Kategorie: CMS

Veröffentlicht am

WordCamp Europe 2024: Highlights aus Turin

wordpress turin 2024

Das WordCamp Europe im Juni 2024 in Turin (Italien) war für die europäische WordPress-Community ein großer Erfolg. Es hat wieder gezeigt, warum WordPress die Nummer eins unter den Content-Management-Systemen ist: Von inspirierenden Keynotes bis hin zu tiefgehenden Sessions – es war für alle etwas dabei.

Hier gebe ich euch einen Überblick über die Highlights und die wichtigsten Aussagen von Matt Mullenweg in seiner Keynote, auf die viele gewartet hatten. Der Saal war proppenvoll.

Matt Mullenwegs Keynote

Matt Mullenweg, der Mitbegründer von WordPress und CEO von Automattic, erwähnte das Contributor Mentorship Program. Bereits 55 Absolventen hätten das Programm schon durchlaufen und es ermutigt neue Mitwirkende, sich in die WordPress-Community einzubringen. Teilnehmer berichten von gesteigertem Selbstvertrauen bei der Beitragserstellung.

Auch der Contributor Day ist für Matt wieder eine Erwähnung wert: Über 800 Teilnehmer haben an wichtigen Projekten gearbeitet, darunter Übersetzungen und neue Projekte wie MySQL- und SQLite-Export.

Translate Live ist ein neues Tool, das es ermöglicht, Plugins und Themes direkt im Kontext zu übersetzen.

Auch das Data Liberation Project gibt es noch. Ziel ist es, Daten aus proprietären Plattformen zu befreien (ursprünglich war von Bildern und Grafiken die Rede). Bisher hat es wohl wenig Fortschritt gegeben, Matt sieht aber großes Potenzial für Beiträge aus der Community.

Verbesserungen bei WordPress zu WordPress Migration: Hier geht es darum, die Migration von WordPress-Sites zu vereinfachen und zu verbessern, um den Prozess reibungsloser zu gestalten.

Der WordPress Playground bietet eine Technologie, die eine private, lokale Sandbox für WordPress-Sites im Browser ermöglicht, wodurch der 5-Minuten-Installationsprozess zu einem 5-Sekunden-Setup wird. Der Playground wird als eine der größten Innovationen seit der Einführung von Aktionen und Filtern in WordPress betrachtet. Es ermöglicht das schnelle Klonen und lokale Testen von Websites und erleichtert so den Support.

wordpress playground
Der WordPress Playground – ideal zum Ausprobieren von Themes, Plugins mit unterschiedlichen PHP Releases.

WordPress 6.6 bringt Rollbacks für automatische Updates sowie zahlreiche Verbesserungen bei Gutenberg, einschließlich eines neuen Rastersystems und Leistungssteigerungen.

Zoom Out View in Gutenberg ist eine neue Funktion zur vereinfachten Seitenkomposition und -anordnung.

Speed Build Challenge ist ein Wettbewerb, bei denen Teilnehmer versuchen, schnell Websites mit Gutenberg zu erstellen. Das klang eher Fun.

Neue Kernprinzipien

Matt nennt Kernprinzipien für die Zukunft. Man darf sie ernst nehmen. In Sachen Gutenberg hat sich die WordPress-Welt daran gehalten. Sie bilden eine Art Richtschnur für die nächsten Monate bis Jahre, was die WordPress-Weiterentwicklung angeht.

  • Einfachheit und Intuition für einfache Aufgaben, aber auch Komplexität für fortgeschrittene Benutzer ermöglichen.
  • Dynamische und interaktive Websites fördern.
  • Dokumentation sollte leicht editierbar sein, wie ein Wiki.
  • Foren und Community-Interaktionen fördern.
  • Bessere Vorschau- und Analysetools für Themes und Plugins bereitstellen.
  • Mehr Feedback-Schleifen in das System integrieren, um die Qualität zu sichern.
  • Core sollte meinungsstark und eigenwillig bleiben.
  • Alle, die an WordPress arbeiten, sollten es auch selbst nutzen.
  • Nähe zu den Endnutzern bewahren, indem man Support leistet und an Events teilnimmt.

Bemerkenswert ist außerdem, dass WordPress wieder wächst. Nach einer Phase der Stagnation verzeichnet WordPress wieder Zulauf.

