WordPress Plugin „Popup Builder“ mit Sicherheitsrisiko

DALL E 3, Prompt: "Erstelle ein Bild, das symbolhaft einen Hackerangriff zeigt."

Das Web-Sicherheitsunternehmen Sucuri hat erneut einen Sicherheitshinweis für WordPress-Nutzer herausgegeben. Aktualisiert das Popup Builder Plugin jetzt!

In den letzten Wochen hat sich eine besorgniserregende Sicherheitslücke in älteren Versionen des WordPress-Plugins „Popup Builder“ gezeigt. Hacker nutzen diese offenbar zur Zeit für weitreichende Angriffe auf Websites. Dabei gibt es schon seit November 2023 eine bereinigte Version. Die aktuelle Version trägt die Releasenummer 4.2.7 (Stand März 2024).

Die Schwachstelle ist lange bekannt und unter CVE-2023-6000 dokumentiert. Sie betrifft Versionen bis einschließlich 4.2.3. Um die 3.300 WordPress Sites sind infiziert worden. Nun hat das Web-Sicherheitsunternehmen Sucuri hat kürzlich einen deutlichen Anstieg dieser Angriffe verzeichnet. In ihrem Blog schreibt die Firma und spricht im Blog von einer „Malware-Kampagne“, was die Dringlichkeit des Problems unterstreicht.

Angreifer nutzen dabei eine ausgefeilte Methode, um JavaScript-Schadcode in die WordPress-Dashboards einzuschleusen, der über Popup-Ereignisse des Plugins aktiviert wird. Dies kann dazu führen, dass Besucher auf Phishing-Seiten umgeleitet werden oder unbemerkt schädliche Skripte aus externen Quellen abrufen und ausführen.

„WordPress Plugin „Popup Builder“ mit Sicherheitsrisiko“ weiterlesen

Joomla: Erobert sich ein Klassiker die Bühne der CMS zurück?

Dall E3, prompt: "professionelles und sauberes Bild, das sich an technologieaffine Nutzer und Webseitenbetreiber richtet, welche ein neues Projekt starten und sich für ein Content Management System (CMS) entscheiden müssen. Das Bild sollte Joomla in den Mittelpunkt stellen und gleichzeitig eine Vielfalt an CMS symbolisieren. Integriere visuelle Elemente, die die Flexibilität und Vielseitigkeit von CMS wie Joomla, WordPress und Drupal darstellen. Joomla sollte durch sein offizielles Logo oder ein erkennbares Symbol repräsentiert werden. Die Darstellung soll die Möglichkeit der Wahl und die Bandbreite an verfügbaren CMS hervorheben, ohne ein spezifisches Farbschema zu benötigen. Ziel ist es, die Botschaft der Vielfalt und der umfassenden Möglichkeiten, die moderne CMS bieten, visuell zu kommunizieren. Erstelle ein professionelles und sauberes Bild, das sich an technologieaffine Nutzer und Webseitenbetreiber richtet, welche ein neues Projekt starten und sich für ein Content Management System (CMS) entscheiden müssen. Das Bild sollte Joomla in den Mittelpunkt stellen und gleichzeitig eine Vielfalt an CMS symbolisieren. Integriere visuelle Elemente, die die Flexibilität und Vielseitigkeit von CMS wie Joomla, WordPress und Drupal darstellen. Joomla sollte durch sein offizielles Logo oder ein erkennbares Symbol repräsentiert werden. Die Darstellung soll die Möglichkeit der Wahl und die Bandbreite an verfügbaren CMS hervorheben.

In der dynamischen und disruptiven Welt des Internets sind Innovationen und Trends allgegenwärtig. Sie prägen, wie wir Inhalte online kreieren und teilen.

Wir denken, man kann das so sagen: Im Herzen der „digitalen Revolution“ ab 2000 und der Entwicklung des Word Wide Web stehen die Content-Management-Systeme (CMS), die es selbst denjenigen ohne vertiefte Programmierkenntnisse ermöglichen, professionelle Websites zu erstellen und effizient zu verwalten. Eines dieser Systeme, das bei uns, goneo, einst zu den Favoriten zählte, ist Joomla.

Joomla hat sich durch seine Flexibilität und Erweiterbarkeit einen Namen gemacht und konnte in der Vergangenheit eine beachtliche Anhängerschaft aufbauen.

