In einer von mir betreuten WP-Installation hatte ich das Problem das der Updater nicht verfügbar war im Menu.
Bei einem Klick auf die Update-Meldung landete ich auf einer Fehlerseite mit dem Text Du hast nicht ausreichend Rechte, um auf diese Seite zuzugreifen.
Selbiges Verhalten auch beim automatischen installieren von Plugins.

Die Suche bei den üblichen Anlaufstellen (WordPress-Deutschland und Google) brachten mich nicht sonderlich weiter, und auch ein komplettes Löschen der Dateien mit anschliessendem neu hochladen brachte keine Lösung.

Letzendlich bin ich doch auf eine Lösung im Forum von wordpress.org gestossen.
In der Datenbanktabelle _options den Eintrag db_version auf 8204 gesetzt, im Blog neu angemeltet und das darauffolgende Datenbankupgrade durchgeführt.
Danach war die Welt in Ordnung und ich konnte das Update auf WordPress 2.8.1 mittels Autoupdater durchführen.
Aber Achtung:
Die db_version muss wirklich auf 8204 gesetzt werden. Ich hatte zuerst einfach einmal 10000 genommen, es musste auch ein Upgrade gemacht werden, aber schaffte keine Abhilfe.

[Topic @WordPress-Support]

Derzeit existiert wiedermal eine Cross Site Scripting (XSS) Lücke in WordPress.
Betroffen sind jedoch nur Versionen die kleiner oder gleich WP 2.6.3 sind (Aktuell ist WP2.7). Zusätzlich müsste das Blog auf einem Apache Webserver laufen und nicht als virtuelle Domain, bzw. betrifft es bei virtuellen Domains nur den default VHost. (LINK)

Zugegeben, mit den Einschränkungen des Webservers und den VHosts sinkt die Anzahle der möglichereweise betroffenen Installationen imens, trotzdem möchte ich darauf hinweisen das man sein WordPress immer schön aktuell halten sollte!

[Via Blogsecurity.net]

Hatte ich gestern noch geschrieben das die neue Version von WordPress bald kommt, ist sie heute schon da.
Das Release kam nun für mich doch überraschend und schnell. Ich bin davon ausgegangen das man wenigstens ein paar Tage zwischen RC2 und der finalen Version verstreichen lässt. Aber sowas hatten wir bei WordPress ja schon öfters.

Nichts desto trotz rennt hier auf www.discobeats.de nun endlich WordPress 2.7
Ein HQ-Video über die neue Version kann man sich im Blog von wordpress.org anschauen (link).

Das einzige meiner Plugins welches anscheinend nicht kompatibel zu 2.7 ist, ist das SimpleTags-Plugin welches aber durchaus kompatibel wird wenn man im Code eine Zeile erweitert:

OPEN FILE simple-tags.php AND FOUND ROW CONTAIN
if ( strpos($wp_version, ’2.5′) !== false || strpos($wp_version, ’2.6′) !== false )
{
ADD SOME TO THIS ROW AS SHOWN BELOW
if ( strpos($wp_version, ’2.5′) !== false || strpos($wp_version, ’2.6′) !== false ||
strpos($wp_version, ’2.7′) !== false ) {

SimpleTags@Google-Code

Funktioniert wunderbar, und vermutlich wird zeitnah auch ein Update des Plugins erfolgen. Ich sollte mir mal vornehmen die Standard-Tagging-Funktionen von WP zu nutzen, bzw. im Theme umzubauen.

Ich wünsche allen viel Spass beim Updaten auf WP 2.7, aber bitte vorher alle Daten sichern und die Datenbank sichern!
Gerade bei einem “Major Release” ist dieses dringend ratsam!
Auch ich werde im laufe des Tages alle von mir betreuten Blogs und Projekte auf 2.7 anheben.

*Update*
Auch das Plugin WP-Sticky sollte vor dem Update deaktiviert werden. WordPress hat diese Funktion nun teilweise auch im Bauch, vermutlich kommt es deswegen zu “differenzen”.

Heute wurde der zweite Release Candiate von WordPress 2.7 veröffentlicht. Der letzte vor der finalen Version.
Ich persönlich freue ich schon riesig auf den final Release, nicht aber auf die Updateorgie , die neuen Features und die neue Optik gefallen mir richtig gut.
Eins meiner Projekte läuft schon einige Wochen mit 2.7 und ich bin rundum zufrieden. Herrlich, einfach aus WordPress herraus Plugins zu installieren, mit einem Klick ein Upgrade anzuschmeissen etc…

Heute Morgen erstrahlt im WordPress-Backend die wunderhübsche Meldung das die Version 2.6.3 verfügbar ist.
Laut WordPress-Blog ist wohl eine Sicherheitslücke in den Snoopy-Libraries aufgetaucht was zu einer kurzfristigen Reaktion seitens WordPress geführt hat.

