Was für ein Monat in WordPress! Ich weiß: ich schreibe das ziemlich oft. Aber in letzter Zeit überschlagen sich die Ereignisse irgendwie. In diesem Newsletter lesen Sie, welche „Aufreger“ es im letzten Monat gab. Und die sind ganz schön spannend! Vorerst aber eine kleine Lobhudelei an mich selbst:
Happy Birthday an den Newsletter
Will man es glauben? Im April wird mein WordPress Newsletters vier Jahre alt! Happy Birthday!
Antworten Sie auf diese E-Mail (ja das geht!) und schreiben Sie mir, was Ihnen bisher am besten gefallen hat (und was nicht).
Total genial, was in den letzten vier Jahren so alles passiert ist. Seit ungefähr dieser Zeit bin ich mit meiner Frau als Nomade unterwegs (sie schreibt und spricht darüber). Im Bild rechts sehen Sie mich in einer Kirche in Portugal. In diesem wunderschönen Land befinden wir uns gerade. Ab nächster Woche dann in Lissabon beim Co-Worken (wieder mal) und eventuell zum WordCamp Lisbon. Sind Sie auch da?
Ich weiß noch als ich ganz am Anfang des Newsletters stand. Ich fragte mich selbst: „Was soll ich denn da Monat für Monat schreiben?“. Kurz nach dem Start hat sich die Frage allerdings schnell relativiert. Es gibt immer was Neues, denn die Zeit steht nicht still. Genauso wenig wie das WordPress-Projekt insgesamt. Unser beliebtestes CMS ist eben WordPress. Punkt. Mehr als 1/3 aller Websites nutzen es. Da ist es nur logisch, dass es Menschen gibt, die nicht so ganz mit der Richtung einverstanden sind. Aber lesen Sie weiter…
Die Aufreger des Monats
#1: Eigenwerbung in der Plugin-Suche
Wie suchen und finden Sie ein neues Plugin? Wohl entweder über Google oder direkt im Plugin-Verzeichnis von WordPress. Es reicht, wenn Sie auf Ihrer WordPress-Seite eingeloggt sind und im Menü unter „Plugins“ ein Suchwort eingeben.
Was aber, wenn die dortigen Suchergebnisse verfälscht sind? Eines der bekanntesten Plugins, nämlich Jetpack, hat das mal versucht. Mit bestimmten Suchbegriffen kam das Jetpack-Plugin an erster Stelle. Je nachdem, ob es es ein Feature anbietet oder nicht.
Darf so etwas sein? Die Community ist nicht „blöd“ und hat mit harschen Kommentaren reagiert. Woraufhin Jetpack diese Funktion wieder entfernt hat. Auch WooCommerce hatte solche Pläne, die sie jetzt wieder verworfen haben.
Zur Erinnerung: WooCommerce und Jetpack sind beides Plugins von Automattic. Dem einzigen Unternehmen, welches die Namensrechte für „WordPress“ hat.
Schön ist, dass die Community versucht einen schöneren Weg zu finden. Wie diesen hier. Vorgeschlagen von Joost. In einem Mockup werden Plugins, die bereits installiert sind und ein entsprechendes Feature bereits integriert haben, kleiner und außerhalb der Suchtreffer dargestellt. So finde ich das ganz okay. Und Sie?
#2: Entwicklung außerhalb von WordPress
Nächster Aufreger: Carl Hancock hatte den neuen Marketingleiter von WordPress (Joost de Valk) gefragt, warum er sich nicht um Dinge wie ein gescheites Notification-Management in WordPress kümmere. Daraufhin war seine Antwort, dass ein Team von Bluehost an einem solchen Feature bereits arbeite. Leider wurde der Twitter-Thread schon wieder gelöscht.
Nicht falsch verstehen: ich finde es gut, dass große Unternehmen wie Bluehost und Automattic Mitarbeiter für die Entwicklung von WordPress bereitstellen. Anders würde es sicherlich auch nicht funktionieren. Fraglich ist, warum Features außerhalb von WordPress entwickelt werden und warum es dann keine Diskussion dazu gibt. Das sollte in einem Open Source Projekt nicht passieren. Was denken Sie?
#3: Wenn Blogger das Nachsehen haben
Und noch ein Aufreger der es in sich hat: Pipdig, ein Plugin- und Theme-Entwickler aus der UK, hat in einem seiner Plugins namens „Pipdig Power Pack“ alias P3 eine Art Hintertür integriert. Diese ermöglichte es den Autoren die komplette Datenbank einer WordPress-Installation zu löschen (ein so genannter „Kill-Switch“).
Darüber hinaus war ein Cronjob (das ist ein Prozess, der sich zu einer bestimmten Zeit automatisch wiederholt) so programmiert worden, dass er die Webseite eines Konkurrenten aufruft. Immer und immer wieder. Dies kommt einem kleinen DDoS-Angrif sehr nahe. Mit einem DDoS möchte man versuchen, durch viele Anfragen eine Seite lahm zu legen. Und jeder, der dieses Plugin installiert hatte, hat sozusagen dabei mitgeholfen.
Aber nicht nur das! P3 deaktiviert einfach Plugins von Drittherstellern ohne Kenntnis der Nutzer, ersetzt Inhalte von Blog-Postings und setzt Passwörter ohne Nachfragen zurück.
