Soeben wurde WordPress 2.6.5 veröffentlicht. Diese Version ist ein Sicherheitsrelease (Details) und behebt einen schwerwiegenden XSS-Exploit, desweiteren wurden einige kleinere Probleme behoben.

Es gibt einen Versionssprung von 2.6.3 auf 2.6.5, da eine gefakte 2.6.4 Version im Umlauf war. Eine Version 2.6.4 wurde niemals veröffentlicht.

Wir raten allen 2.6.3 Nutzern dringend zu einer Aktualisierung auf die neue Version. Wir haben ein Upgradepaket für 2.6.3 auf 2.6.5 zusammengestellt. Das Upgradepaket beinhaltet alle geänderten Dateien zu der Vorgängerversion 2.6.3 und kann für ein Upgrade der offiziellen- und der DE-Edition benutzt werden.

→ Upgradepaket für 2.6.3 auf 2.6.5

Die DE-Edition liegt ebenfalls in der aktuellen Version bereit. In der DE-Edition ist die überarbeitete Sprachdatei und das übersetzte Standardtheme (default_de) enthalten. Zwischen 2.6.3 und 2.6.5 gibt es einige kleinere Änderungen an der Sprachdatei.

→ Download WordPress 2.6.5 DE-Edition

→ Sprachdatei für WordPress 2.6.5 (Du & Sie)
→ übersetztes Standardtheme (default_de)

Die offizielle englischsprachige Version 2.6.5 kann im Downloadbereich runtergeladen werden.

Vor einem Upgrade unbedingt ein vollständiges Backup aller Dateien und der Datenbank anlegen!

—————–

Siehe auch:

→ offizielles Entwicklerstatement
→ WordPress in 5 Minuten installieren
→ Wie führe ich ein Upgrade durch?
→ Was sind die Upgradepakete und wann kann ich sie benutzen?

Sicher hat der eine oder andere von euch mitbekommen, dass sich hinter den Kulissen von WordPress Deutschland (WPD) seit Monaten einiges bewegt. Wir haben uns bewusst Zeit genommen, um die unserer Ansicht nach notwendigen Schritte zu eruieren, zu planen und letzten Endes auch umzusetzen.
Fakt ist: Die Struktur von WPD wird sich in den nächsten Monaten ändern und das wird auch Auswirkungen auf uns alle haben, die wir mit WordPress in Deutschland arbeiten.
Doch keine Sorge: Das Team, welches WPD bislang betreut hat, wird auch weiterhin im Boot sein. Und es werden weitere Helfer dazukommen.

Um euch am besten erläutern zu können, warum wir diesen Schritt für notwendig erachten, müssen wir etwas ausholen und uns die Entwicklung von WordPress etwas genauer betrachten.
Den ganzen Beitrag lesen »

WordPress.org hat heute eine Umfrage gestartet in der es darum geht, über die zukünftigen Icons in WordPress 2.7 abzustimmen. Mehrere Designer haben verschiedene Sätze an Icons erstellt, welche nun detailliert bewertet werden können (aber nicht müssen).
Der Gewinner wird bald gekürt und dessen Icons werden es dann, eventuell leicht abgeändert, in das neu gestaltete Adminmenü von WordPress schaffen.
Zur Umfrage, welche nur zwei Tage lang läuft, geht es hier lang.

Vor kurzem ist die zweite Auflage von Vladimir Simovic’ (aka Perun) und Thordis Bonfranchi-Simovic’ “WordPress – Das Praxisbuch” erschienen.
Wie schon in der ersten Auflage gibt es eine Einführung zu dem, was einen Blog ausmacht und was ein Blog sein kann.
Die weiteren Kapitel stellen ein umfangreiches Handbuch in Sachen WordPress dar – von der Installation, über das Anpassen der Optionen, Schreiben von neuen Artikeln bis zur Anpassung von Themes. Jede Funktion wird erklärt und mit vielen Tipps und Beispielen verständlich gemacht.
Auch blogbezogenen Zusatzdiensten wie Technorati, Feedburner oder Twitter sind Artikel gewidmet.

Äußerst Umfangreich sind weiterhin die Kapitel zur Template-Welt von WordPress. Sie vermitteln präzise die Struktur und Funktionen von Themes, so dass danach jeder selber loslegen und sein eigenes Theme programmieren oder vorhandene verändern kann. Grundkenntnisse in den Sprachen CSS und (X)HTML werden jedoch vorrausgesetzt.