In der anschließenden Fragerunde wurde Matt Mullenweg gefragt, was denn nun aus der Unterstüzung für mehrsprachige Website im Core von WordPress werden würde.

Die Antwort war, das sei Gutenberg Phase 4. Aktuell befindet sich der Gutenberg-Editor ja in Phase 3 mit dem Schwerpuntk „Kollaboration“. Viel Hoffnung auf schnelle Umsetzung wurde da nicht verbreitet. Vorher gebe es noch viele Aufgaben rund um die Blöcke und Patterns beispielsweise.

Sessions

Neben der Keynote von Matt Mullenweg gab sehr zahlreiche und spannende Sessions, die verschiedene Aspekte von WordPress und der Webentwicklung abdeckten.

Die Playlist auf YouTube mit Videos aus Sessions der WordCamp Europe 2024.

Hier sind zunächst einige der Highlights. Genauere Berichte liefern wir in den nächsten Tagen nach.

  • WordPress Playground – Use WordPress Without a Server von Adam Zieliński: Eine Einführung in die Nutzung von WordPress ohne Server, präsentiert von dem Erfinder des WordPress Playgrounds. Die Aufzeichnung dieses Vortrags startet ab etwa 1:25 nach Start:
    https://www.youtube.com/live/ofh6jLrXnpA?si=uC9yQjAO0Zws5Q89
  • Accessibility Testing Workshop von Amber Hinds: Das war ein Workshop zur Verbesserung der Barrierefreiheit von WordPress-Websites.
  • Practical Techniques for Sustainable Web Development with WordPress von Bjarne Oldrup hat sich mit der Nachhaltigkeit im Webdesign beschäftigt und mit der Frage, wie man WordPress umweltfreundlicher gestalten kann.
  • Keyword Research 101: Uncover Keywords That Bring You Digital Success von Camille Cunningham lieferte den Zuhörern und -hörerinnen Grundlagen der Keyword-Recherche für digitale Erfolge.
  • Digital and Linguistic Accessibility Techniques and Strategies for Deaf People: Chiara Pennetta und Elena Panciera präsentierten Strategien zur Verbesserung der digitalen und sprachlichen Barrierefreiheit.
  • How Open Source Is Key To WordPress’ Success. Hier hob Carlo Piana die Bedeutung von Open Source für den Erfolg von WordPress hervor.
  • Crafting an App with the Site and Block Editor: A Comprehensive Case Study von Flavia Bernárdez Rodríguez ist eine Fallstudie zur Erstellung einer App mit dem Site- und Block-Editor.
  • Fixing the Ladder: Getting More Women into Leadership at WordPress Businesses von Dee Teal und Siobhan McKeown: Hier ging es um Strategien zur Förderung von Frauen in Führungspositionen in der WordPress-Community.
  • SEO and Development: How to Avoid Friction: Montserrat Cano gab viele Tipps zur Vermeidung von Reibungen zwischen SEO und Webentwicklung.

Das waren nur einige der vielen informativen und inspirierenden Sessions, die auf dem WordCamp Europe 2024 angeboten wurden.

Fazit

Das WordCamp Europe 2024 in Turin hat klar gezeigt, wie lebendig und innovativ die WordPress-Community ist. Die Keynote von Matt Mullenweg und die zahlreichen Sessions haben uns viele neue Ideen und Anregungen gegeben, wie wir unsere WordPress-Websites verbessern und die Community weiter stärken können. Eine nette Afterparty gab es auch 🙂

Wir freuen uns schon auf das nächste WordCamp und sind gespannt, welche neuen Entwicklungen uns erwarten! Außerdem: Die Version 6.6 steht schon in den Startlöchern. Eine Beta kannst du schon mal testen (z.B. mit dem Playground).

Die WCEurope, wie das Event abgekürzt und als Hashtag hieß, auf Instagram:

https://www.instagram.com/wceurope
https://www.instagram.com/stories/highlights/18274565803090720/

Veröffentlicht am

Jetpack-Statistik für WordPress kostet nun Geld

dalle3 five persons try to calculate website traffic from several machines spitting out numbers

Eigentlich kam das etwa überraschend: Wie wir erfahren mussten, stehen die detaillierten Analysefunktionen der Jetpack-Statistik nun nicht mehr jedem kostenfrei zur Verfügung. Es sei denn, es handelt sich um persönliche Websites ohne kommerzielle Interessen. 

