In einer von mir betreuten WP-Installation hatte ich das Problem das der Updater nicht verfügbar war im Menu.
Bei einem Klick auf die Update-Meldung landete ich auf einer Fehlerseite mit dem Text Du hast nicht ausreichend Rechte, um auf diese Seite zuzugreifen.
Selbiges Verhalten auch beim automatischen installieren von Plugins.

Die Suche bei den üblichen Anlaufstellen (WordPress-Deutschland und Google) brachten mich nicht sonderlich weiter, und auch ein komplettes Löschen der Dateien mit anschliessendem neu hochladen brachte keine Lösung.

Letzendlich bin ich doch auf eine Lösung im Forum von wordpress.org gestossen.
In der Datenbanktabelle _options den Eintrag db_version auf 8204 gesetzt, im Blog neu angemeltet und das darauffolgende Datenbankupgrade durchgeführt.
Danach war die Welt in Ordnung und ich konnte das Update auf WordPress 2.8.1 mittels Autoupdater durchführen.
Aber Achtung:
Die db_version muss wirklich auf 8204 gesetzt werden. Ich hatte zuerst einfach einmal 10000 genommen, es musste auch ein Upgrade gemacht werden, aber schaffte keine Abhilfe.

[Topic @WordPress-Support]

Derzeit existiert wiedermal eine Cross Site Scripting (XSS) Lücke in WordPress.
Betroffen sind jedoch nur Versionen die kleiner oder gleich WP 2.6.3 sind (Aktuell ist WP2.7). Zusätzlich müsste das Blog auf einem Apache Webserver laufen und nicht als virtuelle Domain, bzw. betrifft es bei virtuellen Domains nur den default VHost. (LINK)

Zugegeben, mit den Einschränkungen des Webservers und den VHosts sinkt die Anzahle der möglichereweise betroffenen Installationen imens, trotzdem möchte ich darauf hinweisen das man sein WordPress immer schön aktuell halten sollte!

[Via Blogsecurity.net]

Hatte ich gestern noch geschrieben das die neue Version von WordPress bald kommt, ist sie heute schon da.
Das Release kam nun für mich doch überraschend und schnell. Ich bin davon ausgegangen das man wenigstens ein paar Tage zwischen RC2 und der finalen Version verstreichen lässt. Aber sowas hatten wir bei WordPress ja schon öfters.

Nichts desto trotz rennt hier auf www.discobeats.de nun endlich WordPress 2.7
Ein HQ-Video über die neue Version kann man sich im Blog von wordpress.org anschauen (link).

Das einzige meiner Plugins welches anscheinend nicht kompatibel zu 2.7 ist, ist das SimpleTags-Plugin welches aber durchaus kompatibel wird wenn man im Code eine Zeile erweitert:

OPEN FILE simple-tags.php AND FOUND ROW CONTAIN
if ( strpos($wp_version, ’2.5′) !== false || strpos($wp_version, ’2.6′) !== false )
{
ADD SOME TO THIS ROW AS SHOWN BELOW
if ( strpos($wp_version, ’2.5′) !== false || strpos($wp_version, ’2.6′) !== false ||
strpos($wp_version, ’2.7′) !== false ) {

SimpleTags@Google-Code

Funktioniert wunderbar, und vermutlich wird zeitnah auch ein Update des Plugins erfolgen. Ich sollte mir mal vornehmen die Standard-Tagging-Funktionen von WP zu nutzen, bzw. im Theme umzubauen.

Ich wünsche allen viel Spass beim Updaten auf WP 2.7, aber bitte vorher alle Daten sichern und die Datenbank sichern!
Gerade bei einem “Major Release” ist dieses dringend ratsam!
Auch ich werde im laufe des Tages alle von mir betreuten Blogs und Projekte auf 2.7 anheben.

*Update*
Auch das Plugin WP-Sticky sollte vor dem Update deaktiviert werden. WordPress hat diese Funktion nun teilweise auch im Bauch, vermutlich kommt es deswegen zu “differenzen”.

Heute wurde der zweite Release Candiate von WordPress 2.7 veröffentlicht. Der letzte vor der finalen Version.
Ich persönlich freue ich schon riesig auf den final Release, nicht aber auf die Updateorgie , die neuen Features und die neue Optik gefallen mir richtig gut.
Eins meiner Projekte läuft schon einige Wochen mit 2.7 und ich bin rundum zufrieden. Herrlich, einfach aus WordPress herraus Plugins zu installieren, mit einem Klick ein Upgrade anzuschmeissen etc…

Gott was gehen mir diese SEO-Spam-Kommentare auf den Zeiger!
Keyword als Name, URL auf irgendeine passende Unterseite und als Kommentare banaler Nonsense.

