Wie schnell doch ein Sommer vorüber geht...
Am 5. September 2009 erklärt Matt Mullenweg das gerade mal 47 Tage alte WordPress 2.8.2 zur hochgefährlichen Altlast, die schleunigst per Update zu entsorgen ist.
Mit dieser Geschwindigkeit überfordert er selbst den prominentesten Technik-Blogger der USA.
Wie man aus gewöhnlich gut unterrichteten Quellen hört, soll in das readme.html der kommenden WordPress-Version dieser Satz aufgenommen werden:
When leaving for an extended summer vacation of two weeks or more, employ a capable person to keep an eye on urgent updates.
In der Zwischenzeit bauen Automattic-Angestellte Wurmmittel.
Matt Mullenweg über Sicherheit, und wie er die Sache sieht
Ich fasse mal zur Bewahrung der Übersichtlichkeit zusammen:
- WordPress 2.8.1: Wegen eines Bugs in der automatischen Updatefunktion kann es vorkommen, dass das Filesystem eines ganzen Webservers wird.
- WordPress 2.8.2: Kommentare können verwendet werden, um den Account des Blogadministrator über XSS zu manipulieren.
- WordPress 2.8.3: Registrierte Benutzer können ohne jede Einschränkung durch Berechtigungsprüfungen Plugins ein- oder ausschalten.
- WordPress 2.8.4: Über den Aufruf einer öffentlich zugänglichen URL kann jeder kindische ID10T das Passwort des ersten Benutzers rücksetzen.
- WordPress 2.9.0 (zur Zeit im Werden): Enthält einige Änderungen, die potentielle XSS-Lücken prophylaktisch stopfen.
Nun macht sich Matt Mullenweg, Chef der WordPress-Programmierer, Gedanken über seine “ideale” Bank. Wenn Matt eine Bank gründen und betreiben würde, dann liefe das so ab:
The first 3 years the focus would be entirely on […] building a world-class tech team building a rock solid infrastructure.
Ungewollte Ironie vom Feinsten, meine ich.
Wie das Upgrade auf WordPress 2.8 einen Server plattmachen kann...
Die automatische Updatefunktion in WordPress 2.8 beinhaltet einen kleinen Tippfehler, der unter ungünstigen Umständen dazu führen kann, dass Dateien am Webspace gelöscht werden. Wie das im Detail vor sich geht, kann man im Beitrag von Heiko “codestyling” Rabe nachlesen.
Alte Hasen wird das vorerst nicht erschrecken, die machen doch ohnehin Backups der ganzen Datenbank und auch der alten WordPress-Installation vor jedem Update – und sind damit ebenso wenig in Sicherheit wie die “Einfach drüberbügeln”-Fraktion.
Denn: Der WordPress-Bug hat Rundumschlag-Qualitäten und löscht Dateien nicht nur im Verzeichnis, in dem der gerade aktualisierte Blog gespeichert ist, sondern bei ungünstig gesetzten Zugriffsrechten auch in allen umliegenden oder darüber liegenden Verzeichnissen und damit vielleicht auch Inhalte anderer Domains auf dem selben Webspace.
Einzige Lösung ist, ein komplettes Backup inklusive aller Uploads in wp-content von allen Websites zu ziehen, bevor das Ein-Klick-Upgrade auf WordPress 2.8 angestoßen wird. Ironischerweise kann also ein konventionelles WordPress-Upgrade über FTP Zeit sparen…
PHP wurde geforkt
Stefan Esser, Autor des Suhosin-Sicherheitspatches für PHP, ist ja schon öfter mal mit den Entwickler von PHP zusammengekracht.
Jetzt hat er wegen der umstrittenen Entscheidung, name spaces in PHP mit einem Backslash zu kennzeichnen, recht massive Konsequenzen gezogen: Er hat PHP geforkt.
Sehr hübsch wird das…
Nach all den unangenehmen WordPress-Neuigkeiten von heute über XSS und SQL-Injektionen ist’s doch angenehm, zum Ausgleich auch was Positives zu lesen: Die Entwicklungsfassung von WordPress 2.7 hat seit heute ihr fast endgültiges Aussehen. Sanfte Rundungen, schattierte Buttons, Aufklappmenüs und frei bewegbare Boxen.