Dies hat bei vielen Nutzerinnen und Nutzern für Verwunderung und auch ein wenig Verärgerung gesorgt, wie unter anderem Berichte auf Plattformen wie MSN hervorheben. 

Keine detaillierten Einblicke mehr

Auch für uns als WordPress-User, die wir uns an die detaillierten Einblicke und die Übersichtlichkeit des Dashboards gewöhnt hatten, mag diese Änderung zunächst als Hindernis erscheinen. 

Die Jetpack-Statistik bot uns eine einfache Möglichkeit, den Traffic auf unserer Website zu analysieren, Besucherzahlen zu überblicken und zu verstehen, welche Inhalte besonders gut ankommen. 

So geht es sicher vielen Websitebetreibern, die WordPress nutzen und Informationen über die Entwicklung der Userschaft brauchen. 

Kosten der Jetpack-Statistik

Nun möchte Automattic (die Firma, die Jetpack herausgibt), in der niedrigsten Preisstufe 0,000795 Euro pro User. Das klingt nach sehr wenig, aber man muss mindestens 10.000 Seitenaufrufe im Monat abnehmen. Das ist schon eine ganze Menge und es werden dann pro Monat 7,95 Euro fällig – mehr als ein kleines Webhosting-Paket kostet. 

Ausschnitt/Screenshot Jetpack Dashboard:: Statistiken kosten je nach Trafficvolumen Geld.
Screenshot der Jetpack-Useroberfläche mit dem Aufruf zum Upgrade: Wer als Betreiber einer kommerziellen Site ausführliche Statistiken sehen möchte, wird nun zur Kasse gebeten.

Je mehr User kommen, desto billiger wird es pro Aufruf: Bei zwei Millionen Views kommt der Seitenbetreiber auf 0,000003745 Euro pro View oder 74,90 Euro. 

Nur Websites, die ganz eindeutig keine kommerziellen Interessen verfolgen, können die Daten weiter kostenlos erhalten. 

Für eine nicht-kommerzielle Lizenz müssen die Betreiber der Site folgenden Bedingungen zustimmen:

  • keine Werbeanzeigen auf meiner Seite
  • kein Verkauf von Produkten oder Dienstleistungen auf der Seite
  • es wird kein Geschäft auf der Seite beworben
  • es wird nicht zu Spenden oder Sponsoring auf der Seite aufgerufen 

Schon ein Affiliate-Link macht die Website demnach kommerziell.

So unverzichtbar ist die Jetpack-Statistik nicht – es gibt gute und bessere Alternativen

Im Laufe der Jahre hat sich Jetpack zu einem fast unverzichtbaren Plugin entwickelt. Es sind ja nicht nur die Statistiken. Die Einbindung an die mobilen Apps ist über Jetpack einfach möglich. Jetpack bringt KI-Tools zur Texterstellung mit, Sicherheitsfunktionen, Backups und so weiter. 

Die historischen Traffic-Daten scheinen noch zugänglich zu sein, aber werden sofort nach Aufruf des Menüpunkts ausgeblendet. Einen Export der Daten scheint es nicht zu geben. So könnte man nun die Frage stellen, wem denn eigentlich die Informationen über die Besuche auf der Website gehören.

Sicherlich wird sich Jetpack mit den Terms and Conditions gut abgesichert haben, so dass dieser Move rechtlich in Ordnung geht – freundlich allerdings ist er nicht. Das kann.

Möglicherweise zieht Automattic nun wo viele User im Netz sind, die finanziellen Zügel and arbeitet an der Monetarisierung. Erst kürzlich hat WordPress ein eigenes Content Deliver Netzwerk aufgezogen und vermarktet das nun aktiv.

Das muss auch nicht schlecht sein. Digitale Services kosten eben Geld. Doch liegen die monetären Einstiegsschwellen zum Betrieb einer eigenen Website nun wieder etwas höher. Es ist schwer vorstellbar, dass man eine Website oder auch einen eigenen Blog betreibt, ohne wissen zu wollen, wie die Inhalte übrhaupt genutzt werden.

