Antworten Sie auf diese E-Mail (ja das geht!) und schreiben Sie mir, was Ihnen bisher am besten gefallen hat (und was nicht).<\/p>\n\n\n\n
![\"Flo](\"http:\/\/revue.local\/wp-content\/uploads\/2019\/04\/flo-portugal-kirche-225x300.jpg\")
<\/figure><\/div>\n\n\n\nTotal genial, was in den letzten vier Jahren so alles passiert ist. Seit ungef\u00e4hr dieser Zeit bin ich mit meiner Frau als Nomade unterwegs (sie schreibt<\/a> und spricht dar\u00fcber<\/a>). Im Bild rechts sehen Sie mich in einer Kirche in Portugal. In diesem wundersch\u00f6nen Land befinden wir uns gerade. Ab n\u00e4chster Woche dann in Lissabon beim Co-Worken (wieder mal) und eventuell zum WordCamp Lisbon<\/a>. Sind Sie auch da?<\/p>\n\n\n\n Ich wei\u00df noch als ich ganz am Anfang des Newsletters stand. Ich fragte mich selbst: „Was soll ich denn da Monat f\u00fcr Monat schreiben?“<\/em>. Kurz nach dem Start hat sich die Frage allerdings schnell relativiert. Es gibt immer was Neues, denn die Zeit steht nicht still. Genauso wenig wie das WordPress-Projekt insgesamt. Unser beliebtestes CMS ist eben WordPress. Punkt. Mehr als 1\/3 aller Websites nutzen es. Da ist es nur logisch, dass es Menschen gibt, die nicht so ganz mit der Richtung einverstanden sind. Aber lesen Sie weiter…<\/p>\n\n\n\n Wie suchen und finden Sie ein neues Plugin? Wohl entweder \u00fcber Google oder direkt im Plugin-Verzeichnis von WordPress. Es reicht, wenn Sie auf Ihrer WordPress-Seite eingeloggt sind und im Men\u00fc unter „Plugins“ ein Suchwort eingeben.<\/p>\n\n\n\n Was aber, wenn die dortigen Suchergebnisse verf\u00e4lscht sind? Eines der bekanntesten Plugins, n\u00e4mlich Jetpack, hat das mal versucht. Mit bestimmten Suchbegriffen kam das Jetpack-Plugin an erster Stelle. Je nachdem, ob es es ein Feature anbietet oder nicht.<\/p>\n\n\n\n Darf so etwas sein? Die Community ist nicht „bl\u00f6d“ und hat mit harschen Kommentaren reagiert.<\/a> Woraufhin Jetpack diese Funktion wieder entfernt hat. Auch WooCommerce hatte solche Pl\u00e4ne, die sie jetzt wieder verworfen haben.<\/p>\n\n\n\n Zur Erinnerung: WooCommerce und Jetpack sind beides Plugins von Automattic. Dem einzigen Unternehmen, welches die Namensrechte f\u00fcr „WordPress“ hat.<\/p>\n\n\n\n Sch\u00f6n ist, dass die Community versucht einen sch\u00f6neren Weg zu finden. Wie diesen hier<\/a>. Vorgeschlagen von Joost. In einem Mockup<\/a> werden Plugins, die bereits installiert sind und ein entsprechendes Feature bereits integriert haben, kleiner und au\u00dferhalb der Suchtreffer dargestellt. So finde ich das ganz okay. Und Sie?<\/p>\n\n\n\n N\u00e4chster Aufreger: Carl Hancock hatte den neuen Marketingleiter von WordPress (Joost de Valk) gefragt, warum er sich nicht um Dinge wie ein gescheites Notification-Management in WordPress k\u00fcmmere. Daraufhin war seine Antwort, dass ein Team von Bluehost an einem solchen Feature bereits arbeite. Leider wurde der Twitter-Thread schon wieder gel\u00f6scht.