Es gibt eine aktualisierte Komplettversion von 2.6.3 oder aber auch nur die gefixte Snoopy-Library und die Versionsdatei im WP-Blog.

Allen von mir betreuten Blogs habe dann mal schnell die beiden Dateien verpasst.

Die Version 2.6.2 von WordPress kam in meinen Augen recht überraschend heute Nacht, nicht mal ein Monat nach 2.6.1.
Die Kurzfristigkeit liegt wohl in einer Sicherheitslücke in der PHP-Funktion mt_rand() und einer SQL-Sicherheitslücke.
Diese Lücken sind aber in WP nur ausnutzbar wenn man die öffentliche Registrierung erlaubt, sprich andere User im Blog angemeldet herumwuseln.
Auch wenn dem nicht der Fall ist rate ich jedoch zu einem Update, Sicherheitslücken in Webanwendungen können sehr schnell unschön werden.

Diese Lücken betreffen aber nicht nur WordPress. Nicht das wieder die Stimmen laut werden das WordPress ein einziges Sicherheitsrisiko wäre. mt_rand() ist eine PHP-Funktion die in vielen Anwendungen benutzt wird.

Weitere Infos und eine Liste der Bugfixes die auch gleich mit gefixed wurden gibts wie immer im WordPress-Blog.

Heute Nacht ist die Version 2.6.1 veröffentlicht worden, so quasi ganz überraschend.
Man will seinem Motto treu bleiben und die Maintenancereleases möglichst schnell nach dem Release der eigentlichen Version raushauen.
Und es handelt sich nicht um ein Sicherheitsupdate, die Rede ist lediglich von über 60 Bugfixen, ergo sollte man ein Update durchführen, aber nicht in Hetze verfallen.

Ich werde jetzt mal alle Projekte updaten und bin gespannt was sich ändert

Good morning so far

Ich weiss nicht ob es an mir liegt oder ob es ein generelles Problem ist. Ich behaupte von mir das ich technisch nicht gerade unbegabt bin, zwar kein Coding-Gott o.Ä., aber auch kein DAU, aber irgendwie suche ich immer Dinge die da sein sollen, finde sie aber nicht.

Wenn ich mir die Liste der neuen Features in WP2.6 anschaue sind dort wirklich interessante Sachen drin, aber ich finde die meisten nicht.

• Google Gears – Habe ich gefunden, versteckt sich hinter dem Link “Turbo” oben rechts im Backend.
  Grundsätlich finde ich die Bezeichnung dafür falsch und die Platzierung neben den Links zu den FAQ und dem Forum lässt mich auch nicht gerade dort danach suchen. Sowas gehört in die Settings / Einstellungen
• SSL-Support fürs Backend – Ich habe mich mal ein wenig umgeschaut, die Doku bei WordPress ist mager, bzw. bei codex.wordpress.org finde ich nichts bezüglich SSL in 2.6. Via Thorsten erhielt ich den Link zu Ryan Boren der das mal Dokumentiert hat.
• You can toggle between the Flash uploader and the classic one – Schön, genau das brauche ich gerade für eine Installation. Nur wo ist der “toggle”? In den Settings finde ich nichts und die Suche im Codes bringt mir nur Ergebnisse zu Plugins für 2.5 oder Code-Hacks, aber keinen “toggle”.
• Customizable default avatars – Scheint auch sehr gut versteckt zu sein wie man das im Theme einbaut. Die Konfiguration ist ausnahmsweise in den Settings zu finden Trotzdem finde ich keinen Hinweis wie dies im Theme einzubinden ist, nur wieder zu altem, sprich mit Pfad zum default Gravatar….

Diese Liste liesse sich bestimmt noch weiter fortsetzen, aber ich mag jetzt nimmer.

Aber es ist schön das ich damit nicht alleine dastehe, Thorsten geht es genauso, wie wir gerade sehr nett erörtern konnten.

Roundabout eine Woche nach dem angestrebten Datum ist nun die Version 2.6 von WordPress verfügbar.

Das Update hat sich mal wieder gänzlich einfach gestaltet, sprich wp-admin und wp-includes löschen und anschliessend die neuen Dateien von WP2.6 hochladen, die upgrade.php im wp-admin öffnen und bestätigen.
Backup ist für Warmduscher Nee, Spass! Natürlich sollte man diese Dateien und die Datenbank vorher sichern!