Lizenzpolitik: Mehrwert gegen Geld

Wie bei jeder Veränderung eröffnen sich auch neue Möglichkeiten. Die gute Nachricht ist, dass wir in der WordPress-Welt niemals auf eine einzige Lösung angewiesen sind. Es gibt zahlreiche Alternativen, die uns dabei helfen können, unsere Websites auch weiterhin erfolgreich zu betreiben und zu analysieren.

Ganz prinzipiell kann man als goneo-Kunde auch die im goneo-Kundencenter integrierte Abrufstatistik nutzen. Sie gibt durchaus erschöpfend Information über das Userverhalten auf der Website. Puristen können zudem auch eine eigene Analyse der Serverlogfiles als Informationsquelle heranziehen. Das ist an sich nicht schwer, aber eben deutlich aufwendiger als der Klickt auf den Statistik-Button dort, wo man auch den Content erstellt. Und man benötigt Wissen und ein Tool wie Excel oder Calc.

Eine andere Alternative ist Matomo, eine datenschutzfreundliche und kostenfreie Option für diejenigen unter uns, die nicht in einen kostenpflichtigen Tarif der Jetpack-Statistik investieren möchten oder können.

Open Source Webanalyse mit Matomo

Matomo bietet eine Fülle von Funktionen, die mit denen der Jetpack-Statistik vergleichbar sind, und das bei vollständiger Kontrolle über die eigenen Daten. 

Da Matomo als Open-Source-Plattform auf dem eigenen Server installiert wird, bleiben alle Daten in eurer Hand, ohne dass sie an Dritte weitergegeben werden. Das ist nicht nur aus Datenschutzsicht eine attraktive Alternative, sondern gibt euch auch die Freiheit, eure Analysen nach Belieben zu gestalten und anzupassen.

Die Installation und Einrichtung von Matomo ist unkompliziert, und dank eines WordPress-Plugins könnt ihr eure Statistiken direkt im Dashboard eurer Website einsehen. So bleibt ihr immer auf dem Laufenden über die Performance eurer Seite, die beliebtesten Inhalte und das Verhalten eurer Besucher. 

Ganz ähnlich, jedoch mit weiteren Möglichkeiten, funktioniert etracker, das allerdings auch kostenpflichtig ist. Zudem bliebe immer noch Google Analytics 4, das aber auch die argwöhnischen Augen der Datenschützer auf sich gezogen hat.

Nun könnte man sich fragen, ob der Wechsel von der Jetpack-Statistik zu Matomo der richtige Schritt ist. 

Entscheidende Fragen

Diese Entscheidung hängt von verschiedenen Faktoren ab, darunter eure individuellen Bedürfnisse, euer Budget und eure Einstellung zum Datenschutz. Es ist wichtig zu verstehen, dass jede Option ihre Vor- und Nachteile hat. 

Während die Jetpack-Statistik durch ihre direkte Integration in WordPress und die einfache Handhabung besticht, bietet Matomo eine größere Flexibilität und Datenschutzvorteile.

Die jüngsten Änderungen bei der Verfügbarkeit der Jetpack-Statistik mögen für einige von uns eine Herausforderung darstellen, doch sie erinnern uns auch daran, dass es wichtig ist, flexibel zu bleiben und offen für Neues zu sein. 

In der sich ständig verändernden Landschaft des Internets ist Anpassungsfähigkeit ein Schlüssel zum Erfolg. 

Indem wir uns mit Alternativen wie Matomo beschäftigen, können wir nicht nur potenzielle Kosten sparen, sondern auch einen Beitrag zum Schutz der Privatsphäre im Internet leisten. Letztendlich ist es diese Fähigkeit, sich anzupassen und aus Veränderungen zu lernen, die unsere Websites und unsere Online-Präsenz stärkt.

Matomo lässt sich mit clickStart aus dem goneo-Kundencenter heraus einfach aufsetzen.

Das Matomo Plugin und auch Plugins anderer Autoren, die auf Matomo aufsetzen. lassen sich mit dem eingebauten Plugin-Installationstool finden und integrieren. 