Und wenn dann noch so Knaller dabei sind die SEO im Keywordnamen haben und auch unpassenden Nonsense posten, dann frage ich mich echt wie kann sich sowas SEO schimpfen, vorallem auch noch im Sinne von Luxus.

Ich bin aber oft auch hin und hergerissen den Namen zu ändern und den Link mit dontfollow auszustatten, oder ganz einfach den Kommentar in Akismet zu schieben, dann bekommen die Helden hoffentlich bald ihre Quittung.

Wie handhabt ihr das?

Heute Morgen erstrahlt im WordPress-Backend die wunderhübsche Meldung das die Version 2.6.3 verfügbar ist.
Laut WordPress-Blog ist wohl eine Sicherheitslücke in den Snoopy-Libraries aufgetaucht was zu einer kurzfristigen Reaktion seitens WordPress geführt hat.

Es gibt eine aktualisierte Komplettversion von 2.6.3 oder aber auch nur die gefixte Snoopy-Library und die Versionsdatei im WP-Blog.

Allen von mir betreuten Blogs habe dann mal schnell die beiden Dateien verpasst.

Als ich gerade nochmal im Spam nachgeschaut habe und mich erstmal gewundert habe das dort nur 5 Einträge waren musste ich fast schon lachen bei diesem hier:

Ich mein über den Kommentar hätte ich mich echt gefreut, schaut ja gut aus.
Normalerweise sind bei den Kommentatoren, die lustiger weise von ihren Eltern ein Keyword als Name bekommen haben, die Kommentare eher sinnfrei.

Aber hey, ich als Kunde würde mich echt freuen einen solchen Profi zu engagieren.

Die Version 2.6.2 von WordPress kam in meinen Augen recht überraschend heute Nacht, nicht mal ein Monat nach 2.6.1.
Die Kurzfristigkeit liegt wohl in einer Sicherheitslücke in der PHP-Funktion mt_rand() und einer SQL-Sicherheitslücke.
Diese Lücken sind aber in WP nur ausnutzbar wenn man die öffentliche Registrierung erlaubt, sprich andere User im Blog angemeldet herumwuseln.
Auch wenn dem nicht der Fall ist rate ich jedoch zu einem Update, Sicherheitslücken in Webanwendungen können sehr schnell unschön werden.

Diese Lücken betreffen aber nicht nur WordPress. Nicht das wieder die Stimmen laut werden das WordPress ein einziges Sicherheitsrisiko wäre. mt_rand() ist eine PHP-Funktion die in vielen Anwendungen benutzt wird.

Weitere Infos und eine Liste der Bugfixes die auch gleich mit gefixed wurden gibts wie immer im WordPress-Blog.

Heute Nacht ist die Version 2.6.1 veröffentlicht worden, so quasi ganz überraschend.
Man will seinem Motto treu bleiben und die Maintenancereleases möglichst schnell nach dem Release der eigentlichen Version raushauen.
Und es handelt sich nicht um ein Sicherheitsupdate, die Rede ist lediglich von über 60 Bugfixen, ergo sollte man ein Update durchführen, aber nicht in Hetze verfallen.

Ich werde jetzt mal alle Projekte updaten und bin gespannt was sich ändert

Good morning so far

Ich weiss nicht ob es an mir liegt oder ob es ein generelles Problem ist. Ich behaupte von mir das ich technisch nicht gerade unbegabt bin, zwar kein Coding-Gott o.Ä., aber auch kein DAU, aber irgendwie suche ich immer Dinge die da sein sollen, finde sie aber nicht.

Wenn ich mir die Liste der neuen Features in WP2.6 anschaue sind dort wirklich interessante Sachen drin, aber ich finde die meisten nicht.