<\/a><\/p>\n\n\n\n Nicht falsch verstehen: ich finde es gut, dass gro\u00dfe Unternehmen wie Bluehost und Automattic Mitarbeiter f\u00fcr die Entwicklung von WordPress bereitstellen. Anders w\u00fcrde es sicherlich auch nicht funktionieren. Fraglich ist, warum Features au\u00dferhalb von WordPress entwickelt werden und warum es dann keine Diskussion dazu gibt. Das sollte in einem Open Source Projekt nicht passieren. Was denken Sie?<\/p>\n\n\n\n Und noch ein Aufreger der es in sich hat: Pipdig, ein Plugin- und Theme-Entwickler aus der UK, hat in einem seiner Plugins namens „Pipdig Power Pack“ alias P3 eine Art Hintert\u00fcr integriert. Diese erm\u00f6glichte es den Autoren die komplette Datenbank einer WordPress-Installation zu l\u00f6schen (ein so genannter „Kill-Switch“).<\/p>\n\n\n\n Dar\u00fcber hinaus war ein Cronjob (das ist ein Prozess, der sich zu einer bestimmten Zeit automatisch wiederholt) so programmiert worden, dass er die Webseite eines Konkurrenten aufruft. Immer und immer wieder. Dies kommt einem kleinen DDoS-Angrif sehr nahe. Mit einem DDoS m\u00f6chte man versuchen, durch viele Anfragen eine Seite lahm zu legen. Und jeder, der dieses Plugin installiert hatte, hat sozusagen dabei mitgeholfen.<\/p>\n\n\n\n Aber nicht nur das! P3 deaktiviert einfach Plugins von Drittherstellern ohne Kenntnis der Nutzer, ersetzt Inhalte von Blog-Postings und setzt Passw\u00f6rter ohne Nachfragen zur\u00fcck.<\/p>\n\n\n\n Aufgedeckt hatte dieses Verhalten zuerst Wordfence,<\/a> ein Unternehmen, welches sich auf WordPress-Sicherheit spezialisiert hat. Das Unternehmen konfrontierte Pipdig mit dem Code, aber der Entwickler streitete in einem Blogpost das Meiste davon ab. Von dreisten L\u00fcgen war bei Twitter zu lesen. Und vermutlich hatten die Tweets recht, denn der Code spricht nunmal f\u00fcr sich. Er ist \u00f6ffentlich einsehbar. Auch wenn der Autor das Meiste davon mittlerweile gel\u00f6scht hat (was nicht gerade f\u00fcr ihn spricht).<\/p>\n\n\n\n Interessant ist aber was da nebenher noch passiert. Obwohl unwiderlegbar Schadcode im Plugin nachgewiesen wurde, bleiben viele der Kunden von Pipdig dem Unternehmen treu. Will man das glauben?<\/p>\n\n\n\n Die meisten Nutzer (aka „Blogger“) haben leider keine Ahnung von Code. Und das wusste Pipdig nat\u00fcrlich genau. Plugins und Themes haben mittlerweile so viel Code, dass es selbst f\u00fcr einen Entwickler schwierig ist, alles genau nachzuvollziehen. Hinweise kommen meist – so wie auch im vorliegenden Fall – von den Nutzern selbst.<\/p>\n\n\n\n Wie w\u00fcrden Sie sich da verhalten?<\/p>\n\n\n\n Am Gutenberg-Editor wird weiter flei\u00dfig gewerkelt:<\/p>\n\n\n\n Mel Choice hat die Usability-Test-Resultate f\u00fcr den Gutenberg Men\u00fc-Block <\/a>pr\u00e4sentiert (en).<\/p>\n\n\n\n Das Gutenberg-Team sucht nach Testern<\/a> die dabei helfen sollen zu erkennen, wie WordPress-Nutzer am besten neue Bl\u00f6cke installieren und einbinden k\u00f6nnen (en).<\/p>\n\n\n\n Es ist kein Geheimnis, dass der neue Gutenberg-Editor auch von anderen CMS wie Drupal eingesetzt wird. Auf dem WordCamp Nordic hat Frontkom die GutenbergCloud<\/a> vorgestellt<\/a>. Sie soll es Entwicklern erlauben, Bl\u00f6cke nicht nur f\u00fcr WordPress, sondern f\u00fcr alle CMS die Gutenberg nutzen, zur Verf\u00fcgung zu stellen.