Screenshot aus dem Plugin-Menü von WordPress und der Suche nach "matomo". Es werden mehrere Treffer geliefert, unter anderem das Matomo-eigene Plugin.
Screenshot aus dem Plugin-Menü von WordPress und der Suche nach „matomo“

Wir hoffen, dieser Beitrag hat euch geholfen, die Veränderungen rund um die Jetpack-Statistik besser zu verstehen und zu bewerten, welche Schritte ihr als Nächstes unternehmen möchtet. Es gibt immer eine Lösung, und oft führt uns eine unerwartete Veränderung zu neuen Erkenntnissen und Möglichkeiten.

Egal, wie ihr euch entscheidet, seid versichert, dass die WordPress-Gemeinschaft und die Vielfalt der verfügbaren Tools und Ressourcen euch dabei unterstützen werden, eure Ziele zu erreichen und eure Websites erfolgreich zu betreiben.

Veröffentlicht am

WordPress 6.5 final veröffentlicht

Wordpress Code is poetry Lanyard

(updated) WordPress 6.5 hat die Beta- und Release-Candidate-Phasen hinter sich. Die neue Version mit dem Namen „Regina“ ist jetzt verfügbar.

Ob ihr nun Entwickler seid oder einfach nur eure eigene Website liebevoll mit Gutenberg ausgestaltet: Diese Neuheiten sind schon ein Gamechanger.  Überzeugt euch und testet jetzt die 6.5. Schauen wir, was Neues dabei ist!

Der direkte Download-Link zu WordPress findet man hier:
https://de.wordpress.org/download/#download-install

Die neueste Version von WordPress, genannt „Regina“, steckt voller Detailverbesserungen. Sie sollen dir mehr Kontrolle und Möglichkeiten zur Feinabstimmung deiner Website bieten.

Das sind im wesentlichen ein neuer Ansatz zur Verwaltung der Typografie, viele Überarbeitungen und eine Sammlung von Site-Editor-Updates. Die WordPress-Macher sprechen auch von „beeindruckenden Leistungssteigerungen“.

„Regina“ (benannt nach Jazz-Violinistin Regina Cartter) führt außerdem neue Entwicklertools einn: Die Interactivity API eröffnet kreative Möglichkeiten im Front-End, während die Block Bindings API nahtlose Verbindungen zwischen Blöcken und Daten ermöglicht.

Neue Datenansichten erlauben es dir, die Informationen und Daten deiner Website schnell zu finden und zu organisieren. Du erlebst ein flüssigeres Drag-and-Drop und verbesserte Link-Kontrollen für eine intuitivere Verlinkung.

Für Entwickler gibt es neue Möglichkeiten, wie die Verbindung von Blöcken zu benutzerdefinierten Feldern oder anderen dynamischen Inhalten.

Klassische Themes können nun auch ohne theme.json von erweiterten Design-Werkzeugen profitieren. Die Verwaltung von Plugin-Abhängigkeiten wurde vereinfacht und es gibt über 110 Leistungs-Updates, die das Laden und Bearbeiten beschleunigen.

„WordPress 6.5 final veröffentlicht“ weiterlesen
Veröffentlicht am

WordPress Plugin „Popup Builder“ mit Sicherheitsrisiko

DALL E 3, Prompt: "Erstelle ein Bild, das symbolhaft einen Hackerangriff zeigt."

Das Web-Sicherheitsunternehmen Sucuri hat erneut einen Sicherheitshinweis für WordPress-Nutzer herausgegeben. Aktualisiert das Popup Builder Plugin jetzt!

In den letzten Wochen hat sich eine besorgniserregende Sicherheitslücke in älteren Versionen des WordPress-Plugins „Popup Builder“ gezeigt. Hacker nutzen diese offenbar zur Zeit für weitreichende Angriffe auf Websites. Dabei gibt es schon seit November 2023 eine bereinigte Version. Die aktuelle Version trägt die Releasenummer 4.2.7 (Stand März 2024).

Die Schwachstelle ist lange bekannt und unter CVE-2023-6000 dokumentiert. Sie betrifft Versionen bis einschließlich 4.2.3. Um die 3.300 WordPress Sites sind infiziert worden. Nun hat das Web-Sicherheitsunternehmen Sucuri hat kürzlich einen deutlichen Anstieg dieser Angriffe verzeichnet. In ihrem Blog schreibt die Firma und spricht im Blog von einer „Malware-Kampagne“, was die Dringlichkeit des Problems unterstreicht.