Das Buch ist um ganze 70 Seiten dicker geworden, da natürlich neue Funktionen wie die der verbesserte Medienupload, automatische Updates oder Artikelrevisionen erklärt werden. Auch gibt es ein zweites Kapitel zum immer wichtiger werdenden Thema wie man WordPress zum klassischen CMS macht. Am Ende des Buches werden zudem ein Dutzend nützlicher Plugins näher beleuchtet.
Auf der CD befinden sich wieder ein WordPress-Komplettpaket, Themes, die vorgestellten Plugins und weitere, im Buch besprochene Beispieldateien.

Die 447 Seiten sind für 29,99 € beim mitp-Verlag, bei Amazon oder Buchhändler seines Vertrauens unter der ISBN 978-3-8266-5502-9 zu haben.

→ Website zum Buch
→ Inhaltsverzeichnis (PDF 114 KB)
→ Probekapitel (PDF 1,1 MB)

Wir bedanken uns ganz herzlich bei Perun, der uns vier Exemplare der Neuauflage zur Verlosung zur Verfügung gestellt hat. Unter allen Kommentaren und Trackbacks* die bis zum 21.11.2008 um Mitternacht zu diesem Blogeintrag eintreffen, werden die vier Exemplare des Buches verlost. Die Gewinner werden per E-Mail benachrichtigt. Der Rechtsweg ist ausgeschlossen. (*Achtet also darauf dass in eurem Blog eine funktionierende Kontaktmöglichkeit vorhanden ist.)

Nachtrag: Der Zufallsgenerator hat gewürfelt und folgende Gewinner ausgewählt:
Pascal (i**@g**k.ch)
Ines (b**@g**.net)
Andre (a**e@d**l.net)
Bernhard (b**3@w**.de)

Herzlichen Glückwunsch euch vieren! Ihr bekommt in den nächsten Minuten eine E-Mail!

Wie verschiedene Blogs (u.a. das Schweizer WordPress Magazin, BloggingTom) berichten, wurde auf einer gefakten Webseite ein neues WordPress 2.6.4 (welches es nicht gibt) zum Download angeboten. Dieses WordPress war jedoch zum Datenklau korrumpiert! Die Meldung zur Verfügbarkeit des vermeintlichen Updates wurde leider direkt im RSS-News Dashboard-Widget im Adminmenü angezeigt – dies ist möglicherweise auf die Sicherheitslücke zurückzuführen, die in WordPress 2.3.6 geschlossen wurde. Auch ist nicht klar, ob aufgrund der wahrscheinlichen Manipulation des Feeds überhaupt WordPress’ der DE-Version betroffen waren.
Die entsprechende Website (wordpresz.org) ist zwar nicht mehr erreichbar, aber das war nicht der erste und vermutlich auch nicht der letzte Versuch von Betrügern Daten auszuspähen. Also bleibt wachsam! Achtet darauf, dass ihr WordPress nur von vertrauenswürdigen Quellen herunterladet. Und im Zweifelsfall gilt: Bekanntmachungen über neue Releases gibt es im Blog von wordpress.org und auch zeitnah hier bei uns im Blog. Außerdem zeigt die eigentliche Versionsbenachrichtigungsleiste im Dashboard an, welche Version gerade aktuell ist.

Nachtrag: Die gefälschte Version war übrigens nur für Blogs gefährlich, welche mindestens sechs registrierte Benutzer haben bzw. hatten, da erst dann das Cookie ausgelesen (und an die Datenspäher gesendet) wurde, wenn sich ein Benutzer einloggte, dessen ID größer als 5 ist.

Versionsbenachrichtigung im Dashboard

Seit einigen Stunden kann man nun die erste Beta downloaden und testen. Der Anklang scheint groß und schon eine ganze Reihe von Leuten schauen sich die Beta 1 an. Seid ihr auch dabei, schon mal einen Blick in das neue WordPress geworfen, hinter den Kulissen die neuen Funktionen erkundet oder auch nur die Entwicklung verfolgt?

Im Edit-Bereich von WP 2.7

Nun denn, dann gebt den Entwicklern ein kleines Feedback und beteiligt euch an den beiden Umfragen. Das neue Spielzeug von Automattic polldaddy wird ja nun schon des öfteren genutzt um ein Feedback der Nutzergemeinde zu bekommen. Daher auch nun wieder zwei kleine Umfragen. Wer also schon eine Meinung hat, der kann sich beteiligen.

