Skip to content

Sicherheitsloch in WordPress gestopft 2.6.5

WordPress Deutschland riet heute dringend dazu auf die aktuelle Version 2.6.5 umzustellen. Ja, und wieder, klar Sicherheitsupdates sind gut, die Geschwindigkeit der deutschen Entwickler wie gewohnt ebenfalls, aber eben schon wieder eine neue Version. Ich dachte bis zur 2.7 mit vielen Änderungen sei jetzt wenigstens Ruhe, nun gut... Angenehm wie schon die letzten paarmal, dass es zumindest bei den von mir betreuten Blogs auf Anhieb problemlos klappte. Trotzdem heißt es jedesmal:
  • vorher nochmal ganz aktuell alles sichern
  • mindestens ein Blog erstmal lokal testen
  • dann eins nach dem anderen hochspielen
  • wieder testen...

Praktisches WordPress

Wenn nicht manches so schnell und praktisch zu lösen wäre, wie heute endlich mal die letzten Kommentare auch hierhref="http://miradlo.net/bloggt/index.php?37-s"">ganz aktuell alles sichern
  • mindestens ein Blog erstmal lokal testen
  • dann eins nach dem anderen hochspielen
  • wieder testen...
  • Praktisches WordPress

    Wenn nicht manches so schnell und praktisch zu lösen wäre, wie heute endlich mal die letzten Kommentare auch hier anzeigen lassen, dann...
    • würde ich...
    • könnte ich...
    • oder so.
    Mal sehen, aber dieser Rhythmus, den mag ich jetzt allmählich nicht mehr. Wenn ein System nahezu jeden Monat ein Update braucht, dann passt es so langsam nicht mehr...

    WordPress und Plugins : nicht immer problemlos...

    Ich bin ja schon immer sehr vorsichtig, was Plugins angeht. So praktisch es einerseits ist, dass es nahezu jedes Feature als Plugin gibt, so schwierig kann andererseits die Fehlersuche werden, wenn mal was nicht klappt. Bei Prinzzess gab es kürzlich ein Problem, als die Seiten zwar am Anfang brav:

    <meta name="robots" content="index,follow" />

    auslieferten, jedoch weiter unten im Header das Ganze überschrieben wurde:

    <meta name="robots" content="noindex,nofollow" />

    Damit wären die Seiten relativ bald nicht mehr von Suchmaschinen indiziert worden. Wer jedoch gefunden werden möchte, sollte das natürlich vermeiden. Entdeckt hat es zufällig Michael, vielen bekannt von greensmilies, der jedoch auch noch das Blog niedermeyer betreibt. Mir fiel direkt der Beitrag auf, weil sich Prinzzess fragte, ob ihr Blog wohl gehackt wurde. Ein erster Blick in Quelltext schien kein Problem zu zeigen, denn da war ja ein index, follow. Doch bei genauerem Suchen, sah ich dann, dass es überschrieben wurde.

    WordPress Seitenaufbau

    Nach einigen Installationen, Versuchen, Themes erstellen usw. habe ich gelernt, dass WordPress im Grunde sehr einfach aufgebaut ist. Der Hauptteil, der vom Theme kommt steht meist am Anfang, dann kommen die jeweiligen Einschübe der Plugins, da die sich ja nur an fest definierten Stellen anhängen können. Die Zeile mit noindex, nofollow, stand im Quelltext direkt nach der Einbindung des Stylesheets des Hangman-Plugins, erst kurz danach folgten weitere Einschübe anderer Plugins. Bei Prinzzess liefen zu diesem Zeitpunkt immerhin 61 Plugins, deshalb ist der Quelltext nicht ganz trivial zu lesen. Michael bekam von ihr Zugang und konnte schließlich bestätigen, dass es tatsächlich an dem Plugin lag. Nach einer Überarbeitung konnte es wieder aktiviert werden und verhindert nun nicht mehr, dass die Seiten indiziert werden.

    Plugins vorsichtig nutzen

    Für mich war dieser Vorfall ein weiterer Hinweis, dass es gut ist, vorsichtig mit Plugins umzugehen. Insbesondere, wenn viele Plugins eingesetzt werden, können auch Seiteneffekte entstehen, weil sich Plugins nicht vertragen. In unserem Mitarbeiterblog, welches nicht für die Öffentlichkeit sichtbar ist, bin ich etwas experimentierfreudiger, habe jedoch auch schon öfter Probleme festgestellt. Insbesondere, die sehr praktischen und einfach einzusetzenden Widgets, verursachen immer mal wieder Fehler. In manch einer Situation ziehe ich Anpassungen am Theme vor, auf manches nette Feature, verzichte ich ganz bewusst. Nach meiner Erfahrung, sind insbesondere Plugins und Eigenschaften, die mittels JavaScript realisiert wurden, häufig eine Fehlerquelle. Nein, ich glaube nicht, dass JavaScript böse ist, allerdings bin ich sicher, dass es leider viele gibt, die mit JavaScript nicht sorgfältig umgehen. Ich kenne kaum eine Seite, die JavaScript einsetzt, bei der nicht zumindest einige Warnungen ausgegeben werden, selbst gemeldete Fehler kommen regelmäßig vor. Bei JavaScript ist das Problem ähnlich, wie bei PHP, vieles funktioniert noch, obwohl es nicht korrekt genutzt wird. Im Web können sich Fehlerquellen so immens häufen, denn verziehen werden zunächst: Fehler im HTML, im CSS, im PHP und im JavaScript. Dass es da, ab und an auch mal richtig knallt, ist kein Wunder. Nicht selten werden ganze Systeme, wie z.B. WordPress genutzt, in denen, oft auch noch veraltete Versionen laufen, zuweilen kombiniert mit noch älteren oder ganz neuen Plugins. Im Grunde ist es eher erstaunlich wie häufig solche Kombinationen noch einen lauffähigen Webauftritt ergeben.

    Meine Lösung

    Ich werde weiterhin versuchen, so wenig Plugins wie möglich einzusetzen, mir sind die zur Zeit meist etwa 15-20 genutzten Plugins pro Blog im Grunde schon zuviel. Bei manchen kommt da ja noch Google Analytics hinzu, mehrere eingebundene Links und Bilder, wie z.B. zu Blogverzeichnissen oder geschaltete Werbeanzeigen. Insbesondere bei der Ladezeit einer Seite, macht es sich dann doch bemerkbar, was alles Zeit braucht, bevor die Seite vollständig angezeigt wird.
    tweetbackcheck