Das beliebte Content-Management-System WordPress vereinfacht in seiner neuen Version 6.5 die Verwaltung von Schriftarten, spendiert mehr Blöcken einen Schlagschatten, reagiert flinker, optimiert…
Das beliebte Content-Management-System vereinfacht in seiner neuen Version die Verwaltung von Schriftarten, spendiert mehr Blöcken einen Schlagschatten, reagiert flinker, optimiert die…
Mit der aktuellen Version 6.4.2 des Content Management Systems Wordpress verschwindet eine kritische Sicherheitslücke.
Experten von WPScan haben während einer internen Überprüfung des WordPress Fastest Cache Plugins eine schwerwiegende SQL-Injection-Schwachstelle entdeckt.
Diese Schwachstelle ermögliche es nicht authentifizierten Angreifern unter Umständen, den gesamten Inhalt der WordPress-Datenbank mithilfe eines zeitbasierten blinden SQL-Injection-Payloads zu lesen, heißt es in der Mitteilung von WPScan.
Nach Entdecken der Schwachstelle habe man das Plugin-Entwicklungsteam alarmiert, das die Version 1.2.2 veröffentlicht habe, die das Problem behebe, teilen die Security-Experten mit. Administratoren sollten sicherstellen, dass ihre WordPress-Installationen vollständig aktualisiert sind, um sich vor dieser Sicherheitslücke zu schützen, heißt es weiter.
Der Beitrag WordPress-Plugin Fastest Cache ermöglicht SQL-Injection erschien zuerst auf Linux-Magazin.
Die neue Version 6.4 des Content-Management-Systems WordPress bietet ein neues Theme, eine verbesserte Symbolleiste und eine überarbeitete Befehlspalette. Vorlagen lassen sich in Kategorien sammeln, zudem haben die Entwickler bei den Bildern nachgelegt.
Das neue Standard-Theme Twenty Twenty-Four richtet sich vor allem an Autoren, Künstler und Unternehmen. Wie das breite Anwendungsspektrum zeigt, ist das Theme äußert flexibel einsetzbar.
Bei der Eingabe von Text erscheint über ihm eine schwebende Symbolleiste mit häufig benötigten Formatierungsaktionen, wie etwa Fettdruck. In WordPress 6.4 verhält sie sich bei Navigation-, List- und Quote-Blöcken etwas anders: Dort schwebt sie ab sofort über dem ganzen Block und nicht mehr über dem gerade bearbeiteten Child-Block. Dies verbessert vor allem die Übersicht.
Autoren können direkt in der Link-Vorschau festlegen, dass sich die Seite in einem neuen Tab öffnen soll. Im Navigation-Block darf man zudem Schaltflächen hinzufügen. Listen lassen sich zudem jetzt einfacher zusammenführen.
Überarbeitet haben die Entwickler auch die Befehlspalette, die mit der Vorversion eingeführt wurde und über die man schnell eine gesuchte Aktion aufruft. In WordPress 6.4 präsentiert sie sich in einer aufgefrischten Optik und kennt Block-spezifische Aktionen.
Das CMS legt auch bei den Bildern nach: So darf man Group-Blöcke nicht nur umbenennen, sondern auch mit einem Hintergrundbild tapezieren. WordPress 6.4 bietet von Haus aus den Lightbox-Effekt – bisher musste man dazu auf Plugins zurückgreifen. Die List View bietet neue Vorschauen für Gallery- und Image-Blöcke und kennt neue Tastenkürzel.
Vorlagen darf man nicht nur in Kategorien gruppieren, sondern auch nach weiteren Kriterien filtern. Darüber hinaus lassen sich Vorlagen im JSON-Format exportieren und in einer anderen WordPress-Installation wieder importieren. Dies soll vor allem den Austausch von Vorlagen vereinfachen.
In frischen Installationen deaktiviert WordPress 6.4 standardmäßig die Anhang-Seiten. Sie präsentierten jeden hochgeladenen Anhang noch einmal auf einer eigenen Seite. Diese Seiten enthalten jedoch keine sinnvollen Informationen. Zudem landen sie im Index von Suchmaschinen, von wo aus Besucher dann auf den eher kargen Anhang-Seiten landen. Aus diesem Grund haben sich die WordPress-Entwickler dazu entschieden, sie nicht mehr standardmäßig generieren zu lassen. Bestehende WordPress-Installationen erzeugen die Anhang-Seiten nach einem Update jedoch weiterhin. WordPress 6.4 ist der Jazz-Musikerin Shirley Horn gewidmet.