• Google Gears – Habe ich gefunden, versteckt sich hinter dem Link “Turbo” oben rechts im Backend.
  Grundsätlich finde ich die Bezeichnung dafür falsch und die Platzierung neben den Links zu den FAQ und dem Forum lässt mich auch nicht gerade dort danach suchen. Sowas gehört in die Settings / Einstellungen
• SSL-Support fürs Backend – Ich habe mich mal ein wenig umgeschaut, die Doku bei WordPress ist mager, bzw. bei codex.wordpress.org finde ich nichts bezüglich SSL in 2.6. Via Thorsten erhielt ich den Link zu Ryan Boren der das mal Dokumentiert hat.
• You can toggle between the Flash uploader and the classic one – Schön, genau das brauche ich gerade für eine Installation. Nur wo ist der “toggle”? In den Settings finde ich nichts und die Suche im Codes bringt mir nur Ergebnisse zu Plugins für 2.5 oder Code-Hacks, aber keinen “toggle”.
• Customizable default avatars – Scheint auch sehr gut versteckt zu sein wie man das im Theme einbaut. Die Konfiguration ist ausnahmsweise in den Settings zu finden Trotzdem finde ich keinen Hinweis wie dies im Theme einzubinden ist, nur wieder zu altem, sprich mit Pfad zum default Gravatar….

Diese Liste liesse sich bestimmt noch weiter fortsetzen, aber ich mag jetzt nimmer.

Aber es ist schön das ich damit nicht alleine dastehe, Thorsten geht es genauso, wie wir gerade sehr nett erörtern konnten.

Roundabout eine Woche nach dem angestrebten Datum ist nun die Version 2.6 von WordPress verfügbar.

Das Update hat sich mal wieder gänzlich einfach gestaltet, sprich wp-admin und wp-includes löschen und anschliessend die neuen Dateien von WP2.6 hochladen, die upgrade.php im wp-admin öffnen und bestätigen.
Backup ist für Warmduscher Nee, Spass! Natürlich sollte man diese Dateien und die Datenbank vorher sichern!

Tyner verspricht einiges an Neuerungen, einige fallen sofort auf, wie z.B. die Bubbelblase am Pluginreiter, die Plugins werden jetzt sortiert nach aktiv und inaktiv, der Wortzähler, etc …
Manche Neuerungen suche ich jedoch noch, wie z.B. die Möglichkeit das Backend via SSL laufen zu lassen, oder wie ich den Imageuploader wahlweise auf normal oder Flash umschalte oder die Bildunterschrifen nutzen kann. Verutlich für einige Dinge noch änderungen am Theme/CSS nötig. Auf die Schnelle habe ich auch nicht wirklich brauchbares im Codex gefunden, wie man z.B. die neuen generierten MonsterIDs einbaut.
Mit anderen Worten, Augen auf die nächsten Tage.

Happy Updating!

Nächsten Monat ist es soweit, die nächste WordPress-Version 2.6 aka Crazy Horse steht in den Startlöchern.
Diesmal gibt es nicht nur jede Menge Neuerungen unter der Haube sondern auch nutzbare Features:

• In meinen Augen eines der wichtigsten Neuerungen, das Backend lässt sich wahlweise SSL-Verschlüsseln. Dies ist eine Sache die mich immer in offenen WLans gestört hat. Gerade wenn es zu “Massenansammlungen” wie z.B. einem Barcamp kam, wurde gerne mal ein Sniffer im WLan mitlaufen gelassen….
• Die am meisten genutzte Schwachstelle, die XMLRPC-Schnittstelle, wird standardmässig nicht aktiviert sein. Guter Ansatz, leider ist jedoch gerade diese Schnittstelle für alle Remotetools (z.b. Offline- / Desktopblogclients) massgeblich. Wenn mich nicht alles täuscht laufen Trackbacks / Pingbacks auch über diese Schnittstelle.
• Das eigentliche Crazy Horse wird das neue, ja schon wieder, expirimentelle Backend sein. Derzeit ist geplant das ganze optional zu lassen, spich der User kann auswählen ob er mit dem alten Neuen oder dem ganz Neuen arbeiten will. Anschauen kann man sich das ganze auf WP2.6-Demo bei Talkpress
  • Username: demo
  • Passwort: demo
• Nicht gerade uninteressant für Multi-User-Blogs, die Beitrage erhalten jetzt endlich eine Versionsverwaltung, sprich verschiedene Versionen eines Beitrags können verglichen werden. Nähere Infos gibt es hier.
• Auch die Desingabteilung, Themeverwaltung bekommt einen neuen Anstrich.
  Es wird nichtmehr nur ein Screenshot dargestellt, die Themes werden in einer Box mit aktuellen Inhalten aus dem Blog geladen und können getestet werden.
• Und in Sachen Performance wartet mit einem besonderen Hammer auf, WP 2.6 wird Google-Gears unterstützen um die Performance extrem zu steigern. Talkpress hat ein paar Benchmarktests dazu gemacht.
  Diese Neuerung lässt mich zwischen den Stühlen sitzen. Einerseits ist solch ein Performanceschub göttlich, andereseits hat er auch einen faden Beigeschmack.
  Man muss sich Google-Gears in den Browser installieren und die meisten Scripte des Backends werden dann lokal und nicht mehr auf dem Server ausgeführt.
  Ich mag mir aber irgendwie keine Google-Andwendungen auf meinem Rechner installieren.
  Aber das Feature ist Gott sei dank optional und bissher konnte ich mit der jetzigen Performance im Backend wunderbar leben.
• Auch wird die Nutzung von Gravatar dahingehend erweitert das man auch Identicons, MonsterIDs oder Wavatars für die Besucher ohne Gravatar erstellen kann. Das macht dann die ganzen Kommentarbereich etwas “bunter”

