CleanPress

Schlagwort: WordPress 5.0

  • Schwere Sicherheitslücke in WordPress enthüllt

    Bild: CC0 Public Domain

    Alle Versionen der WordPress-Software der letzten sechs Jahre einschließlich WordPress 5.0.0 enthielten eine schwere Sicherheitslücke, die relativ einfach die komplette Übernahme einer WordPress-Instanz erlaubte.

    Beliebiger PHP-Code ausführbar

    Das enthüllten jetzt die Entdecker der Lücke beim Sicherheitsunternehmen RIPS Technologies GmbH. Die Lücke, die Ende letzten Jahres entdeckt und dem WordPress-Sicherheitsteam gemeldet wurde, erlaubt es einem Angreifer, durch zwei Verwundbarkeiten im WordPress-Kern beliebigen PHP-Code auf dem Server auszuführen. Dazu wird lediglich das Berechtigungslevel Autor benötigt.

    Die beiden Lücken lassen sich mit einer Kombination aus Path-Traversal-Angriff und Local File Inclusion ausnutzen. Durch ein vorbereitetes und auf dem System ausgeführtes JavaScript-Exploit können die einzelnen Schritte zur Übernahme des Systems automatisiert ausgeführt werden.

    Fehler im Media-Handling

    Die Lücken bestehen in der Art, wie WordPress Medien verarbeitet. Wenn ein Bild in eine WordPress-Installation hochgeladen wird, wird es zunächst in das Verzeichnis wp-content/uploads verschoben. WordPress erstellt auch einen internen Verweis auf das Bild in der Datenbank, um Metainformationen wie den Besitzer des Bildes oder den Zeitpunkt des Uploads verfolgen zu können. Diese Metainformationen werden als Post-Meta-Einträge in der Datenbank gespeichert. Jeder dieser Einträge ist ein Schlüssel/Wertpaar, das einer bestimmten ID zugeordnet ist.

    Dies Post-Meta-Einträge vor WordPress 4.9.9.9 und 5.0.1 konnten beliebig verändert und auf beliebige Werte eingestellt werden. Weitere technische Einzelheiten beschreibt detailliert der Blogpost der Entwickler.

    Lücken in 4.99 und 5.0.1 geschlossen

    Die Lücke, die per Local File Inclusion ausgenutzt werden kann wurde mit WordPress 5.0.1 geschlossen und nach 4.9.9. portiert, um auch Anwender, die noch nicht auf 5.0 aktualisieren möchten, zu schützen. Das Ausnutzen des Path-Traversal-Angriffs ist unter bestimmten Bedingungen immer noch möglich. Dazu bedarf es eines Plugins, dass es noch erlaubt, beliebige Post-Meta-Daten zu überschreiben.

    WordPress 5.1 ist fast da

    Derzeit hilft es, seine WordPress-Instanz zumindest auf Version 4.9.9. oder gleich auf das aktuelle 5.0.3 zu aktualisieren. Vollen Schutz auch bei Fehlverhalten von Plugins aus dritter Hand wird erst WordPress 5.1 bieten, das in wenigen Tagen am 21. Februar veröffentlicht werden soll.

    https://www.youtube.com/watch?time_continue=1&v=iWeRbsrjUOA

  • WordPress 5.0 »Bebo« mit Gutenberg veröffentlicht

    WordPress 5.0
    Bild: CC0 Public Domain

    Mit WordPress 5.0 »Bebo« wurde heute das vermutlich wichtigste Release in der Geschichte des CMS als stabile Version freigegeben. Dem gingen eine lange Entwicklungsphase, einige Verschiebungen und drei Release-Kandidaten voraus. 

    Nie war eine Änderung in WordPress oder der Zeitpunkt einer Veröffentlichung des CMS, das hinter mehr als 30 Prozent der Inhalte im Internet steht so umstritten wie bei WordPress 5.0. Aber bekanntermaßen regt sich gegen größere Änderungen von gewohnten Abläufen immer gerne Widerstand.

    Was steckt dahinter?

     Grund dafür ist der neue visuelle Editor Gutenberg, der ein für WordPress neues Konzept einführt, bei dem Inhaltsblöcke die Hauptrolle spielen. Dabei ist dies nur die erste Phase von Gutenberg, zwei oder drei weitere Ausbaustufen sollen folgen und WordPress zu einem vollwertigen Website-Builder auf Blockbasis machen.

    Kritik am verfrühten Release

    Die Kritik am neuen Editor macht sich aber nicht daran fest, dass nun alles zum Block erklärt wird, sondern daran, das die Umsetzung in WordPress 5.0 noch zu viele Fehler aufweist und nicht reif für eine Veröffentlichung ist. Viele Entwickler hätten es begrüßt, wenn 5.0 erst im Januar erschienen wäre.

    Aber auch populäre Plattformen wie WordPress müssen sich an die Zeit anpassen, um keine Marktanteile zu verlieren. Gutenberg ist ein gewaltiger Sprung nach vorne und es ist nicht das einzige Update, das bevorsteht. Heute erschien PHP 7.3 und wird vermutlich in einem der nächsten Punkt-Releases integriert.

