Nun ist es soweit: WordPress 2.3 ist verfügbar.

Was es an neuen Features und Änderungen mitbringt, kann man sich auf dem Entwicklerblog und im deutschen WordPress Blog zu Gemüte führen. Integriertes Tagging ist sicherlich die bekannteste Neuerung, angekündigt ist dies ja schon seit langem.

Für mich heißt das in den nächsten Tagen mal wieder: testen, testen, testen – und anpassen. Testen, wie sauber das Update läuft (schließlich hat sich auch die Datenbankstruktur geändert), testen, wie der Import meiner Tags aus UTW funktioniert, testen, welche Plugins noch laufen – und zu guter Letzt auch die notwendigen Änderungen am Template durchführen.

Für solche Zwecke nutze ich immer eine lokale Kopie meines Blogs. Ist recht schnell aufgesetzt: Xampp installieren, sämtliche Daten vom Webserver herunterladen, ein Datenbankbackup einspielen und die Testerei kann beginnen.

Jetzt muß ich nur noch Zeit dafür finden.

Ich habe mir den Code des Exploits nicht im Detail zu Gemüte geführt (und werde auch sicher nicht so bald die Zeit finden, das zu tun), aber der gestern auf milw0rm veröffentlichte Code scheint mir doch nicht ganz ungefährlich für WordPress-Blogs zu sein. Ob die aktuelle Version 2.2.3 ebenfalls betroffen ist, kann ich im Augenblick nicht feststellen, zumindest bis 2.2.2 ist die Funktionalität verifiziert.

# Tested with WordPress 2.2, 2.2.2, 2.0.5, 2.0.6, 2.1, (...), PHP/5.2.4 for
# Apache 2.0.58 on Gentoo GNU/Linux. magic_quotes on and off for the different
# exploits.

Insofern ist diese Veröffentlichung dieses Exploits sicherlich das letzte notwendige Argument, um ein Update auf die aktuelle WordPress-Version durchzuführen. Und ich vermute, die Veröffentlichung erfolgte auch nur, weil die Lücken in WP 2.2.3 inzwischen gestopft wurden. Kann sich das vielleicht mal jemand genauer anschauen?

via BlogSecurity

Robert und Frank haben ihren verspäteten Frühjahrsputz bereits hinter sich (oder sind mitten drin), viele andere würden gern, aber wissen nicht wie. Natürlich gibt es immer die Möglichkeit, auf ein bestehendes Theme zurück zu greifen. Das ist schnell installiert und funktioniert (in der Regel) auf Anhieb, allerdings muss man in Kauf nehmen, unter Umständen dieses Layout mit tausenden anderen zu teilen (wie es mittlerweile auch bei meinem Theme der Fall ist).

Schöner ist in so einem Fall dann ein eigenes Theme. Und um den Weg zum eigenen Theme ein wenig zu erleichtern, hat Frank Bueltge nun eine Tutorial-Serie zum Thema gestartet. Lesenswert, auch wenn sich Teil 1 noch „nur“ mit ein paar Grundlagen beschäftigt. Aber das gehört nun mal dazu.

In der Vergangenheit habe ich schon einige Male diesen Begriff verwendet: Cross Site Scripting (XSS). Meist habe ich dann auf einen Artikel in der Wikipedia verlinkt, um mir die Erklärungen ersparen zu können.

Frank Bueltge war jedoch nicht ganz so bequem wie ich und hat einen hervorragenden Artikel zum Thema Cross Site Scripiting verfasst, den ich Euch hiermit ans Herz legen möchte. Er beschreibt, was das überhaupt ist, welche Gefahren davon ausgehen und wie man bei der Erstellung eigener Plugins, Themes oder anderer PHP-Scripte vermeiden kann, XSS-anfälligen Code zu schreiben. Aber auch für Nicht-Entwickler ist sein Artikel interessant, vielleicht nimmt Frank so dem einen oder anderen Blogger die Lust auf Meckerei, wenn mal wieder ein WordPress-Update fällig ist 😉