt aus der Administrationsoberfläche zu suchen und auf dem eigenen Webserver zu installieren ist damit ein Kinderspiel. Der bis dato nötige Umweg über Download/Entzippen/Upload darf entfallen.

WordPress 2.8 Theme Installer

Sehr zum Leidwesen einiger Autoren von lizenzverletzenden “Premium-Themes” greift WordPress dafür auf das zentrale Theme-Verzeichnis von wordpress.org zu: Matt Mullenweg hat ja Ende 2008 im Zug seines Feldzugs für ein GPL-konformes WordPress-Ökosystem rund 200 Themes von dort verbannt.

Für Entwickler und Themeautoren hat sich im Gegenzug eine ganze Menge getan. Herausragende Verbesserungen: Die Entwicklung von Widgets wurde durch die neue WP_Widget-Klasse wesentlich einfacher, mit jQuery 1.3.2 wird eine schnellere JavaScript-Bibliothek mitinstalliert, und quer durch das Programm wurden Datenbank-Queries vereinfacht und beschleunigt.
Im Codex gibts dazu eine detaillierte Auflistung.

WordPress 2.8 selbst testen

Wer sich die Mühe sparen möchte, die Betaversion selbst zu installieren, hat auf meiner öffentlich zugänglichen WordPress-Demo die Chance, einen ersten Blick darauf zu werfen.

Die Beta-Periode soll zwei Wochen dauern, das Release der finalen Version 2.8 ist daher für den 31. Mai 2009 geplant.

Kommentare [1]

Noch ein Vergleich von WordPress-Plugins für SEO: HeadSpace vs. den Rest

24. April 2009, 10:32

John Godley von urbangiraffe.com folgt einem erkennbaren Trend und vergleicht WP-Plugins zur Suchmaschinenoptimierung.

Neben den üblichen Verdächtigen wie All In One SEO oder wpSEO ist in seiner Auswahl auch noch sein eigenes kostenloses Produkt HeadSpace vertreten. Den leichten Impuls zur subjektiven Beurteilung hat John dabei angeblich unterdrückt, trotzdem reiht sich HeadSpace auf Platz 1 vor den Konkurrenten ein.

Die prompte kritische Reaktion vor allem aus dem Lager der wpSEO-Verfechter folgt auf dem Fuß, etwa jene von Alexander Frison, einem Koautor des von wpSEO gesponsorten Blogs WPEngineer:

You list quite a lot features, which have nothing to do with SEO and most users won’t need most of them at all […].

No wonder your Plugin has a whopping 505.24 KB […] compares to 38.4 KB […] of wpSEO.

Na ja… In Anbetracht der Leichtigkeit, mit der ein WordPress-Upgrade derzeit um die 2 MB auf den Server schaufelt und ab WP 2.8 Themes mit 5 MB automatisch in ein paar Minuten installiert werden sollen, ist geringe Codegröße offensichtlich nicht gerade ein Killerfeature. Noch dazu, wenn wie im Fall von HeadSpace rund 1 MB für die 33 Sprachdateien anfällt.

Mein Eindruck: Der Markt für WP-SEO-Plugins wird offensichtlich enger, die Bandagen im Kampf um die User härter und die Reaktionen auf den Wettbewerb dünnhäutiger.

Kommentare [5]