Tyner verspricht einiges an Neuerungen, einige fallen sofort auf, wie z.B. die Bubbelblase am Pluginreiter, die Plugins werden jetzt sortiert nach aktiv und inaktiv, der Wortzähler, etc …
Manche Neuerungen suche ich jedoch noch, wie z.B. die Möglichkeit das Backend via SSL laufen zu lassen, oder wie ich den Imageuploader wahlweise auf normal oder Flash umschalte oder die Bildunterschrifen nutzen kann. Verutlich für einige Dinge noch änderungen am Theme/CSS nötig. Auf die Schnelle habe ich auch nicht wirklich brauchbares im Codex gefunden, wie man z.B. die neuen generierten MonsterIDs einbaut.
Mit anderen Worten, Augen auf die nächsten Tage.

Happy Updating!

Nächsten Monat ist es soweit, die nächste WordPress-Version 2.6 aka Crazy Horse steht in den Startlöchern.
Diesmal gibt es nicht nur jede Menge Neuerungen unter der Haube sondern auch nutzbare Features:

• In meinen Augen eines der wichtigsten Neuerungen, das Backend lässt sich wahlweise SSL-Verschlüsseln. Dies ist eine Sache die mich immer in offenen WLans gestört hat. Gerade wenn es zu “Massenansammlungen” wie z.B. einem Barcamp kam, wurde gerne mal ein Sniffer im WLan mitlaufen gelassen….
• Die am meisten genutzte Schwachstelle, die XMLRPC-Schnittstelle, wird standardmässig nicht aktiviert sein. Guter Ansatz, leider ist jedoch gerade diese Schnittstelle für alle Remotetools (z.b. Offline- / Desktopblogclients) massgeblich. Wenn mich nicht alles täuscht laufen Trackbacks / Pingbacks auch über diese Schnittstelle.
• Das eigentliche Crazy Horse wird das neue, ja schon wieder, expirimentelle Backend sein. Derzeit ist geplant das ganze optional zu lassen, spich der User kann auswählen ob er mit dem alten Neuen oder dem ganz Neuen arbeiten will. Anschauen kann man sich das ganze auf WP2.6-Demo bei Talkpress
  • Username: demo
  • Passwort: demo
• Nicht gerade uninteressant für Multi-User-Blogs, die Beitrage erhalten jetzt endlich eine Versionsverwaltung, sprich verschiedene Versionen eines Beitrags können verglichen werden. Nähere Infos gibt es hier.
• Auch die Desingabteilung, Themeverwaltung bekommt einen neuen Anstrich.
  Es wird nichtmehr nur ein Screenshot dargestellt, die Themes werden in einer Box mit aktuellen Inhalten aus dem Blog geladen und können getestet werden.
• Und in Sachen Performance wartet mit einem besonderen Hammer auf, WP 2.6 wird Google-Gears unterstützen um die Performance extrem zu steigern. Talkpress hat ein paar Benchmarktests dazu gemacht.
  Diese Neuerung lässt mich zwischen den Stühlen sitzen. Einerseits ist solch ein Performanceschub göttlich, andereseits hat er auch einen faden Beigeschmack.
  Man muss sich Google-Gears in den Browser installieren und die meisten Scripte des Backends werden dann lokal und nicht mehr auf dem Server ausgeführt.
  Ich mag mir aber irgendwie keine Google-Andwendungen auf meinem Rechner installieren.
  Aber das Feature ist Gott sei dank optional und bissher konnte ich mit der jetzigen Performance im Backend wunderbar leben.
• Auch wird die Nutzung von Gravatar dahingehend erweitert das man auch Identicons, MonsterIDs oder Wavatars für die Besucher ohne Gravatar erstellen kann. Das macht dann die ganzen Kommentarbereich etwas “bunter”

Und was sagt uns das Ganze? Freuen wir uns auf eine Updateorgie nächsten Monat und hoffen wir das alles klappt

Weiterführende Links:
Bueltge
Web-Manual
Typo3 trifft WordPress

Vor dem Update zu WP 2.5.1 war die Rede von einem Exploit welches aber nicht näher beschrieben wurde.
Nun, nach dem 2.5.1er Release kommt Licht ins Dunkle: Durch Modifikation des Cookies können normale User sich Adminrechte im Blog erschleichen.

This vulnerability exists because it is possible to modify
authentication cookies without invalidating the cryptographic
integrity protection.

