Covid-19 ist ein Virus, der das Potential hat, die Arbeitswelt zu verändern. In den Lockdownphasen der Coriona-Pandemie haben Arbeitgeber überall auf der Welt versucht, Infektionen zwischen Mitarbeitern zu vermeiden, indem diese entgegen aller betrieblichen Gepflogenheiten im Home Office arbeiteten.
Oft wurde in großer Eile das nötige Equipment beschafft und die technischen Voraussetzungen geschaffen. Doch dies scheint bei Nutzern auf Anerkennung zu stoßen.
Das neue WordPress-Release 5.4 trägt den Namen „Adderley“, nach WordPress-Tardition benannt nach einem Jazzmusiker, in diesem Fall Nat Adderley.
Ab sofort können goneo-Kunden mit einem Webhosting- oder Server-Paket das neue Release des beliebten Content Management Systems WordPress installieren – oder bestehende Installationen auf den neusten Stand bringen.
Wer die Webanwendung neu aufsetzen will, kann die Funktion „clickStart“ von goneo nutzen. Diese ist im goneo-Kundencenter zugänglich, sofern man einen bestehenden Webhosting- oder Serververtrag hat.
Bestehende Installationen lassen sich automatisch installieren, indem man sich in WordPress als Administrator einloggt und über das Dashboard das Update anstößt.
Wordfence, Herausgeber von Sicherheitsplugins und Anbieter entsprechender Dienste für WordPress warnt vor einigen weiteren möglicherweise verletzbaren Plugins.
Es handelt sich dabei um die folgenden Plugins. Die meisten Pluginautoren haben reagiert und bieten inzwischen Updates an:
„Async JavaScript“, ➡️ Pluginseite, mehr als 100.000 Installationen
WordPress ist mit einem Marktanteil von mittlerweile über 35 Prozent ein überaus lohnendes Ziel für Angreifer. Damit lohnt es sich, nach Lücken zu suchen, Angriffsszenarien zu entwickeln und zu skalieren: Einmal gefundene Angriffsvektoren kann man auf sehr viele WordPress-Installationen anwenden. Meist geht es darum, die Installation zu hacken, um sie unter Kontrolle zu bekommen.
Typischerweise ergaunern sich die Angreifer so entweder die Admin-Berechtigung oder sie schaffen es, aus der Ferne Code auszuführen, der die WordPress-Installation fernsteuert. Damit kann man dann zum Beispiel Spam versenden, Phishingseiten aufbauen oder Daten abgreifen. Gerne wird auch ein spammiger Redirect auf irgendeine Shopseite ausgelöst.
Wie die Situation aktuell aussieht und wo Ansatzpunkte für besseren Schutz zu finden sind, steht in diesem Blogartikel.
goneo hat drei neue Features gelauched: 2FA für das goneo-Kundencenter. „Warum nicht für Webmail?“ haben uns User gefragt. Eine ausführliche Antwort geben wir in dieser Ausgabe.
Zudem fragten einige: Was macht man mit Webcrons sinnvollerweise? Auch dazu einige Fallbeispiele im aktuellen Audiotrack.
Interessant auch die Möglichkeiten der Mailfilter-Anwendung im SIEVE-Standard. Allerdings muss man bei goneo keine Konfigurationsdatei händisch erstellen. Der goneo-Webmailer unter https://webmail.goneo.de bietet ein hervorragendes grafische Benutzerinterface.
Weitere Themen:
WordPress-Nutzer freuen sich auf Version 5.4. Eine zweite Beta ist inzwischen erschienen.
Neben Webpublishing (mit WordPress zum Beispiel) und Onlineverkauf (Shop mit Magento) ist Onlinespeicher sicher einer der häufigsten Nutzungsszenarien für Webhostingpakete. Wir empfehlen, einen neuen Blick auf den aktuellen Release von Nextcloud zu werfen. Besonders die Office-Integration macht Nextcloud noch attraktiver als Plattform für Teams, die zusammenarbeiten.
In Kalenderwoche 10, vom 2.3. bis 6.3.2020, werden die Server von goneo runderneuert. Sie erhalten neue Software, unter anderem die Pakete für PHP 7.4. Dies ist das aktuelle Release. PHP 7.1 ist inzwischen geplanterweise aus dem Updateservice der Hersteller herausgefallen.
Q&A: Einige User stellten Fragen, die wir in dieser Episode aufgegriffen haben:
„Was kostet Webhosting?“ und „Was ist der Unterschied zwischen einer Sitemap und einer Heatmap“.
Verschiedene Quellen berichen aktuell von mindestens drei Sicherheistlücken in drei verschiedenen, oft eingesetzten WordPress-Plugins: DatabaseReset, WP Time Capsule und Infinite WP. Wer diese verwendet, sollte schnell updaten.