    Andere Arbeitsweise

    Nun ist WordPress 5.0 da und verändert die Art wie Anwender mit dem CMS interagieren, um Inhalte für Blogs und andere Webseiten zu erstellen. Die neue Version kommt mit Gutenberg als Standard-Editor. Der Classic Editor nimmt den Rang eines Plug-ins ein, den Gutenberg bis jetzt innehatte. Das Plugin-in bietet einen Schalter, der pro Beitrag zwischen Classic und Gutenberg umschalten lässt. 

    Somit können Anwender, die mit dem Wechsel noch warten wollen oder müssen, mindestens bis 2022 mit dem gewohnten Werkzeug arbeiten. Hauptgrund für ein Zuwarten sind etwa noch inkompatible Plug-ins. Unentschiedene Anwender können auf der Webseite Frontenberg einen ersten Eindruck von Gutenberg gewinnen, ohne ihre Installation zu gefährden.

    Neues Theme

    Neben Gutenberg bringt WordPress 5.0 auch ein neues Theme mit. »Twenty Nineteen« soll ein effektives minimales, typografisches Blogging-Thema sein, kann aber auch für den Einsatz als statische Business-Website angepasst werden. Zudem ist es natürlich flexibel genug, um Gutenberg vollständig zu unterstützen. Das trifft aber auch auf ältere Standard-Themes zu.

    Wirkliches WYSIWYG

    Gutenberg ändert zudem auf vielfältige Weise den Umgang mit einzubindenden Medien und erleichtert die Gestaltung anspruchsvoller Inhalte. Blocks für alle Arten von Medien können teilweise vorhandene Plug-ins ersetzen. 

    In den nächsten Tagen und Wochen wird sich zeigen, ob die Veröffentlichung von WordPress 5.0 wirklich verfrüht war. Das Beste daran ist, dass man nicht gleich umsteigen muss, sondern mit dem Classic Editor weiterarbeiten kann wie bisher. 

  • WordPress 5.0 erneut verschoben

    WordPrfess 5.0 verschoben
    Bild: CC0 Public Domain

    Die Veröffentlichung von WordPress 5.0 mit dem neuen Block-Editor Gutenberg ist auf unbestimmte Zeit verschoben. Eigentlich sollte das wichtigste Update in der Geschichte des beliebten CMS am 27. November erfolgen.

    Zweiter RC kommt

    Auf einem der wöchentlichen Treffen der wichtigsten WordPress-Entwickler wurde gestern Abend beschlossen, mit der stabilen Veröffentlichung noch zu warten und zunächst am 30. November einen zweiten Veröffentlichungskandidaten freizugeben.   

    Auf PHP 7.3 warten?

    Grund für die Verschiebung sind einerseits zu viele offene Fehler in Gutenberg, andererseits erhält PHP am 6. Dezember ein wichtiges Update auf PHP 7.3. Genaues ist derzeit nicht bekannt, jedoch hatten sich bereits im Oktober Entwickler dafür ausgesprochen, das PHP-Update zum Teil von WordPress 5.0 zu machen. 

    Derzeit kein Termin

    Derzeit ist völlig unklar, wann WordPress 5.0 erscheint. Wird PHP 7.3 außen vor gelassen und der zweite Release Candidate behebt ausreichend Fehler, kann es noch zu einer Veröffentlichung im Dezember kommen. Das wäre sicherlich im Sinne von Mitbegründer und CEO Matt Mullenweg, der Gutenberg möglichst schnell stabil veröffentlicht sehen möchte.

    Wird allerdings entschieden, auch PHP 7.3 mit in das Release aufzunehmen, so wird es bestimmt nicht vor Januar 2019 zu einer Veröffentlichung kommen. Das ist zudem die bevorzugte Lösung vieler Entwickler, die nicht der Geschäftsführung das Wort reden, sondern ein Release im jetzigen Zustand für absolut verfrüht halten.

    Schlechte Bewertung

    Laut der WordPress-Webseite kann das Plugin Gutenberg 4.5.1, das mit WordPress 5.0 in dessen Core einzieht, mittlerweile über 700.000 Installationen vorweisen. Die Bewertungen auf dieser Seite sind aber immer noch überwiegend negativ. Während bei 388 Bewertungen je 5 Sterne vergeben werden, weisen 914 Bewertungen nur einen Stern auf. Das ist allerdings bereits eine Verbesserung der Bewertung von vor einigen Wochen. 

    Hier im Blog ist Gutenberg produktiv seit rund einer Woche im Einsatz und macht relativ wenig Probleme. Einige Plugins sind noch nicht angepasst oder weisen noch kleinere Fehler in der Anpassung auf. Ein Zustand der so zu erwarten war. Ich bin eigentlich positiv überrascht, aber der Umstieg muss nicht für alle so problemlos verlaufen wie hier. Das kommt sicherlich auf das verwendete Theme und die eingesetzten Plugins an.