If a WordPress blog is configured to freely permit account creation,
a remote attacker can gain WordPress-administrator access and then
elevate this to arbitrary code execution as the web server user.

Dieser Exploit wurde in 2.5.1 gefixed und deswegen ist jedem anzuraten schnellst möglich das Update zu machen, oder zumindest die User-Registrierung zu deaktivieren.
Der Sinn von registrierten Benutzern, es sei den es sind wirklich Autoren, hat sich mir eh noch nie erschlossen.

Dieser Exploit ist ein Anderer als der bezüglich des secret keys welcher mich direkt auch mal wieder zum Suchen gebracht hat, dieser Eintrag war in meiner wp-config.php nämlich pauschal mal garnicht vorhanden, nichtmal mit dem Standard “secret-key”.

Ich frage nochmal, Automattic …. was macht ihr????

[Via Blogsecurity]

Nachdem ich gestern Abend schon mitbekommen habe das WordPress nun als Version 2.5.1 released wurde habe ich eben in einem gewagten Powerupdate die Version hier angehoben. Kein Backup, keine Plugins deaktivert …. einfach draufgepumpt. (Natürlich habe ich ein Backup, von heute Nacht)

Hat wunderbar geklappt.
Die Änderungen liegen wohl eher unter der Haupe und betreffen Performance und Securityfixes. Nähere Infos spare ich mir, die gibt es hier

Ich habe auf das Release gewartet da ja eigentlich vor dem 2.5er noch jede Menge Tickets im Trac offen waren aber trotzdem urplötzlich das Release erschien.

Ich bin aber weiterhin der Meinung das Automattic langsam anfängt WordPress mit ihrer komischen, teilweise übereilten, “Roadmap” zu versaubeuteln.
Bestes Beispiel:

Nichtnur das der Updatemonitor das Update nicht angezeigt hat, nu zeigt er an das ein Update fällig wäre ….
Ich finde die sollten mal was langsamer und besonnener an die Sache rangehen.

Nicht nur das ich mich sehr über die “Möchtegern-unausgereifte-Imagefunktion” in WordPress 2.5 ärgere, ich finde den Löschen-Button im Editor nicht mehr. Früher war der unterm Editor irgendwo und ich konnte einen Beitrag ganz easy, nach feststellen das er Müll ist, direkt löschen. Nun scheint man mühseeling über Verwalten gehen zu müssen …
Auch fehlt mir der Button “Zwischenspeichern” um mir eine Vorschau anzusehen. Der scheint durch “Speichern” ersetzt worden zu sein. Irgendwie doof, wenn man gewohnt ist das nach einem Klick auf Speichern der Beitrag gespeichert und geschlossen wird und man den nächsten Vorbereiten kann.

Wie war das noch gleich? Früher war alles besser?

Ganz so wie Christoph habe ich einfach mal auf die aktuelle WordPress Version 2.5 geupdated.

Eigentlich wollte ich ja noch warten, vorallem weil mich die Entwicklung von 2.5 eher garnicht interessiert hat und ich auch garnicht so wirklich weiss was es neues gibt.
Nunja es gibt ein hässliches gewöhnungsbedürftiges neues Admin-Backend. Finde ich bisher absolut garnicht toll. Ich würde sogar sagen das ist ein grosser Griff ins Klo!

Aber es scheint alles zu funktionieren. Denke ich zumindest.

ABER: Bitte vor dem Update alle Plugins deaktivieren, Backup der Dateien anlegen und ein Backup der Datenbank. Kann ja immer was in die Hose gehen, gelle

So, ich geh jetzt das herrliche Wetter ausnutzen. Schönen Sonntag noch

So wie es aussieht wird das äusserst beliebte Statistikplugin Semmelstatz nicht mehr weiterentwickelt.
Dort wo einst das Kopfhoch-Studio war ist nun nur noch eine “statische” Seite mit einem mehr oder minder unverständlichem Text.
Dort entnehme ich das Semmel im Code des Blogs einen Timer eingebaut hat um das Blog zu schliessen? Sehe ich das richtig?
Einfach mal lesen: http://www.kopfhoch-studio.de/index.php?navi=blog

Ich hoffe nicht das Semmelstatz sterben wird, weil ich hab das Plugin doch soooo lieb!

[Via Zessi]

Dank des deutschen Upgradepakets von WP-DE habe ich alle von mir betreuten Blogs auf 2.3.2 aktualisiert.