Sicherheits-Update: Stelle sicher, dass deine WordPress-Installation nun die Releasenummer 5.3.1 hat.
Ganze 46 Bugfixes und Patches sind in das WordPress-Release 5.3.1 eingeflossen. Nun ist nur eineinhalb Tage später gleich das nächste Update mit der Nummer 5.3.2 hinterhergeschoben worden. Wichtig sind in 5.3.1 vier korrigierte Sicherheitsprobleme:
User ohne entsprechende Berechtigung konnten einen Post „sticky“ machen, so dass dieser stets oben angezeigt wurde. Dies war über die REST API mnöglich.
Cross-Site-Scripting (XSS)-Angriffe waren mit „well-crafted“, also entsprechend präparierten Links möglich.
Das wp_kses_bad_protocol() hat ein Update erfahren und wurde gegen Angriffe gehärtet.
Mit dem Block Editor und gespeicherten Inhalten waren unter Umständen ebenfalls XSS-Angriffe machbar.
Ansonsten gab es auch einige Fixes, die eher in die Kategorie „Stabilisierung“ fallen und nicht sicherheitsrelevant sind:
Verbesserung bei der Verwaltung von Form (Höhen- und Anordnungs-Kontrolle)
Ergänzung des entsprechenden Dashboard -Widgets durch einen Links zur Verwaltung eines alternativen Farbschemas (bessere Zugänglichkeit)
Lösung von Javascript-Problemen bein Edge-Scrolling
Bei gebundleten Themes kann man nun entscheiden, ob die Autoreninfos (Bio) angezeigt werden sollen.
Das Javascript-basierte smooth Scrolling wurde nun auf CSS umgestellt.
Beseitigung von CSS-Darstellungsproblemen bei Einbettungen von Instagram-Elementen
Verbesserung der Berechnung und Darstellung von nicht-GMT-Datenangaben
Stabilisierung der make get_permalink()-Funktion bei Zeitzonenänderungen in PHP
Entfernung von CollegeHumor (oEmbed Provider) – diesen Service gibt es nicht mehr
Update der sodium_compat-Bibliothek (Krypto-Funktionen in PHP)
Verbesserung bei Site Health: Die Intervalangaben für Erinnerungen per Mail können nun gefiltert werden
Gleichnamige Thumbnail-Uploads überschreiben nun keine existierenden Dateien mehr
Bilder im PNG-Format werden von einer automatischen Skalierung nach Upload ausgenommen.
Die Administration der E-Mail-Prüfung bezieht sich nun auf die Userangaben, nicht auf die hinterlegte Variable für die Website.
Wenn die automatische Updatefunktion nicht abgeschaltet ist, werden existierende WordPress-Installationen dieses Release automatisch einspielen. Wer sichergehen will, überprüft auf dem WordPress-Dashboard die Installation. Dort lässt sich ein Updatelauf jederzeit auch manuell anstoßen.
Bei Uploads ist die Handhabung bei Namenskolissionen von Dateien verbessert worden (in wp_unique_filename() )- Probleme traten wohl auf, wenn Groß- und Kleinschreibung verwendet wurde, aber das Dateisystem dies nicht unterscheidet.
Im Media-Manager wurde ein Problem in Verbindung mit PHP-Warnmeldungen in wp_unique_filename() gelöst (wenn das Zielverzeichnis nicht lesbar ist)
Ein Farbschemaproblem, das in Verbindung mit Buttons in der .active class auftrat, ist korrigiert
Bei wp_insert_post() wird der Unterschied zweier Versionen (bei Veröffentlichungsterminen in der Zukunft) nun korrekt berechnet.
„Kirk“ heißt die neue Version von WordPress, die die Nummer 5.3 trägt. Auch wenn viele damit nun den Namen eines fiktiven Raumschiffkapitäns verbinden, ehrt WordPress damit den Jazz-Musiker Rahsaan Roland Kirk. Dies ist eine Tradition bei WordPress. Alle wichtigen Releases tragen Namen von Jazz-Größen.
Aller Anfang ist schwer, sagt es sich lapidar. Wer sich in das Thema Webseitenerstellung einarbeiten möchte oder muss, benötigt viel Zeit. Alternativ dazu helfen Agenturen und Webdesigner weiter. Homepagebaukästen versprechen Komfort und kurze Fertigstellungszeiten. Doch der Preis dafür ist ein Verlust an Flexibilität und die Bindung an das spezielle System eines Herstellers. Und dann gibt es noch Open-Source-Webanwendungen wie WordPress.
Das Update-Tempo bleibt hoch. Für September kündigt WordPress eine erste Betaversion von Version 5.3 an. Das stabile Release soll im November ausgerollt werden. Worauf sollten wir uns einstellen?