Und was sagt uns das Ganze? Freuen wir uns auf eine Updateorgie nächsten Monat und hoffen wir das alles klappt

Weiterführende Links:
Bueltge
Web-Manual
Typo3 trifft WordPress

Seit einigen Tagen stagnieren hier die Besucherzahlen.
Zuerst habe ich das schulterzuckend hingenommen, aber da die Besucherzahlen nun doch arg gesunken sind habe ich mich doch mal auf die Suche gemacht.

Die Schuldigen, ja es sind/waren zwei, waren schnell gefunden.
Zum einen haben ich die .htaccess, bzw. den ganzen Ordner meiner alten Bloglocation vor ein paar Tagen gelöscht und somit auch den Redirect. Eigentlich bin davon ausgegangen das Google das nun in den letzten 2 Jahren gefressen haben sollte … anscheinend nicht.

Schuldiger Nummer 2 ist ein nettes Plugin was nie funktioniert hat. WordPress Crawl Rate Plugin welches das Verhalten von Crawlbots aufzeichen und visualisieren soll. Wurde vor einiger Zeit in diversen Blogs erwähnt.
Ich habe es dann auch mal installiert, bekam aber nur eine weisse Seite. Lag vermutlich an meiner beschissenen PHP-Version. Aber auch da schon hätte ich das Plugin direkt löschen sollen, ich hatte nämlich bei Blogstorm angefragt woran es liegen würde und wurde mit einem “I can’t help you” abgespeisst.
Mittlerweile habe ich aber eine aktuelle PHP-Version und das Plugin direkt mal aktiviert.
Ergebnisse hat mir das Plugin zwar nicht geliefert, aber es wurde angezeigt. In der Hoffnung das bald ein Update kommte habe ichs einfach aktiv gelassen.
Grosser Fehler, denn mittlerweile werden meine “Keywords” in Google nur noch mit Table 'u0006d1_wordpress.wp_sbtracking' doesn't exist angezeigt und dementsprechen verschwinde ich langsam aus dem Ranking, bzw. klickt niemand mehr.
Durch einwenig forschen habe ich dann die Warung von Blogstorm gefunden, leider etwas zu spät. Wer das Plugin vor WP 2.5 installiert hat, der hat keine Probleme weil die Tabelle dann angelegt ist. Ich habs aber erst nach WP 2.5 aktiviert weil es noch im Pluginsordner lag. Mit anderen Worten ich habe den Hinweis nicht lesen können.

Nach einem “kurzen” Telefonat mit meinem LieblingsSEO sind wir zu dem Schluss gekommen nichts zu unternehmen und abzuwarten. Wird schon wieder kommen.

Wiedermal etwas an Lebenserfahrung gewonnen *lach*

Vor dem Update zu WP 2.5.1 war die Rede von einem Exploit welches aber nicht näher beschrieben wurde.
Nun, nach dem 2.5.1er Release kommt Licht ins Dunkle: Durch Modifikation des Cookies können normale User sich Adminrechte im Blog erschleichen.

This vulnerability exists because it is possible to modify
authentication cookies without invalidating the cryptographic
integrity protection.

If a WordPress blog is configured to freely permit account creation,
a remote attacker can gain WordPress-administrator access and then
elevate this to arbitrary code execution as the web server user.

Dieser Exploit wurde in 2.5.1 gefixed und deswegen ist jedem anzuraten schnellst möglich das Update zu machen, oder zumindest die User-Registrierung zu deaktivieren.
Der Sinn von registrierten Benutzern, es sei den es sind wirklich Autoren, hat sich mir eh noch nie erschlossen.