Der Beitrag WordPress 6.4 mit neuem Theme und Verbesserungen erschien zuerst auf Linux-Magazin.
Die neue Version des Content-Management-Systems biet
Die aktuelle WordPress-Version bringt diverse Updates, darunter auch Patches für acht Sicherheitsprobleme.
Produktpflege und Sicherheit sind die Hauptmerkmale von WordPress 6.3.2. Eines der genannten Sicherheitsprobleme könne dafür sorgen, dass Kommentare zu privaten Beiträgen an andere Nutzer weitergegeben werden könnten. Weiterhin haben Experten eine Lücke entdeckt, die es einem angemeldeten Benutzer erlaubt einen beliebigen Shortcode auszuführen. XSS-Schwachstellen in der Passwortseite der Anwendung und im Fußnotenblock sind ebenfalls genannt.
Mit dem Maintenance-Teil von WordPress 6.3.2 behebt das Wartungs-Team zudem 22 Bugs im Block-Editor und 19 Fehler im Core. Das komplette Changelog steht derzeit noch aus.
Der Beitrag WordPress 6.3.2 schließt Lücken erschien zuerst auf Linux-Magazin.
Drei Sicherheitslücken haben die Experten von Patchstack im WordPress-Plugin Ninja Forms entdeckt. Damit sei eine Ausweitung der Rechte und ein damit möglicher Datenklau verbunden, berichten die Sicherheitsexperten.
Nutzer von WordPress und dem sehr populären Formulartool Ninja Forms sollten das Plugin auf Version 3.6.26 aktualisieren. In dieser Version seien die Probleme behoben, alle früheren Versionen
Bei der ersten Schwachstelle handelt es sich laut Mitteilung von Patchstack um ein POST-basiertes reflektiertes XSS. Diese Lücke könnte es jedem nicht authentifizierten Benutzer ermöglichen, sensible Informationen zu stehlen, um in diesem Fall die Rechte auf der WordPress-Website zu erweitern, indem er privilegierte Benutzer dazu bringt, die manipulierte Website zu besuchen. Die beschriebene Sicherheitslücke sei in Version 3.6.26 behoben und mit CVE-2023-37979 gekennzeichnet.
Bei der zweiten und dritten Sicherheitslücke handle es sich um eine nicht funktionierende Zugriffskontrolle für die Exportfunktion von Formularübermittlungen. Diese Schwachstelle ermöglicht es Benutzern mit der Rolle Abonnent und Mitwirkender, alle Ninja Forms-Eingaben auf einer WordPress-Website zu exportieren. Die beschriebene Sicherheitslücken seien in Version 3.6.26 behoben und mit CVE-2023-38393 und CVE-2023-38386 gekennzeichnet.
Der Beitrag Ninja Forms macht WordPress unsicher erschien zuerst auf Linux-Magazin.
Das WordPress-Plugin WooCommerce Payments weist eine Sicherheitslücke auf, die nach den Erkenntnissen der Sicherheitsexperten von Wordfence derzeit massiv angegriffen wird.
Da das Plugin bei rund 600.000 WordPress-Seiten installiert ist, wird die Sicherheitslücke in großem Stil ausgenutzt. Wordfence spricht von einer gezielten Exploit-Kampagne.
Die Sicherheitslücke ermöglicht es laut Wordfence nicht authentifizierten Angreifern, administrative Rechte auf anfälligen Websites zu erlangen, was mit einem kritischen CVSS-Wert von 9,8 bewertet werde. Die Lücke ist als CVE-2023-28121 gekennzeichnet. Nach den Beobachtungen von Wordfence haben die Angriffe am Donnerstag, den 14. Juli 2023 begonnen und sich über das Wochenende fortgesetzt. Am Samstag, den 16. Juli habe die Attacke mit 1,3 Millionen Angriffen auf 157.000 Websites ihren Höhepunkt erreicht.
Den Anbietern von WooCommerce kann man dabei keinen Vorwurf machen, die Sicherheitslücke war mit einem Update auf Version 5.6.2 des Woocommerce Payments-Plug-ins schon im März 2023 geschlossen worden. Administratoren sollten also dringend ein Update einspielen. In der Analyse von Wordfence lassen sich weitere Informationen zum Aufspüren von Angriffen und der Funktionsweise des Exploits nachlesen.
Der Beitrag WordPress: Exploit-Kampagne gegen WooCommerce Payments erschien zuerst auf Linux-Magazin.