Schick. In der Demo gibt’s das auch schon „in echt“ zum Selberprobefahren.
Für die Gestaltung der Icons sucht Automattic noch Beiträge freiwilliger Künstler und erwartet von denen folgendes:
Icons should be subtle, with a classic/designed look, nothing cartoonish. Thin lines. Maybe a little old-fashioned looking. They’ll be grayscale by default, possibly with a color version for active menu items.
Für Designer, Grafiker und andere visuell Begabte ist das eine großartige Gelegenheit, ihre Arbeit einem Millionenpublikum zu präsentieren und ihren Beitrag an die WordPress-Community leisten.
Automattic weiter auf Einkaufstour: PollDaddy gehört zum WordPress-Universum
Nach Gravatar, und BuddyPress hat sich Automattic ein weiteres Dessertstückchen einverleibt: PollDaddy, einen Dienstleister für Online-Umfragen.
Die Integration in das WordPress-Universum erledigt Automattic in einem Aufwasch mit: Im gehosteten Blogservice auf WordPress.com ist ab sofort ein Button eingebaut, mit dem man Umfragen in einen Beitrag einfügen kann, für selbstgehostete WordPress-Blogs gibt’s ein entsprechendes PollDaddy-Plugin.
Neu in WordPress 2.7: Massenbearbeitung von Beiträgen
Eine der Neuerungen, die WordPress 2.7 bringen wird, ist die Möglichkeit zur Massenbearbeitung von Beiträgen. Einige Eigenschaften der Blogbeiträge werden so direkt auf der Übersichtsliste veränderbar, der Umweg über das vollständige Beitragsformular entfällt.
In der derzeitigen Entwicklerfassung lässt sich schon erkennen, wie die Funktion umgesetzt wird.
Durch einen Doppelklick auf eine einzelne Zeile der Liste wird ein Formular mit Eingabefeldern für den Beitragstitel, die Kategorien, das Veröffentlichungsdatum und einiges mehr geöffnet:
Die Änderungen werden entweder wieder mit einem Doppelklick oder über den „Speichern“-Button fixiert.
Automattic kauft IntenseDebate
Automattic, kommerzielle Heimat der WordPress-Entwickler, hat sich beim Kommentardienst IntenseDebate eingekauft und ergänzt nach der Integration von Gravatar im Oktober 2007 und BuddyPress im März 2008 das Blogimperium um einen weiteren Baustein.
IntenseDebate war erst vor Kurzem aus dem private beta-Status geschlüpft und zieht sich nunmehr auch gleich wieder in diesen zurück – die Integration des Dienstes in WordPress.com wird offensichtlich Entwicklerkapazität absaugen, die bei der Betreuung eines wachsenden Anwenderstammes fehlen würde.
IntenseDebate ist wie etwa auch disqus oder cocomment Spezialist für integrative Kommentarfunktionen wie
- Hierarchische Kommentare
- Kommentarantworten per E-Mail
- Aggregierung von Kommentaren eines Autors quer über verschiedene Weblogs und damit Profilbildung eines Anwenders auf Basis seiner verteilt veröffentlichten Beiträge.
Schön langsam scheint also die Einkaufstour für den Umbau der einstigen gehosteten Blogplattform WordPress.com in eine soziale Netzwerksite zu einem Ende zu kommen.
Verrücktes Pferd mit schweren Blutungen
Verständlicher ausgedrückt: Ein guter Teil der als bezeichneten Änderungen an der WP-Administrationsoberfläche mit dem Codenamen “Crazy Horse” sind neulich in den herkömmlichen Entwicklungszweig von WordPress 2.7 eingeflossen, der seither nicht mehr 2.7-bleeding, sondern 2.7-hemorrhage betitelt wird.
Mehr Details bei Perun, Live-Demo hier.
WordPress 2.6.1 ist kein Sicherheitsrelease. Echt nicht?
Es sagt Ryan Boren:
If you’re happy with 2.6, however, keep on using it. You need not upgrade to 2.6.1 if 2.6 is getting the job done.
Aha. Seltsam. Ich sehe das massiv anders.