Dieser Exploit ist ein Anderer als der bezüglich des secret keys welcher mich direkt auch mal wieder zum Suchen gebracht hat, dieser Eintrag war in meiner wp-config.php nämlich pauschal mal garnicht vorhanden, nichtmal mit dem Standard “secret-key”.

Ich frage nochmal, Automattic …. was macht ihr????

[Via Blogsecurity]

Nachdem ich gestern Abend schon mitbekommen habe das WordPress nun als Version 2.5.1 released wurde habe ich eben in einem gewagten Powerupdate die Version hier angehoben. Kein Backup, keine Plugins deaktivert …. einfach draufgepumpt. (Natürlich habe ich ein Backup, von heute Nacht)

Hat wunderbar geklappt.
Die Änderungen liegen wohl eher unter der Haupe und betreffen Performance und Securityfixes. Nähere Infos spare ich mir, die gibt es hier

Ich habe auf das Release gewartet da ja eigentlich vor dem 2.5er noch jede Menge Tickets im Trac offen waren aber trotzdem urplötzlich das Release erschien.

Ich bin aber weiterhin der Meinung das Automattic langsam anfängt WordPress mit ihrer komischen, teilweise übereilten, “Roadmap” zu versaubeuteln.
Bestes Beispiel:

Nichtnur das der Updatemonitor das Update nicht angezeigt hat, nu zeigt er an das ein Update fällig wäre ….
Ich finde die sollten mal was langsamer und besonnener an die Sache rangehen.

Redunzl hat Wort gehalten und eine Version für WordPress 2.5 veröffentlicht.
Durch die neuen Cookies in WP 2.5 konnte das weltbeste Statistikplugin nicht mehr richtig zählen.
Auch um den Datenschutzbestimmungen nachzukommen hat Redunzl das Feature eingebaut das IP-Adressen nicht mehr im Klartext in die Datenbank geschrieben werden (optional).

So what? Updaten!

Nicht nur das ich mich sehr über die “Möchtegern-unausgereifte-Imagefunktion” in WordPress 2.5 ärgere, ich finde den Löschen-Button im Editor nicht mehr. Früher war der unterm Editor irgendwo und ich konnte einen Beitrag ganz easy, nach feststellen das er Müll ist, direkt löschen. Nun scheint man mühseeling über Verwalten gehen zu müssen …
Auch fehlt mir der Button “Zwischenspeichern” um mir eine Vorschau anzusehen. Der scheint durch “Speichern” ersetzt worden zu sein. Irgendwie doof, wenn man gewohnt ist das nach einem Klick auf Speichern der Beitrag gespeichert und geschlossen wird und man den nächsten Vorbereiten kann.

Wie war das noch gleich? Früher war alles besser?

Ganz so wie Christoph habe ich einfach mal auf die aktuelle WordPress Version 2.5 geupdated.

Eigentlich wollte ich ja noch warten, vorallem weil mich die Entwicklung von 2.5 eher garnicht interessiert hat und ich auch garnicht so wirklich weiss was es neues gibt.
Nunja es gibt ein hässliches gewöhnungsbedürftiges neues Admin-Backend. Finde ich bisher absolut garnicht toll. Ich würde sogar sagen das ist ein grosser Griff ins Klo!

Aber es scheint alles zu funktionieren. Denke ich zumindest.

ABER: Bitte vor dem Update alle Plugins deaktivieren, Backup der Dateien anlegen und ein Backup der Datenbank. Kann ja immer was in die Hose gehen, gelle

So, ich geh jetzt das herrliche Wetter ausnutzen. Schönen Sonntag noch

/me freut sich gerade wie ein Schneekönig, ich habe meinen PR 4 von Google wiederbekommen.

Ich bin mal gespannt ob das Traffictechnisch irgendwelche _spürbaren_ Auswirkungen hat.

So, ich geh dann mal wieder bisserl an meinem Lolli lutschen

So wie es aussieht wird das äusserst beliebte Statistikplugin Semmelstatz nicht mehr weiterentwickelt.
Dort wo einst das Kopfhoch-Studio war ist nun nur noch eine “statische” Seite mit einem mehr oder minder unverständlichem Text.
Dort entnehme ich das Semmel im Code des Blogs einen Timer eingebaut hat um das Blog zu schliessen? Sehe ich das richtig?
Einfach mal lesen: http://www.kopfhoch-studio.de/index.php?navi=blog

Ich hoffe nicht das Semmelstatz sterben wird, weil ich hab das Plugin doch soooo lieb!

[Via Zessi]