Das WordPress-Plugin Essentials Addon for Elementor bringt eine kritische Sicherheitslücke mit. Angreifer könnten so eine WordPress-Instanz kompromittieren. Das Plugin bringt es auf rund eine Million aktiver Installationen.
In einem Update des Plugins auf Version 5.7.2 ist die Lücke geschlossen. Admins sollten rasch ein Update machen. Die Entdecker der Lücke, Experten vom WordPress-Sicherheitsanbieter Patchstack schreiben von einer Rechteausweitung, die ohne vorherige Authentifizierung möglich ist. Sie ermögliche es jedem nicht authentifizierten Benutzer, seine Rechte auf die Rechte eines beliebigen Benutzers auf der WordPress-Site auszuweiten, heißt es im Bericht zum Sicherheitsproblem.
Es sei etwa möglich, das Passwort jedes Benutzers zurückzusetzen, solange sein Benutzername bekannt sei, sodass man auch das Passwort des Administrators zurücksetzen und sich bei seinem Konto anmelden könne. Diese Sicherheitslücke trete auf, weil die Funktion zum Zurücksetzen des Passworts einen Passwort-Reset-Schlüssel nicht validiere, sondern stattdessen das Passwort des angegebenen Benutzers direkt ändere.
Der Beitrag Kritische Lücke in WordPress-Plugin Essentials Addon for Elementor erschien zuerst auf Linux-Magazin.
Immer wieder mal in den 8 Jahren LinuxNews kam die Idee auf, WordPress den Laufpass zu geben. Gescheitert ist es dann an der Migration.
Ihr möchtet in WordPress Gastautoren anzeigen lassen, ohne das diese ein Konto benötigen? Hier erfahrt ihr wie!
Mit der Version 3.11.7 des WordPress-Plugins Elementor Pro beheben die Entwickler eine kritische Sicherheitslücke, die es Angreifern unter Umständen erlaubt, WordPress sich als Administrator auszuführen.
Mit der Kombination Elementor Pro und dem auf der Website laufenden WooCommerce-Plugin sei es jedem authentifizierten Benutzer, etwa in der Rolle als “Abonnent” oder “Kunde” – möglich, beliebige WordPress-Einstellungen auf der Website zu aktualisieren, teilen die Entdecker der Lücke vom Sicherheitsanbieter Patchstack mit. Verantwortlich für die Lücke sei eine AJAX-Aktion von Elementor Pro, die nicht über eine angemessene Berechtigungskontrolle verfüge. Die Elementor-Pro-Versionen 3.11.6 und darunter seien von dieser Sicherheitslücke betroffen.
Die mangelhafte Kontrolle ermögliche es einem böswilligen Angreifer, die Registrierungsseite zu aktivieren – falls sie deaktiviert sei – und die Standardbenutzerrolle auf Administrator zu setzen, so dass er ein Konto erstellen könne, das über Administratorrechte verfüge. Danach sei es wahrscheinlich, dass er die Website entweder auf eine bösartige Domain umleite oder ein sonstige schädliche Aktionen ausführe, etwa ein bösartiges Plugin oder eine Backdoor zu installieren, um die Website weiter ausnutzen zu können.
Mit dem kürzlich veröffentlichten Elementor Pro 3.11.7 werde das Problem behoben. Da die Lücke bereits aktiv ausgenutzt werde, sei ein rasches Update nötig, teilt Patchstack in seinem Beitrag zur Lücke mit.
Der Beitrag WordPress-Plugin Elementor Pro wird aktiv angegriffen erschien zuerst auf Linux-Magazin.
Wie bei jeder neuen Version bringt auch die jüngste Fassung 6.2 des Content-Management-Systems WordPress zahlreiche kleinere Änderungen an den Blöcken mit. Weitere Neuerungen betreffen den Site-Editor.
In ihm erlaubt jetzt die linke Seitenleiste den Wechsel zwischen Templates und Template-Teilen, ohne dafür die Vorschau schließen zu müssen. Des Weiteren bietet der Site-Editor ein Stilbuch an. Dieses wiederum zeigt an, wie alle Blöcke im derzeit aktiven Theme aussehen. Den Stil eines Blocks kann man zudem mit wenigen Mausklicks auf einen anderen Block übertragen.
Die Menüs im Navigations-Block lassen sich über eine Baumstruktur in der Block-Seitenleiste einfacher bearbeiten. Für Header- und Footer hat WordPress 6.2 neue Block-Vorlagen im Gepäck.