Für eine gewisse Zeit war es sogar das bevorzugte CMS auf unserer Plattform, bevor WordPress mit seiner Benutzerfreundlichkeit und der schier endlosen Auswahl an Themes und Plugins zum Liebling der Mehrheit unserer Nutzer avancierte.

Mehr Joomla

Doch in der jüngsten Vergangenheit vernimmt man wieder mehr von Joomla. Woran mag das liegen?

Joomla ruhte sich nicht auf seinen Lorbeeren aus, sondern hat kontinuierlich an sich gearbeitet, um mit den modernen Anforderungen der Webentwicklung Schritt zu halten.

Die lebendige und engagierte Community um Joomla herum entwickelt ständig neue Erweiterungen und verbessert bestehende, was Joomla zu einer extrem flexiblen Lösung für die Erstellung verschiedenster Arten von Websites macht – von einfachen Blogs bis hin zu komplexen Unternehmensseiten.

Ein entscheidender Faktor für das wiedererwachte Interesse an Joomla könnte auch seine starke Fokussierung auf Sicherheit sein. In Zeiten, in denen Cyberangriffe und Datenschutzbedenken immer mehr in den Vordergrund rücken, bietet Joomla robuste Sicherheitsfeatures. Das macht für viele, die die Sicherheit ihrer Website besonders ernst nehmen, zu einer attraktiven Option machen.

Darüber hinaus hat Joomla seine anfänglich steile Lernkurve abgeflacht, indem es seine Benutzeroberfläche intuitiver gestaltet und seine Dokumentation erweitert hat. Dies erleichtert es neuen Nutzern, sich zurechtzufinden und die volle Leistungsfähigkeit des Systems zu nutzen.

„Joomla: Erobert sich ein Klassiker die Bühne der CMS zurück?“ weiterlesen

WordPress 6.5 RC 1 ist da

Wordpress Code is poetry Lanyard

(updated) Was kommt mit dem neuen WordPress 6.5 auf uns zu? Inzwischen steht der Termin für die Veröffentlichung des offiziellen Releases fest: 26.3.2024. Release Candidate 1 (RC 1) ist inzwischen auch erschienen.

Ob ihr nun Entwickler seid oder einfach nur eure eigene Website liebevoll mit Gutenberg ausgestaltet: Diese Neuheiten sind schon ein Gamechanger.  Überzeugt euch und testet jetzt die Beta 2, die jetzt erschienen ist. Also, lasst uns da direkt eintauchen!

„WordPress 6.5 RC 1 ist da“ weiterlesen

WordPress Release 6.4.2 löst kritisches Problem – jetzt updaten

Webdesigner im Homeoffice arbeitet mit Hochdrukc an einem Problem. Seine Freundin ist auch da.

Erneut innerhalb eines recht kurzen Zeitraums rollt WordPress Org ein neues Release für sein CMS/Blog-System aus. User, die die automatische Update-Funktion deaktiviert haben, sollten schnell das Update von Hand anstoßen.

Auf der WordPress-Seite heißt es eher lapidar und ist sehr relativierend formuliert:

„Es handelt sich um eine Remote Code Execution-Sicherheitslücke, die im Kern nicht direkt ausnutzbar ist. Das Sicherheitsteam ist jedoch der Meinung, dass in Verbindung mit bestimmten Plugins, insbesondere in Multisite-Installationen, ein hohes Gefährdungspotenzial besteht.“

https://wordpress.org/news/2023/12/wordpress-6-4-2-maintenance-security-release/

Mehrere Onlinemedien berichten, dass es unter Umständen gelänge, beliebigen Code auszuführen, was man dann schon wieder kritisch nennen würde. Dabei müsste ein Hacker eine separate Object Injection-Schwachstelle finden, vielleicht in einem Plugin. Im WordPress-Code. Wordfence berichtete Details über die Voraussetzungen, unter denen ein Angriff gelingen kann, der von einigen Methoden und Eigenschaften auf Codeebene herrührt. Genannt werden da die “on_destroy-” und “bookmark_name”-Eigenschaften.

Daher sollte jeder WordPress-Seitenbetreiber sicherstellen, die Lücke zu schließen und die Releaseummer zu überprüfen.