Angreifer nutzen dabei eine ausgefeilte Methode, um JavaScript-Schadcode in die WordPress-Dashboards einzuschleusen, der über Popup-Ereignisse des Plugins aktiviert wird. Dies kann dazu führen, dass Besucher auf Phishing-Seiten umgeleitet werden oder unbemerkt schädliche Skripte aus externen Quellen abrufen und ausführen.

„WordPress Plugin „Popup Builder“ mit Sicherheitsrisiko“ weiterlesen
Veröffentlicht am

Joomla: Erobert sich ein Klassiker die Bühne der CMS zurück?

Dall E3, prompt: "professionelles und sauberes Bild, das sich an technologieaffine Nutzer und Webseitenbetreiber richtet, welche ein neues Projekt starten und sich für ein Content Management System (CMS) entscheiden müssen. Das Bild sollte Joomla in den Mittelpunkt stellen und gleichzeitig eine Vielfalt an CMS symbolisieren. Integriere visuelle Elemente, die die Flexibilität und Vielseitigkeit von CMS wie Joomla, WordPress und Drupal darstellen. Joomla sollte durch sein offizielles Logo oder ein erkennbares Symbol repräsentiert werden. Die Darstellung soll die Möglichkeit der Wahl und die Bandbreite an verfügbaren CMS hervorheben, ohne ein spezifisches Farbschema zu benötigen. Ziel ist es, die Botschaft der Vielfalt und der umfassenden Möglichkeiten, die moderne CMS bieten, visuell zu kommunizieren. Erstelle ein professionelles und sauberes Bild, das sich an technologieaffine Nutzer und Webseitenbetreiber richtet, welche ein neues Projekt starten und sich für ein Content Management System (CMS) entscheiden müssen. Das Bild sollte Joomla in den Mittelpunkt stellen und gleichzeitig eine Vielfalt an CMS symbolisieren. Integriere visuelle Elemente, die die Flexibilität und Vielseitigkeit von CMS wie Joomla, WordPress und Drupal darstellen. Joomla sollte durch sein offizielles Logo oder ein erkennbares Symbol repräsentiert werden. Die Darstellung soll die Möglichkeit der Wahl und die Bandbreite an verfügbaren CMS hervorheben.

In der dynamischen und disruptiven Welt des Internets sind Innovationen und Trends allgegenwärtig. Sie prägen, wie wir Inhalte online kreieren und teilen.

Wir denken, man kann das so sagen: Im Herzen der „digitalen Revolution“ ab 2000 und der Entwicklung des Word Wide Web stehen die Content-Management-Systeme (CMS), die es selbst denjenigen ohne vertiefte Programmierkenntnisse ermöglichen, professionelle Websites zu erstellen und effizient zu verwalten. Eines dieser Systeme, das bei uns, goneo, einst zu den Favoriten zählte, ist Joomla.

Joomla hat sich durch seine Flexibilität und Erweiterbarkeit einen Namen gemacht und konnte in der Vergangenheit eine beachtliche Anhängerschaft aufbauen.

Für eine gewisse Zeit war es sogar das bevorzugte CMS auf unserer Plattform, bevor WordPress mit seiner Benutzerfreundlichkeit und der schier endlosen Auswahl an Themes und Plugins zum Liebling der Mehrheit unserer Nutzer avancierte.

Mehr Joomla

Doch in der jüngsten Vergangenheit vernimmt man wieder mehr von Joomla. Woran mag das liegen?

Joomla ruhte sich nicht auf seinen Lorbeeren aus, sondern hat kontinuierlich an sich gearbeitet, um mit den modernen Anforderungen der Webentwicklung Schritt zu halten.

Die lebendige und engagierte Community um Joomla herum entwickelt ständig neue Erweiterungen und verbessert bestehende, was Joomla zu einer extrem flexiblen Lösung für die Erstellung verschiedenster Arten von Websites macht – von einfachen Blogs bis hin zu komplexen Unternehmensseiten.