Beim Block-Inserter zeigt das Register für die Block-Vorlagen eine Liste mit Kategorien sowie nach einem Mausklick darauf die zugehörigen Vorlagen. Des Weiteren lässt sich aus dem Medien-Tab die Mediathek aufrufen. Obendrauf gibt es noch eine Integration von Openverse, einer Bilder- und Audio-Sammlung. Alle über diese Plattform angebotenen Medien lassen sich zwar kostenlos nutzen, dennoch müssen Seitenbetreiber die Lizenzen beachten.
Der Block-Editor lässt sich in einen ablenkungsfreien Modus schalten, in dem er sämtliche Bedienelemente ausblendet. Auf diese Weise können sich Autoren auf den eigentlichen Text konzentrieren. Fügt man Gruppen-Blöcke auf der obersten Ebene ein, lassen sie sich als „sticky“ kennzeichnen. WordPress klebt sie dann an den oberen (Viewport-)Rand, wenn die Besucher auf der Seite scrollen.
Die Standard-Themes bringen die genutzten Google-Fonts jetzt direkt mit und setzen nicht nur Links auf die Google-Server. Damit erhöhen die WordPress-Entwickler den Datenschutz.
Die Version 6.2 ist dem Jazz-Musiker Eric Allan Dolphy Jr. gewidmet.
Der Beitrag WordPress 6.2 bietet rund 300 Verbesserungen erschien zuerst auf Linux-Magazin.
Wie bei jeder neuen Version bringt auch die jüngste [...]
Der Beitrag Aktualisiertes WordPress bietet rund 300 Verbesserungen erschien zuerst auf LinuxCommunity.
Das WordPress-Plugin Learnpress in Versionen 4.1.7.3.2 und kleiner weist kritische Sicherheitslücken auf. Mit über 100.000 aktiven Installationen ist das umfangreiche Lernmanagement-Plugin sehr populär.
Mit Learnpress lassen sich einfach Kurse online erstellen und verkaufen. Anbieter Patchstack meldet mehrere kritische Sicherheitslücken im Plugin. Ein Update auf beseitigt die Probleme
Diese Schwachstellen ermöglichen es jedem nicht authentifizierten Benutzer, eine SQL-Abfrage in die Datenbank einzuschleusen und eine lokale Dateieinbindung durchzuführen. Zudem sei eine weitere SQL-Injection gefunden worden, für deren Ausnutzung ein Benutzer aber mit mindestens der Rolle “Contributor” erforderlich wäre.
Die beschriebenen Sicherheitslücken seien in Version 4.2.0 behoben, teilt Patchstack mit. Die neue Version ist bereits seit einigen Wochen zu haben, es seien aber noch viele Installationen nicht auf dem aktuellen Stand.
Der Beitrag Sicherheitslücken in WordPress-Plugin Learnpress erschien zuerst auf Linux-Magazin.
Das Content-Management-System WordPress 6.1 bietet unter anderem ein neues Theme, hilfreiche Änderungen bei den Templates, verbesserte Barrierefreiheit, überarbeitete Blöcke sowie Fluid Typography.
Die Designvorlage Twenty Twenty-Three bietet zehn verschiedene Style-Variationen, über die Seitenbetreiber mit wenigen Mausklicks schnell eine leicht andere Optik aktivieren können. Das Theme gilt zudem als „ Accessibility Ready“ und folgt damit vorgegebenen Anforderungen an die Barrierefreiheit. Letztgenannte verbessern zudem rund 60 einzelne Updates, die ein eigener Blog-Beitrag zusammenfasst.
Des Weiteren bringt WordPress 6.1 zusätzliche sowie überarbeitete Templates mit. Im Site Editor wartet ein Template für Beiträge und Seiten. Mit einem neuen Suchen-und-Ersetzen-Werkzeug lassen sich schnell Template-Teile, wie etwa Kopf- und Fußzeilen, ändern.
Dank entsprechender Optimierungen lassen sich Design-Elemente, Blöcke und Menüs leichter verwalten. Überarbeitet haben die Entwickler auch die Einstellungen der Beiträge und Seiten. Unter anderem kann man jetzt einfacher den Veröffentlichungszeitpunkt einstellen.