Sicherheitsproblem mit MW WP Form

A groud of cyber soldiers fight against a hord of big bugs insidea of an oververdimensional server with cpu, memory units, a cooling fan and cables in the background. DALL E3

Beim recht populären WordPress-Plugin MW WP Form hat Wordfence, spezialisierter Betreiber von Sicherheitserweiterungen für WordPress, eine eklatante Sicherheitslücke gefunden, die hier beschrieben ist (engl.):
https://www.wordfence.com/blog/2023/12/update-asap-critical-unauthenticated-arbitrary-file-upload-in-mw-wp-form-allows-malicious-code-execution/

Weltweit dürften so 200.000 MW WP Form Plugins installiert sein.

Schon am 24. November 2023 hat das Wordfence-Team eine Schwachstelle gefunden. Mit ihr soll es demnach möglich sein, auch ohne Anmeldung oder Authentifizierung beliebige Dateien hochzuladen.

Beliebiger Datei-Upload unter Umständen möglich

In der etwas verquasten und nebulösen Sprache, in der Probleme mit Systemen und eventuell vorhandene Lösungen gerne beschrieben werden, heißt es, man habe seitens Wordfence danach „den Prozess der verantwortungsbewussten Offenlegung eingeleitet.“ Das heißt: Man hat den Hersteller des Plugins, Web-Soudan, kontaktiert und umgehend Antwort erhalten. Am 29.November 2023 erschien eine gepachte Version, die das Problem beseitigte.

Angreifer hätten beliebige Dateien, einschließlich PHP-Dateien, hochladen können und Schadcode ausführen können, wenn die Option „Anfragedaten in der Datenbank speichern“ in den Einstellungen des Plugins aktiviert ist.

Plugin-Update dringend empfohlen

Alle Nutzer des MW WP Plugins sollten ihre Websites so schnell wie möglich mit der neuesten gepatchten Version von MW WP Form ausstatten. Dies sollte mit WordPress und der Pluginverwaltung möglich sein. Das aktualisierte Release trägt die Versionsnummer 5.0.2.

Sicherheitslücken in Joomla gefunden

Sicherheitsfixes Joomla

In einem „Security-Announcement“ teilt Joomla mit, dass folgende Versionen von Joomla Sicherheitsprobleme aufweisen, die dazu unter Umständen dazu führen können, dass auch sensible Informationen ungewollt veröffentlicht werden:

Die betroffen Releases tragen die Versionsnummern: 1.6.0 bis 4.4.0 sowie 5.0.0, die bislang aktuellste Hauptversion.

Joomla 1.6 ist aus dem Jahre 2011. Die Hauptreleases Joomla 3, Joomla 2.5, Joomla 1.5 und Joomla 1.0 gelten als „nicht mehr unterstützt„, erhielten aber Fixes ab 3.10 für Releases im Extended Long Term Support (ELTS).

So wird die Sicherheitslücke bewertet

Die Wahrscheinlichkeit wird als gering dargestellt, dafür sind die möglichen Schadwirkungen und die Schwere des Problems groß. Es gibt in Joomla einen Parser-Prozess für Sprachdateien. Dieser könnte manipuliert werden, um Umgebungsvariablen freizulegen. Diese Umgebungsvariablen können sensible Informationen enthalten. Dies sind Variablen in der Software der Webanwendung, die Pfade oder Daten beinhalten. Damit können geheime Informationen für Erweiterungen und externe Aufrufe gespeichert werden.

Es handelt sich für gewöhnlich um einfache Zeichenketten, nicht um Programmcode, doch könnten diese eben auch zum Beispiel Zugangsinformationen für externen Dienste beinhalten.

Fixes und Empfehlungen

Allerdings sind die Probleme schon behoben:Seit 21.11.2023 gibt es eine Lösung. Joomla empfiehlt je nach Anwendungsversion ein sofortiges Upgrade auf die Joomla-Releases 3.10.14-elts, 4.4.1 beziehungsweise 5.0.1.

Bildquelle: Joomla!
https://www.joomla.org/announcements/release-news/5901-joomla-5-0-1-and-4-4-1-security-and-bug-fix-release.html

Ein Blick auf das neue WordPress 6.3

neues Release installieren: Überraschung

Anfang April erschien WordPress in der Version 6.3.

In der WordPress-Nomenklatur der Releasebezeichnungen bedeutet ein Sprung in der Versionsnummerierung in der ersten Stelle rechts vom Punk, dass ein wesentlicher Meilenstein erreicht worden ist.