Ein entscheidender Faktor für das wiedererwachte Interesse an Joomla könnte auch seine starke Fokussierung auf Sicherheit sein. In Zeiten, in denen Cyberangriffe und Datenschutzbedenken immer mehr in den Vordergrund rücken, bietet Joomla robuste Sicherheitsfeatures. Das macht für viele, die die Sicherheit ihrer Website besonders ernst nehmen, zu einer attraktiven Option machen.

Darüber hinaus hat Joomla seine anfänglich steile Lernkurve abgeflacht, indem es seine Benutzeroberfläche intuitiver gestaltet und seine Dokumentation erweitert hat. Dies erleichtert es neuen Nutzern, sich zurechtzufinden und die volle Leistungsfähigkeit des Systems zu nutzen.

„Joomla: Erobert sich ein Klassiker die Bühne der CMS zurück?“ weiterlesen
Veröffentlicht am

WordPress Release 6.4.2 löst kritisches Problem – jetzt updaten

Webdesigner im Homeoffice arbeitet mit Hochdrukc an einem Problem. Seine Freundin ist auch da.

Erneut innerhalb eines recht kurzen Zeitraums rollt WordPress Org ein neues Release für sein CMS/Blog-System aus. User, die die automatische Update-Funktion deaktiviert haben, sollten schnell das Update von Hand anstoßen.

Auf der WordPress-Seite heißt es eher lapidar und ist sehr relativierend formuliert:

„Es handelt sich um eine Remote Code Execution-Sicherheitslücke, die im Kern nicht direkt ausnutzbar ist. Das Sicherheitsteam ist jedoch der Meinung, dass in Verbindung mit bestimmten Plugins, insbesondere in Multisite-Installationen, ein hohes Gefährdungspotenzial besteht.“

https://wordpress.org/news/2023/12/wordpress-6-4-2-maintenance-security-release/

Mehrere Onlinemedien berichten, dass es unter Umständen gelänge, beliebigen Code auszuführen, was man dann schon wieder kritisch nennen würde. Dabei müsste ein Hacker eine separate Object Injection-Schwachstelle finden, vielleicht in einem Plugin. Im WordPress-Code. Wordfence berichtete Details über die Voraussetzungen, unter denen ein Angriff gelingen kann, der von einigen Methoden und Eigenschaften auf Codeebene herrührt. Genannt werden da die “on_destroy-” und “bookmark_name”-Eigenschaften.

Daher sollte jeder WordPress-Seitenbetreiber sicherstellen, die Lücke zu schließen und die Releaseummer zu überprüfen.

Veröffentlicht am

Sicherheitsproblem mit MW WP Form

A groud of cyber soldiers fight against a hord of big bugs insidea of an oververdimensional server with cpu, memory units, a cooling fan and cables in the background. DALL E3

Beim recht populären WordPress-Plugin MW WP Form hat Wordfence, spezialisierter Betreiber von Sicherheitserweiterungen für WordPress, eine eklatante Sicherheitslücke gefunden, die hier beschrieben ist (engl.):
https://www.wordfence.com/blog/2023/12/update-asap-critical-unauthenticated-arbitrary-file-upload-in-mw-wp-form-allows-malicious-code-execution/

Weltweit dürften so 200.000 MW WP Form Plugins installiert sein.

Schon am 24. November 2023 hat das Wordfence-Team eine Schwachstelle gefunden. Mit ihr soll es demnach möglich sein, auch ohne Anmeldung oder Authentifizierung beliebige Dateien hochzuladen.

Beliebiger Datei-Upload unter Umständen möglich

In der etwas verquasten und nebulösen Sprache, in der Probleme mit Systemen und eventuell vorhandene Lösungen gerne beschrieben werden, heißt es, man habe seitens Wordfence danach „den Prozess der verantwortungsbewussten Offenlegung eingeleitet.“ Das heißt: Man hat den Hersteller des Plugins, Web-Soudan, kontaktiert und umgehend Antwort erhalten. Am 29.November 2023 erschien eine gepachte Version, die das Problem beseitigte.

Angreifer hätten beliebige Dateien, einschließlich PHP-Dateien, hochladen können und Schadcode ausführen können, wenn die Option „Anfragedaten in der Datenbank speichern“ in den Einstellungen des Plugins aktiviert ist.