Wie fast in jeder neuen Version offeriert auch WordPress 6.1 zahlreiche kleine Verbesserungen bei den Blöcken, die auf den Seiten die einzelnen Inhalte präsentieren. Sperrt man die Einstellungen eines Blocks für die Bearbeitung, sperrt WordPress auf Wunsch auch alle enthaltenen Blöcke – wie etwa die Blöcke in einer Gruppe oder Spalte. Einige Blöcke bringen verbesserte Platzhalter mit, die einige Design-Vorgaben berücksichtigen. So zeigt beispielsweise der Platzhalter des Image-Blocks den vom Seitenbetreiber eingestellten Rahmen an. Die Blöcke für Listen und Zitate können jetzt andere Blöcke aufnehmen, wodurch beispielsweise ein Zitat auch eine Überschrift enthalten darf.
WordPress 6.1 unterstützt die Technik Fluid Typography, bei der Schriften abhängig von der aktuellen Bildschirm- beziehungsweise Fenstergröße skalieren. Ein neuer Filter erlaubt das schnelle aufspüren von Block-Themes im Themes Directory. Abschließend soll das Content-Management-System flotter als sein Vorgänger arbeiten. WordPress 6.1 ist dem Jazz-Pianisten Mikhail „Misha“ Alperin gewidmet.
Der Beitrag WordPress 6.1 verbessert intuitive Seitengestaltung erschien zuerst auf Linux-Magazin.
Das Content-Management-System bietet unter anderem e [...]
Der Beitrag Aktualisiertes WordPress verbessert intuitive Seitengestaltung erschien zuerst auf LinuxCommunity.
Der Sicherheitsdienstleister Wordfence hat im WordPress-Plugin Ninja Forms eine kritische Sicherheitslücke entdeckt. Das beliebte Plugin werde auf über einer Million Installationen von WordPress eingesetzt.
Im Plugin haben die Security-Experten eine Code-Injection-Schwachstelle entdeckt, die es nicht authentifizierten Angreifern ermöglicht, eine begrenzte Anzahl von Methoden in verschiedenen Ninja Forms-Klassen aufzurufen, einschließlich einer Methode, die vom Benutzer bereitgestellte Inhalte unserialisiert, was zu einer Object Injection führen könne. Über diese Lücke könnten Angreifern beliebigen Code auszuführen oder beliebige Dateien auf Seiten löschen.
Dieser Fehler sei in den Ninja-Forms-Versionen 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 und 3.6.11 vollständig behoben, teilt Wordfence mit. WordPress scheine zudem ein automatisches Zwangsupdate für dieses Plugin durchgeführt zu haben, sodass möglicherweise bereits eine der gepatchten Versionen verwendet werde. Admins sollten aber dringend sicherstellen, dass eine der gepatchten Versionen zum Einsatz komme, da automatische Updates nicht immer erfolgreich seien.
Der Beitrag Sicherheitslücke in WordPress-Plugin Ninja Forms erschien zuerst auf Linux-Magazin.
Die neue Version 6.0 des freien Content Management Systems WordPress ist dem Jazzmusiker Arturo O’Farrill gewidmet. WordPress 6.0 “Arturo” hat laut der Ankündigung der Entwickler rund 1000 Verbesserungen und Fehlerkorrekturen dabei.
Zu den Verbesserungen beim Schreiben und der Inhaltserstellung zählen die WordPress-Macher die Möglichkeit, Text in mehreren Blöcken zu markieren, um das Kopieren und Einfügen zu erleichtern. Block-Themes können nun mehrere Stilvarianten enthalten. Damit baue man das neue Style-System weiter aus, heißt es in der Ankündigung. Es sei damit möglich, das Erscheinungsbild einer Website innerhalb eines einzigen Themes zu ändern. Zudem enthalte WordPress 6.0 fünf neue Templates für Block-Themes: Autor, Datum, Kategorien, Tag und Taxonomie.
Integrierte Vorlagen erleichtern die Arbeit. Quelle: WordPress
Das CMS bietet auch Neuerungen bei den integrierten Vorlagen. Die werden jetzt an mehr Stellen angezeigt, etwa im “Quick-Inserter” oder beim Erstellen einer neuen Kopf- oder Fußzeile.
Bei den Designwerkzeugen soll das neue Design des Farbpanels Platz sparen und dennoch Optionen auf einen Blick anzeigen. Neue Steuerelementen für die Umrandung ermöglichen es, Umrandungen einfach zu gestalten.
Die Ankündigung nennt viele weitere Details.
Der Beitrag WordPress 6.0 “Arturo” bringt viel Neues erschien zuerst auf Linux-Magazin.
WordPress 6.0 bringt viele Verbesserungen und behebt Fehler aus der Vorversion. Die Verbesserungen konzentrieren sich hauptsächlich auf den Blockeditor Gutenberg.
Anmelden