<\/p>\n\n\n\n WordPress wird ab Version 5.2 offizielle keine PHP Versionen kleiner als 5.6 mehr unterst\u00fctzen<\/a> (en).<\/p>\n\n\n\n Matthias Kurz gab auf dem WordCamp Osnabr\u00fcck eine Pr\u00e4sentation \u00fcber die Absicherung von WordPress mit 2-Faktor-Authentifizierung<\/a> (Video, dt). Nat\u00fcrlich stehen auch alle anderen Vortr\u00e4ge schon zum Anschauen<\/a> bereit.<\/p>\n\n\n\n Nach dem WordCamp Nordic will Asien es jetzt auch angreifen: Vielleicht sehen wir 2020 ein WordCamp Asia<\/a> (en).<\/p>\n\n\n\n Matt Mullenweg (Mitgr\u00fcnder von WordPress) wird auch dieses Jahr wieder auf dem WordCamp Europe sprechen<\/a> (en). Die Zeitplanung f\u00fcr alle Pr\u00e4sentationen<\/a> steht ebenfalls schon.<\/p>\n\n\n\n Inpsyde sucht einen PHP-Entwickler – Remote Office<\/a><\/p>\n\n\n\n Sie suchen auch einen Job oder einen Auftrag als Entwickler? Dann schauen Sie mal bei codepiraten.io<\/a> vorbei.<\/p>\n\n\n\n Hei\u00df im vergangen Monat: das P3-Plugin von Pipdig. Keine direkte Sicherheitsl\u00fccke, aber trotzdem fatal (siehe oben<\/a>).<\/p>\n\n\n\n Die Betreiber von pluginvulnerabilities.com legen Sicherheitsl\u00fccken von WordPress offen, die derzeit noch keine Updates erhalten haben. Grund ist das „anhaltende und unangemessene Verhalten der Foren-Moderatoren von wordpress.org“ zitiert WP-Tavern<\/a> (en). Die Kommentare mit Sicherheitshinweisen werden von den Moderatoren wohl rigoros gel\u00f6scht.<\/p>\n\n\n\n Yet Another Stars Rating hat in Version <= 1.8.6 eine PHP Object Injection L\u00fccke.<\/a><\/p>\n\n\n\n WP Fastest Cache hat in Version <= 0.8.9.0 eine Unauthenticated Arbitrary File Deletion L\u00fccke.<\/a><\/p>\n\n\n\n Die Autoren des Social Warfare Plugins haben vor einer Sicherheitsl\u00fccke in ihrem Plugin gewarnt<\/a>, die angeblich bereits ausgenutzt wird (en). Die Nutzer sollten auf Version 3.5.3 oder h\u00f6her updaten.<\/p>\n\n\n\n Blog2Social hat in Version <= 5.0.2 eine Authenticated Cross-Site Scripting (XSS) L\u00fccke.<\/a><\/p>\n\n\n\n WordPress selbst hat in Version 3.9 bis 5.1 eine Comment Cross-Site Scripting (XSS) L\u00fccke<\/a> (en).<\/p>\n\n\n\n W3 Total Cache hat in Version 0.9.2.6 bis 0.9.3 eine Unauthenticated Arbitrary File Read L\u00fccke (en).<\/a><\/p>\n\n\n\n Das Yuzo Related Posts Plugin hat eine Sicherheitsl\u00fccke, die wohl aktiv ausgenutzt wird<\/a> (en). Ein Update gibt es derzeit nicht. Das Plugin steht im WordPress-Verzeichnis derzeit nicht mehr zum Download bereit.<\/p>\n\n\n\n Automattic hat HappyTools vorgestellt.<\/a> Eine Art Toolset f\u00fcr verteilte Teams (en). Das erste verf\u00fcgbare Tool darin ist HappySchedule<\/a>.<\/p>\n\n\n\nDie Aufreger des Monats<\/h2>\n\n\n\n
#1: Eigenwerbung in der Plugin-Suche<\/h3>\n\n\n\n
#2: Entwicklung au\u00dferhalb von WordPress<\/h3>\n\n\n\n
#3: Wenn Blogger das Nachsehen haben<\/h3>\n\n\n\n
WordPress News<\/h2>\n\n\n\n
\n\n\n\n
\n\n\n\n
\n\n\n\n
\n\n\n\n
\n\n\n\n
\n\n\n\n
\n\n\n\nWordPress Jobs<\/h2>\n\n\n\n
\n\n\n\nWordPress Sicherheit<\/h2>\n\n\n\n
\n\n\n\n
\n\n\n\n
\n\n\n\n
\n\n\n\n
\n\n\n\n
\n\n\n\n
\n\n\n\n
\n\n\n\nWeitere WordPress News<\/h2>\n\n\n\n
\n\n\n\n