Das neue Release mit dem Namen „Lionel“ und die Veränderungen, die es mit sich bringt, beziehen sich auf die zweite Phase einer umgreifenden Änderung bei WordPress, was den Umgang mit der Software wie sich sich im Browser präsentiert, betrifft. Laut langfristiger WordPress-Roadmap ging es um die Art und Weise wie Content erstellt und bearbeitet wird.

Zentral für die Strategien dahinter ist die Einführung eines neuen Eingabeeditors, den WordPress Gutenberg genannt hat. Diese Integration hat tatsächlich alles geändert.

Die vier Entwicklungsphasen des Gutenberg-Editors

Die Entwickler von WordPress haben sich vier Phasen überlegt, wie  Gutenberg integriert und etabliert werden soll:

„Ein Blick auf das neue WordPress 6.3“ weiterlesen

Ohne Installation: Komplette WordPress-Instanz im Browser

wordpress playground

Unter https://playground.wordpress.net/ hat WordPress einen neuen Service live geschaltet. Damit kann jeder eine eigene WordPress-Instanz starten und verändern. Eine Registrierung oder Anmeldung ist nicht nötig.

Allerdings eignet sich diese WordPress-Instanz eher dazu, einige Dinge auszuprobieren, Plugins zu testen oder Tutorials mit authentischen Beispielen anzureichern. Für WordPress-Entwickler bieten sich dank APIs aber noch viele weitere interessante Möglichkeiten.

„Ohne Installation: Komplette WordPress-Instanz im Browser“ weiterlesen

Texterstellung: Synergie von WordPress, Jetpack und Künstlicher Intelligenz

ein Roboter schreibt einen Text

WordPress ist eine der beliebtesten Plattformen für Blogger und Unternehmen geworden. Doch Blogs sind hungrig: Sie brauchen Content. Mit der Unterstützung von Jetpack, einem vielseitigen Plugin für WordPress, können Nutzer ihre Websites jetzt weiter verbessern.

Wusstest du schon, dass Jetpack in Kombination mit Künstlicher Intelligenz auch die Möglichkeit bietet, hochwertige Texte für WordPress zu generieren?

In diesem Blogbeitrag werden wir uns etwas näher mit der Integration von KI in WordPress und Jetpack befassen und wie sie die Texterstellung revolutionieren kann.

Die Macht der Künstlichen Intelligenz

Wir nennen es „Künstliche Intelligenz“ (KI): Die Fähigkeit von Maschinen, genauer gesagt: Computern, menschenähnliche Aufgaben auszuführen, darunter auch die Erstellung von Texten.

Durch den Einsatz von maschinellem Lernen und Sprachverarbeitungsalgorithmen kann KI komplexe Zusammenhänge verstehen und qualitativ hochwertige Inhalte erzeugen. Diese Technologie hat das Potenzial, die Art und Weise, wie wir Inhalte erstellen, zu revolutionieren und Zeit sowie Ressourcen zu sparen. Dies ist in vollem Gange.

Integration von KI in WordPress

Eine der aufregendsten Entwicklungen in der Welt des Bloggens ist die Integration von KI in WordPress. Das Jetpack-Plugin, das von WordPress.com (und der dahinter stehenden Firma Automattic) angeboten wird, bietet eine Reihe von Funktionen, mit denen Benutzer ihre Websites optimieren können. Unter diesen Jetpack-Funktionen befindet sich neuerdings auch das KI-gestützte Schreiben von Texten.

Mit Jetpack können Blogger auf eine automatische Textgenerierung zugreifen, die es ihnen ermöglicht, Inhalte in kürzerer Zeit zu erstellen, ohne Kompromisse bei der Qualität einzugehen.

Screenshot aus WordPress Gutenberg, KI Assistent.
Mit Jetpack 12.2 bringt Automattic die Funktion KI-Assistent zur automatisierten Texterstellung. Diese Funktion ist als „experimentell“ gekennzeichnet. Außerdem lassen sich Grammatik, Tonalität und Rechtschreibung damit prüfen und verbessern.

Natürlich könnte man irgendein Large Language Model wie ChatGPT nutzen und dort einen passenden Prompt formulieren. Mit der Jetpack-Lösung hat man an der passenden Stelle allerdings gleich Zugriff auf die gewünschte Funktion.