1. What is your favorite feature in WordPress 2.7? (kurz und schmerzlos)
2. What are your favorite features in WordPress 2.7 B (einige wenige Fragen mit Feedbackchance)

Das beliebte und vielfrequentierte (an die 200.000 Beiträge!) Forum von WordPress Deutschland wurde jetzt um eine kleine, aber nützliche Funktion erweitert – einem Glossar (Die Bezeichnung im Forum lautet Lexikon). Da Ein- und Umsteiger auf erfahrene Benutzer und Profis treffen bleibt es mitunter nicht aus, dass Begriffe fallen, deren Bedeutung nicht klar ist.
Das Glossar soll hier Abhilfe schaffen und häufige WordPress-spezifische Begriffe und andere Fachbezeichnungen kurz und knapp erklären. Falls nötig werden auch weiterführende Links angeboten.
Wörter zu denen Erklärungen hinterlegt sind, werden im Forum automatisch verlinkt (erkennbar an der gestrichelten Linie) und bei Berührung mit dem Wort erscheint eine Vorschau des Erklärungstextes als Tooltip.
Wir hoffen, dass diese Erweiterung vielen Benutzern weiterhilft. Wer sie nicht mag kann sie auch in den persönlichen Einstellungen deaktivieren.

PS: Feedback zu bestehenden und zu erstellenden Glossareinträgen ist in diesem Thread willkommen!

Wenn es kommt, kommts immer ganz Dicke! Vor ein paar Stunden wurde WordPress 2.6.3 veröffentlicht, das Release behebt ein kritisches Sicherheitsproblem. Durch einen Hinweis von Oliver ist jetzt ein weiteres Sicherheitsproblem aufgetaucht, dass im schlimmsten Fall das Ausführen von Schadcode auf dem Server per Cross-Site Scripting (XSS) zulässt. Betroffen sind allerdings nur Benutzer des internationalisierten Standardthemes “default”. Dieses Theme ist in unserer DE-Edition (default_de) enthalten und in fast allen internationalen wordpress.org Versionen. Wer also seine Version zB bei de.wordpress.org gezogen hat ist davon auch betroffen.

Wen betrifft es?
Das Problem betrifft alle Blogs die das lokalisierte Standardtheme Kubrick aktiviert haben, darunter fällt die DE-Edition und alle Versionen der WP.org-Länderseiten, also zB de.wordpress.org, fr.wordpress.org, etc.

Die Lösung:
Sofern ihr die DE-Edition benutzt (betroffen sind alle DE-Editionen zwischen 2.5 und 2.6.3) folgende Datei runterladen

—> sidebar_fix.zip

und mit der betroffenen austauschen:

wp-content/themes/default_de/sidebar.php

Solltet ihr die deutsche Version von de.wordpress.org installiert haben den Fix runterladen und folgende Datei austauschen:

wp-content/themes/default/sidebar.php

In der DE-Edition 2.6.3 wurde das Problem um 17:00 behoben, seit diesem Zeitpunkt ist der Fix enthalten, wenn ihr die DE-Edition oder nur das Upgradepaket vorher runtergeladen habt, spielt bitte den genannten Fix ein.

Die Ursache:
WordPress.org bietet das Default-Theme Kubrick in zwei Versionen an: die englischsprachige und die internationalisierbare, welche mit Hilfe einer Sprachdatei (kubrick.mo) übersetzt werden kann. Das hier beschriebene Sicherheitsleck wurde bereits vor über einem Jahr von WordPress.org im englischsprachigen Theme gefixt, die internationalisierte Version wurde dabei schlicht und einfach vergessen.

Wir haben das Problem mit Automattic besprochen, worauf sie es auch bestätigten. Die Autoren der jeweiligen offiziellen Länderseiten werden ihre Downloads anpassen.

Eben kam die Meldung, dass es eine neues Sicherheitsrelease für WordPress gibt. Geändert wurden 2 Dateien:

• wp-includes/class-snoopy.php
• wp-includes/version.php

Die Sicherheitslücke wurde in der Bibliothek Snoopy gefunden. Diese Library wird im Bereich des Dashboard genutzt um externe Inhalte zu nutzen.

Ein Update wird dringend empfohlen, da die Sicherheitslücke Zugriffe auf den RootServer zulässt.

Die geänderte deutschsprachige Version, sowie ein Upgradepaket kann hier heruntergeladen werden:

→ Download WordPress 2.6.3 DE-Edition
→ Upgradepaket für 2.6.2 auf 2.6.3

Die offizielle englischsprachige Version 2.6.3 kann im Downloadbereich runtergeladen werden.

Nachtrag:
Ein weiteres schwerwiegendes Sicherheitsleck ist aufgetaucht und wurde soeben gefixt. Der Fehler wurde bereits in das oben verlinkte Upgradepaket und die DE-Edition integriert. Siehe Sicherheitsproblem mit dem default-Theme für weitere Informationen.