Plugin-Update dringend empfohlen

Alle Nutzer des MW WP Plugins sollten ihre Websites so schnell wie möglich mit der neuesten gepatchten Version von MW WP Form ausstatten. Dies sollte mit WordPress und der Pluginverwaltung möglich sein. Das aktualisierte Release trägt die Versionsnummer 5.0.2.

Veröffentlicht am

Sicherheitslücken in Joomla gefunden

Sicherheitsfixes Joomla

In einem „Security-Announcement“ teilt Joomla mit, dass folgende Versionen von Joomla Sicherheitsprobleme aufweisen, die dazu unter Umständen dazu führen können, dass auch sensible Informationen ungewollt veröffentlicht werden:

Die betroffen Releases tragen die Versionsnummern: 1.6.0 bis 4.4.0 sowie 5.0.0, die bislang aktuellste Hauptversion.

Joomla 1.6 ist aus dem Jahre 2011. Die Hauptreleases Joomla 3, Joomla 2.5, Joomla 1.5 und Joomla 1.0 gelten als „nicht mehr unterstützt„, erhielten aber Fixes ab 3.10 für Releases im Extended Long Term Support (ELTS).

So wird die Sicherheitslücke bewertet

Die Wahrscheinlichkeit wird als gering dargestellt, dafür sind die möglichen Schadwirkungen und die Schwere des Problems groß. Es gibt in Joomla einen Parser-Prozess für Sprachdateien. Dieser könnte manipuliert werden, um Umgebungsvariablen freizulegen. Diese Umgebungsvariablen können sensible Informationen enthalten. Dies sind Variablen in der Software der Webanwendung, die Pfade oder Daten beinhalten. Damit können geheime Informationen für Erweiterungen und externe Aufrufe gespeichert werden.

Es handelt sich für gewöhnlich um einfache Zeichenketten, nicht um Programmcode, doch könnten diese eben auch zum Beispiel Zugangsinformationen für externen Dienste beinhalten.

Fixes und Empfehlungen

Allerdings sind die Probleme schon behoben:Seit 21.11.2023 gibt es eine Lösung. Joomla empfiehlt je nach Anwendungsversion ein sofortiges Upgrade auf die Joomla-Releases 3.10.14-elts, 4.4.1 beziehungsweise 5.0.1.

Bildquelle: Joomla!
https://www.joomla.org/announcements/release-news/5901-joomla-5-0-1-and-4-4-1-security-and-bug-fix-release.html

Veröffentlicht am

Ein Blick auf das neue WordPress 6.3

neues Release installieren: Überraschung

Anfang April erschien WordPress in der Version 6.3.

In der WordPress-Nomenklatur der Releasebezeichnungen bedeutet ein Sprung in der Versionsnummerierung in der ersten Stelle rechts vom Punk, dass ein wesentlicher Meilenstein erreicht worden ist.

Das neue Release mit dem Namen „Lionel“ und die Veränderungen, die es mit sich bringt, beziehen sich auf die zweite Phase einer umgreifenden Änderung bei WordPress, was den Umgang mit der Software wie sich sich im Browser präsentiert, betrifft. Laut langfristiger WordPress-Roadmap ging es um die Art und Weise wie Content erstellt und bearbeitet wird.

Zentral für die Strategien dahinter ist die Einführung eines neuen Eingabeeditors, den WordPress Gutenberg genannt hat. Diese Integration hat tatsächlich alles geändert.

Die vier Entwicklungsphasen des Gutenberg-Editors

Die Entwickler von WordPress haben sich vier Phasen überlegt, wie  Gutenberg integriert und etabliert werden soll:

„Ein Blick auf das neue WordPress 6.3“ weiterlesen
Veröffentlicht am

Ohne Installation: Komplette WordPress-Instanz im Browser

wordpress playground

Unter https://playground.wordpress.net/ hat WordPress einen neuen Service live geschaltet. Damit kann jeder eine eigene WordPress-Instanz starten und verändern. Eine Registrierung oder Anmeldung ist nicht nötig.

Allerdings eignet sich diese WordPress-Instanz eher dazu, einige Dinge auszuprobieren, Plugins zu testen oder Tutorials mit authentischen Beispielen anzureichern. Für WordPress-Entwickler bieten sich dank APIs aber noch viele weitere interessante Möglichkeiten.

„Ohne Installation: Komplette WordPress-Instanz im Browser“ weiterlesen