Aufgedeckt hatte dieses Verhalten zuerst Wordfence, ein Unternehmen, welches sich auf WordPress-Sicherheit spezialisiert hat. Das Unternehmen konfrontierte Pipdig mit dem Code, aber der Entwickler streitete in einem Blogpost das Meiste davon ab. Von dreisten Lügen war bei Twitter zu lesen. Und vermutlich hatten die Tweets recht, denn der Code spricht nunmal für sich. Er ist öffentlich einsehbar. Auch wenn der Autor das Meiste davon mittlerweile gelöscht hat (was nicht gerade für ihn spricht).
Interessant ist aber was da nebenher noch passiert. Obwohl unwiderlegbar Schadcode im Plugin nachgewiesen wurde, bleiben viele der Kunden von Pipdig dem Unternehmen treu. Will man das glauben?
Die meisten Nutzer (aka „Blogger“) haben leider keine Ahnung von Code. Und das wusste Pipdig natürlich genau. Plugins und Themes haben mittlerweile so viel Code, dass es selbst für einen Entwickler schwierig ist, alles genau nachzuvollziehen. Hinweise kommen meist – so wie auch im vorliegenden Fall – von den Nutzern selbst.
Wie würden Sie sich da verhalten?
WordPress News
Am Gutenberg-Editor wird weiter fleißig gewerkelt:
- Ab Version 5.3 gibt es nun einen Block-Manager der es erlaubt, Blöcke auszuschließen (en). Version 5.3 wird in Version 5.2 von WordPress integriert sein.
- Version 5.4 kann nun den Inhalt von Spalten vertikal ausrichten.
- In Version 5.5 kam der Gruppen-Block (zuvor: Section-Block) hinzu.
Mel Choice hat die Usability-Test-Resultate für den Gutenberg Menü-Block präsentiert (en).
Das Gutenberg-Team sucht nach Testern die dabei helfen sollen zu erkennen, wie WordPress-Nutzer am besten neue Blöcke installieren und einbinden können (en).
Es ist kein Geheimnis, dass der neue Gutenberg-Editor auch von anderen CMS wie Drupal eingesetzt wird. Auf dem WordCamp Nordic hat Frontkom die GutenbergCloud vorgestellt. Sie soll es Entwicklern erlauben, Blöcke nicht nur für WordPress, sondern für alle CMS die Gutenberg nutzen, zur Verfügung zu stellen.
WordPress wird ab Version 5.2 offizielle keine PHP Versionen kleiner als 5.6 mehr unterstützen (en).
Matthias Kurz gab auf dem WordCamp Osnabrück eine Präsentation über die Absicherung von WordPress mit 2-Faktor-Authentifizierung (Video, dt). Natürlich stehen auch alle anderen Vorträge schon zum Anschauen bereit.
Nach dem WordCamp Nordic will Asien es jetzt auch angreifen: Vielleicht sehen wir 2020 ein WordCamp Asia (en).
Matt Mullenweg (Mitgründer von WordPress) wird auch dieses Jahr wieder auf dem WordCamp Europe sprechen (en). Die Zeitplanung für alle Präsentationen steht ebenfalls schon.
WordPress Jobs
Inpsyde sucht einen PHP-Entwickler – Remote Office
Sie suchen auch einen Job oder einen Auftrag als Entwickler? Dann schauen Sie mal bei codepiraten.io vorbei.
WordPress Sicherheit
Heiß im vergangen Monat: das P3-Plugin von Pipdig. Keine direkte Sicherheitslücke, aber trotzdem fatal (siehe oben).
Die Betreiber von pluginvulnerabilities.com legen Sicherheitslücken von WordPress offen, die derzeit noch keine Updates erhalten haben. Grund ist das „anhaltende und unangemessene Verhalten der Foren-Moderatoren von wordpress.org“ zitiert WP-Tavern (en). Die Kommentare mit Sicherheitshinweisen werden von den Moderatoren wohl rigoros gelöscht.
Yet Another Stars Rating hat in Version <= 1.8.6 eine PHP Object Injection Lücke.
WP Fastest Cache hat in Version <= 0.8.9.0 eine Unauthenticated Arbitrary File Deletion Lücke.
Die Autoren des Social Warfare Plugins haben vor einer Sicherheitslücke in ihrem Plugin gewarnt, die angeblich bereits ausgenutzt wird (en). Die Nutzer sollten auf Version 3.5.3 oder höher updaten.
Blog2Social hat in Version <= 5.0.2 eine Authenticated Cross-Site Scripting (XSS) Lücke.
WordPress selbst hat in Version 3.9 bis 5.1 eine Comment Cross-Site Scripting (XSS) Lücke (en).
W3 Total Cache hat in Version 0.9.2.6 bis 0.9.3 eine Unauthenticated Arbitrary File Read Lücke (en).
Das Yuzo Related Posts Plugin hat eine Sicherheitslücke, die wohl aktiv ausgenutzt wird (en). Ein Update gibt es derzeit nicht. Das Plugin steht im WordPress-Verzeichnis derzeit nicht mehr zum Download bereit.
Weitere WordPress News
Automattic hat HappyTools vorgestellt. Eine Art Toolset für verteilte Teams (en). Das erste verfügbare Tool darin ist HappySchedule.
Die Webhoster gehen weiter weiter Shoppen: GoDaddy hat ThemeBeans, CoBlocks, Block Gallery, und Block Unit Tests akquiriert (en).
Das war’s! In diesem Sinny: Happy WordPressing und bis zum nächsten Mal!
Ihr Dipl. Ing. (FH) Florian Simeth