wordpress

Wer in sein WP Dashboard schaut – wird dort die Nachricht finden, dass WordPress 4.5 erschienen ist.

Ab sofort kann man sich also auf die neue Version stürzen, diese ist nach dem Jazz Musiker xxxxx benannt.
Komischer Name, aber das Changelog will es so :)

Wer bitte?

Spaß beiseite – hat man wohl übersehen, wie noch ein paar mehr ‚x‘ im Text.

Geändert haben sie einige Funktionen, es gibt jetzt im Anpassen Dialog eine Funktion die Webseite in einer Desktop-, Tablet- oder Mobilansicht in der Vorschau zu sehen, das ist eine sehr sinnige Funktion, jeder sollte sich mittlerweile über ‚Responsives Design‘ Gedanken machen.
Es gibt einen nativen Logo-Support für Themes, einen Inline-Linkeditor sowie einige Änderungen dir für Entwickler sicherlich interessant sein dürften.

Auch die Bildkomprimierung wurde überarbeitet und soll nun besser, sprich effizienter funktionieren.

Im visuellen Editor wurden neue shortcuts eingebaut, allerdings nur 2 Stück, das hätte man besser machen können.

Alle Änderungen – auch die ‚Under The Hood‘ Updates, kann man im Changelog nachsehen.

Das Update geht einfach über den ‚Bitte aktualisiere jetzt‘ Link im WordPress Backend.

Wichtig

Vorher bitte am Besten ein Backup der Daten machen!

So, nun viel Spaß mit WordPress 4.5

Update 13.04.:

Es gibt wohl einiges an Problemen mit diesem Update, unter anderem ist das beliebte Avada Theme betroffen, hier kommt es zu Komplikationen mit den neuen Libraries in WordPress. Es gibt in diesem Fall allerdings schon einen Fix!

Betroffen sind auch alle Plugins / Themes welche auf die Funktion get_currentuserinfo() zurück greifen, diese kann nun nicht mehr genutzt werden und bringt somit Schwierigkeiten. Da gibt es eine ganze Liste an Plugins – also im Zweifel bitte vorher testen!

EventsManager, Piwik, w3-total-cache, Nextgen Gallery…

wordpress

Let’s Encrypt – den Namen haben vermutlich schon einige von euch gehört – verlässt Heute die Beta Phase.

Die Beta startete im September 2015 – seither hat Let’s Encrypt mehr als 1,7 Millionen kostenfreie Zertifikate ausgestellt.
Man hat sich zum Ziel gesetzt 100% des Webs zu verschlüsseln – das wird es sicherlich nicht werden, aber die Idee ist gut, und dank der Tatsache, dass keine Kosten für das Zertifikat anfallen, sollte es auch keine Gründe geben, seine Webseite nicht zu verschlüsseln.

Auch in unseren How To’s haben wir schon öfter über Let’s Encrypt berichtet – bisher lässt sich nur Gutes über den Dienst berichtet.

Heute geht es also raus aus der Beta – die Gründungssponsoren Cisco und Akamai haben die weitere Unterstützung – zumindest für die nächsten 3 Jahre – zugesichert, und neue Sponsoren sind dazu gekommen.

Von dieser Seite viel Erfolg!

Error

Zu NGINX gibt es ein Update auf Version 1.9.14, hier werden laut Changelog einige Bugs behoben, sowie 2 neue Features eingeführt.

Zu jedem behobenen Bug gehört in der Regel auch ein neuer Bug :)
So hier Heute auf wpinfos.de zu bewundern gewesen (Debian, NGINX, php-fcgi)

Der Fehler tritt auf, wenn man http/2 nutzt. Die Seite lädt dann gar nicht – oder nur zum Teil. Hinzu kommt offenbar eine Abhängigkeit vom verwendeten Browser. Unter Chrome ließ sich wpinfos.de gar nicht aufrufen, unter Firefox nur zum Teil. Dafür schien im Internet Explorer alles in Ordnung zu sein.

Die Fehlermeldung im Log lautet:

readv() failed (104: Connection reset by peer) while reading upstream,

Verschiedene Versuche zur Umkonfigurierung schlugen fehl – daher musste http2 – zumindest vorübergehend – deaktiviert werden.

Dazu entfernt in der nginx Konfigurationsdatei für die entsprechende Domain den ‚http2‘ Teil im server {} Teil:

statt

dadurch lässt sich das Problem beheben.

Ich gehe davon aus, dass dieser Fehler in Kürze behoben werden dürfte.

wordpress

Hier ein sehr interessanter (sehr technischer) Mitschnitt von einer Präsentation von Andrew Nacin, seines Zeichens WordPress Lead Developer,  über die wahren Gründe der Emoji Unterstützung mit Version 4.2.
Kurz gesagt, geht es um 1000+ Zeilen neuen Code im Datenbank Abstraktions Layer von wordpress in wp-db.php – diese Zeilen sind seit Januar im Trunk, die offizielle Erklärung war, dass es sich um den Emoji Support handelt.

Wie sich jetzt herausstellt handelt es sich aber tatsächlich um den Fix für eines der größten Sicherheitsprobleme in WordPress, ursächlich dadurch begründet, dass der MySQL Strict Mode nicht verwendet wird („Ein großer Fehler“).

Ehrlich gesagt weiß ich nicht, warum der Mann sich so freut – für mich klingt das sehr nach funktionierendem Workaround statt grundlegend sicherer Implementierung – aber das „Would brake the world“

Noch nicht ganz klar wird mir aus dieser Präsentation, ob Versionen kleiner 4.2 auch von einer geänderten wp-db.php profitieren, aber das sollte sich heraus finden lassen.

 

VIA

wordpress

Soeben wurden neue Updates für WordPress veröffentlicht, es handelt sich um die Versionen 4.1.5 und 4.2.2.

Das Update 4.1.5 schließt die XSS Lücke bezüglich des Genericons Paketes, außerdem wird ein Fix für die XSS Anfälligkeit verbessert welcher in Version 4.1.4 ausgerollt wurde. Desweiteren werden noch 3 Fehler aus 4.1.4 geschlossen. Alles über die Version findet ihr in der Versions Info

Das Update 4.2.2 schließt ebenso die Genericons Lücke sowie 13 Fehler aus 4.2.1 – komplette Infos auch hier in der Versions Info.
Offenbar wurde in der 4.2.2 auch das Problem der Plugin Updates behoben, diese ließen sich teilweise unter 4.2 nicht mehr updaten. Dazu findet man im Changelog allerdings keinen Hinweis.

Bei beiden Updates findet sich auch diese Info:

The release also includes hardening for a potential cross-site scripting vulnerability when using the Visual editor.

Heißt für mich, es gibt ein weiteres Problem, welches vermutlich bisher noch nicht publiziert wurde.

Bitte beachtet, dass die Genericons Lücke nur dann geschlossen wird, wenn das Update über die ‚Aktualisieren‘ Funktion eingespielt wird, hierbei wird die example.html Datei dann entfernt. Wenn ich die Dateien manuell – per FTP oder SVN – einspielt, dann müsst ihr die example.html manuell entfernen, ansonsten wird das Problem nicht behoben!

Wenn ihr Autoupdate aktiviert habt, dann werden diese Updates bei eurem Blog in Kürze eingespielt sein.