  • WordPress 5.0: Gutenberg zieht ein

    WordPress 5.0
    Bild: Gutenberg-Denkmal | Foto EPei | Lizenz: GNU Free Documentation License

    WordPress beflügelt derzeit über 30 Prozent aller Webseiten im Internet. Alle paar Monate erhält die Software ein Update und diese laufen in aller Regel problemlos durch. Oft ist hinterher auf den ersten Blick nicht einmal erkennbar, was sich geändert hat. Das verhält mit dem am Dienstag nächster Woche zur Veröffentlichung anstehenden WordPress 5.0 völlig anders. Anwender, die die Presseveröffentlichungen über WordPress 5.0, das größte Update in der Geschichte dieses CMS im Vorfeld verpasst haben, werden zunächst glauben, sie seien in der falschen Software gelandet.

    Neuer Standard-Editor

    Der Grund dafür ist Gutenberg, der neue Standard-Editor von WordPress. Das grundlegende Bedienkonzept wird sich mit dem neuen blockorientierten Editor grundlegend ändern. Der neue Mantra lautet: Alles ist ein Block. Und damit verändert sich nicht nur das Aussehen, sondern auch die Handhabung bei der Erstellung von Inhalten mit WordPress. Proklamiertes Ziel von Gutenberg ist es, Webseiten und Inhalte leichter erstellbar zu machen, aber ob das in absehbarer Zeit gelingt, scheint zunächst noch fraglich.

    Schlechte Noten

    Gutenberg ist bereits geraume Zeit in der Entwicklung, war als Plugin seit Monaten verfügbar und wurde ständig aktualisiert. Die Kritiken, die aus diesen Tests auf über 14.000 Webseiten resultieren, sind verheerend schlecht, egal ob von Web-Entwicklern oder von Bloggern. Dabei kann man Gutenberg bestenfalls zugutehalten, dass alles Neue zunächst einmal schlecht wegkommt, wenn es uns zur Änderung unserer Gewohnheiten zwingt. Darüber hinaus bringt der neue Editor neben der Umgewöhnung auch positive Aspekte mit sich, die, je nachdem, wozu man WordPress nutzt, anders gelagert sein werden.

    Konkurrenz in Schach halten

    Die Beweggründe zu Gutenberg sind klar, es geht um die Sicherung zukünftiger Pfründe. Automattic, die Firma hinter WordPress, muss stets die Konkurrenz im Auge behalten. Es gilt, mit Publishing-Plattformen wie Medium und Site-Buildern wie Wix und Squarespace Schritt zu halten. Ob aber drastische Änderungen, die zumindest teilweise von außen motiviert sind, der richtige Weg sind, ist eher fraglich. Im Endeffekt war die Kritik so laut, dass sie zu einem Fork von WordPress führte.

    Gutenberg arbeitet blockorientiert

    Die hauptsächlichen Kritikpunkte sind, dass Gutenberg mit heißer Nadel gestrickt sei und noch mehr Zeit brauche, um die derzeit 1.275 Fehler auszubügeln. Zudem sei der Aspekt der Barrierefreiheit sträflich vernachlässigt worden. Aber Matt Mullenweg, Mitbegründer von WordPress und CEO von Automattic, machte Druck und gewährte lediglich eine Woche Aufschub vom ursprünglichen Release-Plan.  Dabei wird mit WordPress 5.0 lediglich die erste Stufe von Gutenberg gezündet, mindestens zwei weitere sollen folgen und WordPress unter anderem zu einem vollwertigen Sitebuilder machen.

    Stolperstein Plugins

    Die größte technische Hürde mit der Gutenberg zu kämpfen haben wird, dürfte die Kompatibilität mit bereits installierten Plugins sein. Nicht alle Plugins sind bereits umgestellt, wo nötig. Andere werden vermutlich nie angepasst. So werden sich die ersten Erfahrungen bei der Anwendung vermutlich stark an den verwendeten Plugins ausrichten. So geht es jedenfalls mir. Ein für mich wichtiges Plugin wurde erst vor wenigen Tagen umgestellt und verhinderte breitere Tests, ohne eine eigene Testumgebung aufzusetzen.

    Blöcke über alles

    Zudem wird mit Gutenberg zunächst vieles länger dauern als bisher, da das Fingergedächtnis umlernen muss. Auf der positiven Seite steht zum Beispiel die Möglichkeit, einmal definierte Blöcke zu speichern und beliebig wiederzuverwenden. Des Weiteren wird Gutenberg bei einigen Anwendern ein paar Plugins überflüssig machen. ereits seit einiger Zeit gibt es zudem Repositories mit zusätzlichen, nicht offiziellen Blocks für verschiededenste Anlässe.

    Wer noch nicht gleich umsteigen will, kann nach der Veröffentlichung von WordPress 5 den klassischen Editor als Plugin installieren und nutzen, im Endeffekt führt aber bei WordPress kein Weg an Gutenberg vorbei.

    https://youtu.be/ex8fMxXJDJw