Der KI-Assistent ist über den Gutenberg-Editor erreichbar: Man fügt einen Block hinzu, indem man auf das quadratische Symbol mit dem Plus-Zeichen (weiß auf schwarzem Hintergrund) klickt. Am einfachsten ist es, man tippt „KI-Assistent“ in die Kontextsuche ein.

Vorteile der KI-Texterstellung

Die Verwendung von KI zur Texterstellung bietet eine Vielzahl von Vorteilen.

Erstens spart sie Zeit, indem sie den Prozess des Schreibens und Korrekturlesens beschleunigt. Das bedeutet, dass Blogger mehr Inhalte in kürzerer Zeit erstellen können, was ihre Produktivität steigert.

Zweitens liefert KI qualitativ hochwertige Texte, indem sie auf umfangreiche Datenbanken zugreift und relevante Informationen extrahiert. Die erzeugten Texte sind gut strukturiert, grammatikalisch korrekt und ansprechend für das Publikum.

Drittens können Blogger mit KI-Texterstellung ihre Kreativität erweitern, indem sie neue Ideen und Perspektiven erhalten, die sie in ihre eigenen Inhalte integrieren können.

Mensch und Maschine: Eine perfekte Kombination

Wichtig: Der menschliche Input ist alles andere als überflüssig. Im Gegenteil, die Integration von KI in WordPress und Jetpack ermöglicht es Bloggern, ihre kreativen Fähigkeiten zu nutzen und die generierten Texte zu optimieren. Der menschliche Faktor bleibt entscheidend, um die Texte an die individuellen Anforderungen anzupassen, den Stil zu definieren und die gewünschte Botschaft zu vermitteln.

Optimalerweise dient die KI als Werkzeug, das den Prozess rationalisiert und verbessert, aber die kreative Kontrolle in den Händen des Bloggers oder der Bloggerin lässt.

Fazit

Die Integration von Künstlicher Intelligenz in WordPress und Jetpack hat das Potenzial, die Art und Weise, wie wir Texte erstellen, nachhaltig zu verändern. Mit KI-Texterstellung können Blogger ihre Produktivität steigern, qualitativ hochwertige Inhalte schneller erstellen und ihre kreativen Fähigkeiten erweitern.

Die Kombination aus menschlicher Kreativität und KI-Technologie bietet eine aufregende Zukunft für die Content-Erstellung.

Während wir diese Technologien weiterentwickeln, ist es wichtig, die ethischen Aspekte zu berücksichtigen und sicherzustellen, dass KI als Werkzeug und nicht als Ersatz für menschliche Kreativität und Fachkenntnis dient.

Insgesamt können wir uns auf spannende Entwicklungen freuen, die die Texterstellung vereinfachen und die Qualität der Inhalte verbessern werden.

Bist du einverstanden mit der Aussage? Siehst du das anders? Poste deine Meinung in die Kommentare. Schildere auch deine Erfahrungen mit dem KI-Assistenten in WordPress.

WordPress feiert 20 Jahre

DALL·E 2023-05-24 - the earth covered and surrounded with connections viewed from space hyper realistic

Am 27.5.2023 feiert WordPress sein 20.Jubiläum und ist damit ein Tick länger als goneo mit mittlerweile 16 Jahren am Markt.

Zur Feier hat die tragende Organisation unter 20wp.wordpress.net eine extra Webseite eingerichtet. Weltweit finden dazu Meetups statt, in Deutschland in Jena, Hamburg, Karlsruhe.

Matt Mullenweg hatte irgendwann während der vergangenen Jahre das Ziel ausgerufen, dass das von ihm mitbegründete WordPress zum „Betriebssystem des Webs“ werden sollte. Dies haben wir 2017 in einem Beitrag beschrieben. Damals stand WordPress bei einem Nutzungsanteil von 30 Prozent. Heute, nochmal sechs Jahre später sind es über 43 Prozent aller Websites, die mit WordPress realisiert worden sind.

Als Webhoster haben wir bei goneo einen besonderen Blick auf WordPress. Am erstaunlichsten war zu sehen, wie WordPress, was die Reihe der Open-Source-Content-Management-Systeme (CMS) angeht, zur unangefochtenen Nummer eins wurde.

WordPress ist das prototypische Beispiel eines erfolgreichen quelloffenen Softwareprojekts für eine Webanwendung. WordPress basiert seit jeher auf PHP, einer Skriptsprache für Webserver, die einer Programmiersprache sehr nahekommt.

„WordPress feiert 20 Jahre“ weiterlesen