WordPress 3.4 Beta 1
5. April 2012
Nach vier Monaten Entwicklungszeit hat das Entwicklerteam das erste Beta-Release von WordPress 3.4 veröffentlicht. Wenn der Betatest gut läuft und keine massiven Bugs gefunden werden, wird WordPress 3.4 im Mai erscheinen. Vier Wochen bleiben also der Community, um WordPress auf dem eigenen Webspace zu testen.
WordPress 3.4 bringt eine ganze Menge an Neuerungen:
- Anpassung des Themes über eine Voransicht der “echten” Website
- Variable Größen des Header-Bilds in der Kopfzeile
- Auswahl des Header-Bildes und des Hintergrunds aus dem Inhalt der Mediathek
- Flexible benutzerdefinierte Größen des Headerbildes
- Verbesserungen bei der Suche und Auswhl von Themes
Auch im technischen Unterbau hat sich einiges getan:
- Die erweiterte XML-RPC-Schnittstelle öffnet den Zugang zu Artikeln und Taxonomieddaten wie Kategorien und Tags für Software-Klienten von Drittherstellern und ersetzt das alte metaWeblog-API
- Themes können ihre Unterstützung für die neuen Headerbild-Funktionen über ein neues API anmelden
- Geschwindigkeitserhöhung in
WP_Query - Verbesserungen der Übersetzungsfunktionen
- Unterstützung für die Installation von child themes aus dem offiziellen Themeverzeichnis
Für den Betrieb einer produktiv genutzten Website ist WordPress 3.4 Beta 1 noch nicht geeignet – es sind wahrscheinlich noch immer kritische Bugs darin verbergen, die zu Fehler oder sogar Datenverlusten führen könnten.
WordPress: Ungepatchte Privacy-Lücke
1. April 2012
Eigentlich wollte ich den heutigen Tag damit verbringen, ein paar liegen gebliebene Arbeiten in Haus und Garten zu erledigen. Mittendrin bin ich aber auf eine bisher unentdeckte Lücke gestoßen, die die Privatsphäre eines WordPress-Administrators empfindlich beeinträchtigen könnte. Nach meinen bisherigen Recherchen ist über diese Lücke nichts im WordPress-Bugtracker und bei den üblichen anderen Anlaufstellen zu finden.
Auswirkungen
Die Privatsphäre des Blogadministrators wird beeinträchtigt.
Ursachen
Die Lücke findet sich in der Komponente eines Drittherstellers, die Automattic mit geringen Anpassungen und Erweiterungen für WordPress nutzt.
Ich möchte aus naheliegenden Gründen die Identität des Drittherstellers hier nicht öffentlich machen. Da es um einen bekannten Namen handelt, gehe ich davon aus, dass auch Nutzer anderer Open Source-CMSe von dieser der Lücke betroffen sein könnten. Die Art, in der WordPress die Drittkomponente einsetzt, spricht dafür, dass diese Praxis weit verbreitet ist.
Risikoabschätzung
Zur Zeit gehe ich davon aus, dass diese Lücke bereits seit einiger Zeit existiert und nicht von der eingesetzten WordPress-Version abhängt. Ob ich selbst einen Patch für diese Lücke erstellen kann oder lieber abwarte, bis diese Aufgabe jemand mit größerer Fachkenntnis erledigt, ist für mich noch nicht ganz klar.
Die technischen Ansprüche und notwendigen IT-Kenntnisse für das Design eines einen funktionierenden Exploits wären gering. Bei mir selbst habe ich glücklicherweise noch keine Versuche festgestellt, die Lücke auszunutzen.
Public Disclosure
- Hier ist die Lücke im umgebenden WordPress-Umfeld zu sehen.
- Die Details sind hier noch besser erkennen.
Mein persönliches Fazit aus dieser Lücke: Bis auf Weiteres werde ich die betroffene WordPress-Instanz nicht mehr öffentlich zugänglich machen und unter Umständen sogar für immer aus dem Verkehr ziehen.
Kommentare [4]
Vier für TwentyTen
23. Juli 2010
Ich stelle hier ein paar Fotos als Header-Fotos für das Standard-Theme TwentyTen zur freien Verfügung:
(Zum Download einfach auf das Vorschaubild klicken und dann das Headerimage in der Originalgröße 940×198 Pixel herunterladen.)
Die Bilder sind das Produkt meiner eigenen Knipserei und dürfen unter Angabe der Quelle mit “Creative Commons”-Lizenz kostenlos verwendet werden (CC-BY-SA).
Einer geht noch: WordPress 2.8.6
12. November 2009
Kurz vor dem Erscheinen von WordPress 2.9 gegen Ende des Jahres gibts also noch ein Wartungsrelease aus dem 2.8-Zweig: WordPress 2.8.6 hat den Beta-Status erreicht.
Kommentare [1]
Wie schnell doch ein Sommer vorüber geht...
7. September 2009
Am 5. September 2009 erklärt Matt Mullenweg das gerade mal 47 Tage alte WordPress 2.8.2 zur hochgefährlichen Altlast, die schleunigst per Update zu entsorgen ist.
Mit dieser Geschwindigkeit überfordert er selbst den prominentesten Technik-Blogger der USA.
Wie man aus gewöhnlich gut unterrichteten Quellen hört, soll in das readme.html der kommenden WordPress-Version dieser Satz aufgenommen werden:
When leaving for an extended summer vacation of two weeks or more, employ a capable person to keep an eye on urgent updates.
In der Zwischenzeit bauen Automattic-Angestellte Wurmmittel.
Kommentare [1]