Das Update ist ein Bugfix- und Security-Release, jedoch sind die Bugs und die Securityfixes nicht ganz so fatal wie manch andere Updates. Trotzdem sollte man es einspielen, durch das Upgradepaket ist das ja auch nicht viel arbeit, stimmts Christoph?

Danke wie immer an die Entwickler und das WP-DE-Team für die Mühe

UND GUTEN RUTSCH EUCH ALLEN!

Es lohnt sich, bzw. man sollte es alleine aus sicherheitstechnischen Gründen, alle paar Tage mal die benutzten Plugins in WordPress durchzusehen ob diese nicht in einer neueren Version vorliegen. Es sind zwar nicht immer Sicherheitslücken, oft aber interessante Neuerungen.

Bei mir waren heute:

• Akismet V. 2.1.2
• ©Feed
• Exec-PHP
• Google (XML) Sitemaps Generator
• Popularity Contest
• Simple Tags
• Subscribe to Comments
• WordPress Database Backup
• WP Gallery Remote
  Das Plugin erzeugt aber leider nur weisse Seiten. Ich habs erstmal deaktiviert.

Wie man sieht können das ganz schön schnell viele Plugins werden wenn man es schleifen lässt. Aber der mittlerweile eingebauten Updatebenachrichtigung ist es nur noch halb so viel arbeit.
Ergo. ich sollte mich öfters drum kümmern.

Kann es sein das Akismet (Anti-Spam Plugin für WordPress) nicht mehr richtig funktioniert?
In den letzten Tagen häufen sich derbster Spam, das was Akismet eigentlich immer zu 100% bei mir herrausgefischt hat, in der Moderationsschleife.
Alleine heute 12 Stück in relation zu 73 erkannten Spamkommentaren / Trackbacks oO
Wie ihr seht steht das Blog mal wieder unter “Beschuss” und ich denke ich werde bald wieder Massnahmen dagegen ergreifen.

Geht es sonst noch wem so das Akismet im Moment Spam nicht 100% abfängt?
Oder haben die Spammer einen Weg gefunden Akismet auszutricksen?

Redunzl hat heute Nacht die Version 3.0 seines beliebten Statistikplugins für WordPress released, wie er so schön um Footer der Statistikseite eingebaut hat: Statistikfetisch für WordPress

Mit Version 3.0 kommen einige Neuerungen:

• Facelifting der Statistikseite. Schaut nun leicht zwonullig aus, muss aber imho noch ein wenig verbessert werden.
• Die Tagesliste wurde durch eine History mit Balkendiagrammen ersetzt. Dafür wird eine zweite Tabelle erstellt/herangezogen in welcher dann nur die Anzahl der Besucher, Hits und Referrer gespeichert werden. Somit kann die eigentliche Semmelstatztabelle öfter geleert werden.
• IP-Adressen werden im Backend nicht mehr direkt dargestellt. Stattdessen hat Redunzl nun 2 Whoisabfragen (Arin für Amiland und Ripe für EU) plus ein Geowhois (utrace) eingebaut. Finde ich persönlich nicht so toll, anhand der angezeigten IPs habe ich immer recht leicht erkennen können obs ein User ist oder doch eher ein Bot oder mehrere die gesperrt gehören im Endeffekt. Aber der Klick auf utrace macht auf jeden Fall Laune
• Zusätzlich werden nun die Blogstatistiken im Backend angezeigt, sprich Grösse der Datenbanktabellen etc. So lassen sich recht leicht Speicherfresser anzeigen, wie in meinem Fall die ewig nimmer geleerte Semmelstatztabelle. Ja ich weiss Semmelstatz kann das automatisch, nutze ich aber nicht.

Wie immer sage ich DANKE für mein Lieblingsplugin!

Also, auf auf und updaten >>> Semmelstatz 3.0

Achja, es gilt wie immer die txt zu lesen und zu befolgen, sprich Plugin deaktivieren, löschen (Es werden keine Statztabellen gelöscht, nur das Plugin aus dem Pluginordner), neu hochladen, aktivieren …… steht aber alles in der txt und auf der Seite.

Im genialen Plugin ©Feed von Frank Bueltge hat sich leider ein kleiner Bug eingeschlichen welcher die Performance im Backend von WordPress ziemlich in den Keller zieht.

Das Plugin überprüft diverse Dienste nach der Feed-ID. Einer der Dienste scheint derzeit nicht zu antworten.
Frank hat das Problem recht schnell behoben und dieses überprüfen nun als Option implementiert.

Bei wems noch lahmt, einfach mal schauen ob ©Feed aktiv ist, wenn ja, fix auf die aktuelle Version updaten.

[Via Boje]