WordPress 2.8.3 enthält schwere Sicherheitslücke

In der aktuellen WordPress Version 2.8.3 kann ein Angreifer eine Schwachstelle ausnutzen, um den Admin auszusperren. Hierbei wird ein Fehler im Mechanismus für das Zurücksetzen des Passworts ausgenutzt. Bis ein Patch verfügbar ist, kann man die Lücke wie folgt schließen:

Öffnet in einem Editor die Datei wp-login.php in eurer aktuellen WordPress Installation. Springt zur Zeile 190 und ersetzt die Zeile

if  ( empty( $key ) )

durch

if  ( empty( $key ) || is_array( $key ) )

So sieht also der neue Codeblock aus:

if ( empty( $key ) || is_array( $key ) )
return new WP_Error(‚invalid_key‘, __(‚Invalid key‘));

if ( empty( $key ) || is_array( $key ) )

return new WP_Error(‚invalid_key‘, __(‚Invalid key‘));

Sollte man euch bereits ausgesperrt haben, so empfiehlt WordPress die Verwendung eines Notfallscripts, mit dem ihr euren Zugang wieder freischalten könnt. Hierfür müsst ihr per SSH auf euren Webspace zugreifen können.
Links:

Blog Feed nun über Feedburner abonnieren

Endlich habe ich es geschafft die Feeds meines Blogs per Feedburner zu sammeln. So sollte es für interessierte Leser leichter sein, den Feed im gewohnten RSS Reader zu abonnieren. Die neue Feedadresse ist http://feeds.feedburner.com/sciforce und kann auch über den RSS-Button in der rechten Spalte aufgerufen werden.

Links:

Howto Korrektur der WordPress Mobile Edition Installation

Wie im letzten Beitrag erwähnt, verwende ich das Plugin „WordPress Mobile Edition“ für die mobile Version meines Blogs. Bei der Installation über die automatische Plugin Installation von WordPress 2.8+, zeigt die Plugin Konfigurationsseite einen Fehler an, der nicht näher spezifiziert wird. Er besagt lediglich, dass die Installation nicht korrekt durchgeführt wurde. Nach kurzer Recherche konnte ich das Problem einkreisen und ich habe es in meinem Fall wie folgt gelöst:

  • Auf den Webspace zugreifen per FTP,FTPS oder SSH und in den Ordner wechseln, der die WordPress Installation beinhaltet. Dort springt man in das Verzeichnis wp-content/plugins/wordpress-mobile-edition/
  • In diesem Ordner existierte ein weiterer Ordner namens „carrington-mobile-1.0.2“, welcher eigentlich in den Ordner für die Themes gehört und für die Darstellung der mobilen Version zuständig ist.
  • Also wurde dieser Ordner verschoben nach wp-content/themes/ und der Fehler, den das Plugin erzeugte war verschwunden.
  • Hier noch ein Beispielbefehl für das Verschieben des Ordners in einem Linux-SSH-Terminal-Fenster, man befindet sich bereits in wp-content/plugins/wordpress-mobile-edition/
    • mv carrington-mobile-1.0.2 ../../themes/
  • Man beachte, dass der Benutzer Rechte zum Verschieben von Objekten auf dem Webserver haben muss

Ich hoffe dieses kurze Howto ist von Nutzen und wenn jemand Ergänzungen oder Sonstiges zu diesem Beitrag hat, nutzt die Kommentarfunktion und lasst es mich wissen.

Wie immer bei Howto’s: Anwendung erfolgt auf eigene Gefahr

Mobile Version meines Blogs jetzt verfügbar

Wer auch unterwegs einen Blick auf meinen Blog werfen möchte, der wird auf mobilen Endgeräten nun automatisch auf eine Mobilversion umgeleitet. Um die Darstellung optimal auf das Endgerät abzustimmen, verwende ich hierfür zwei Plugins:

WPtouch ist das Plugin meiner Wahl für die Darstellung auf dem iPhone und dem iPod touch. Es sieht aus wie iCal und hat mich auf Anhieb überzeugt. Hier mal ein paar Screenshots:

Alle weiteren mobilen Endgeräte werden von dem Plugin WordPress Mobile Edition bedient. Wichtig ist hierbei, dass in den Plugin Einstellungen das iPhone und der iPod ausgenommen werden, so dass WPtouch für die Darstellung auf diesen beiden Geräten auch greift.

Der Geschwindigkeitsvorteil bei der Verwendung dieser beiden Plugins ist schon extrem und so sollte auf mobilen Endgeräten, auch bei Geschwindigkeiten die unter 3G liegen, eine flotte Darstellung möglich sein.

WICHTIG!!!
Bei der Installation von WordPress Mobile Edition über die automatische Plugin Installation von WordPress 2.8+ gibt es ein Problem, das ich in meinem nächsten Blogeintrag näher erläutere.

Links:

WordPress Blog von englisch auf deutsch umstellen

Mein Blog lief nun seit einiger Zeit mit der englischen WordPress Version. Da ich nun sowohl den Blog, als auch die Artikel in deutsch weiterführen will, machte ich mich heute an die Umstellung. Hier also die notwendigen Schritte:

  • Herunterladen des deutschen WordPress Paketes.
  • Auf dem Webserver im WordPress Ordner alles löschen was zu WordPress gehört, bis auf wp-config.php (beinhaltet die Serverkonfiguration) und den Ordner wp-content (beinhaltet z.B. die Themes und Plugins) WICHTIG: Hier vorsichtig sein und vorher Backups machen!
  • Den Inhalt des deutschen WordPress Paketes auf den Webserver übertragen (z.B. per SSH-Client)
  • Sollte noch nicht die neueste WordPress Installation vorhanden gewesen sein, müsst ihr noch folgende Seite aufrufen um die Datenbank auf den neuesten Stand zu bringen: http://www.deineBlogURL.de/wp-admin/upgrade.php
  • Um nun die deutschen Sprachdateien nutzen zu können, müsst Ihr die Datei wp-config.php im Root Ordner eurer WordPress Installation editieren (z.B. mit vi wenn Ihr SSH-Zugang habt). Die Zeile die mit define beginnt müsst Ihr um den Namen des deutschen Sprachpaketes ergänzen, welches Ihr unter  /wp-content/languages/ findet. In meinem Fall lautet dies de_DE. In der Konfigurationsdatei sieht das dann wie folgt aus:
    WordPress Konfiguration DE
  • Anschließend waren nur noch die Namen der Seiten und Kategorien anzupassen.

Update:
Für die Umstellung wurde WordPress in der Version 2.8 verwendet.

Links