Die neue Version 6.4 des Content-Management-Systems WordPress bietet ein neues Theme, eine verbesserte Symbolleiste und eine überarbeitete Befehlspalette. Vorlagen lassen sich in Kategorien sammeln, zudem haben die Entwickler bei den Bildern nachgelegt.

Das neue Standard-Theme Twenty Twenty-Four richtet sich vor allem an Autoren, Künstler und Unternehmen. Wie das breite Anwendungsspektrum zeigt, ist das Theme äußert flexibel einsetzbar.

Bei der Eingabe von Text erscheint über ihm eine schwebende Symbolleiste mit häufig benötigten Formatierungsaktionen, wie etwa Fettdruck. In WordPress 6.4 verhält sie sich bei Navigation-, List- und Quote-Blöcken etwas anders: Dort schwebt sie ab sofort über dem ganzen Block und nicht mehr über dem gerade bearbeiteten Child-Block. Dies verbessert vor allem die Übersicht.

Autoren können direkt in der Link-Vorschau festlegen, dass sich die Seite in einem neuen Tab öffnen soll. Im Navigation-Block darf man zudem Schaltflächen hinzufügen. Listen lassen sich zudem jetzt einfacher zusammenführen.

Überarbeitet haben die Entwickler auch die Befehlspalette, die mit der Vorversion eingeführt wurde und über die man schnell eine gesuchte Aktion aufruft. In WordPress 6.4 präsentiert sie sich in einer aufgefrischten Optik und kennt Block-spezifische Aktionen.

Das CMS legt auch bei den Bildern nach: So darf man Group-Blöcke nicht nur umbenennen, sondern auch mit einem Hintergrundbild tapezieren. WordPress 6.4 bietet von Haus aus den Lightbox-Effekt – bisher musste man dazu auf Plugins zurückgreifen. Die List View bietet neue Vorschauen für Gallery- und Image-Blöcke und kennt neue Tastenkürzel.

Vorlagen darf man nicht nur in Kategorien gruppieren, sondern auch nach weiteren Kriterien filtern. Darüber hinaus lassen sich Vorlagen im JSON-Format exportieren und in einer anderen WordPress-Installation wieder importieren. Dies soll vor allem den Austausch von Vorlagen vereinfachen.

In frischen Installationen deaktiviert WordPress 6.4 standardmäßig die Anhang-Seiten. Sie präsentierten jeden hochgeladenen Anhang noch einmal auf einer eigenen Seite. Diese Seiten enthalten jedoch keine sinnvollen Informationen. Zudem landen sie im Index von Suchmaschinen, von wo aus Besucher dann auf den eher kargen Anhang-Seiten landen. Aus diesem Grund haben sich die WordPress-Entwickler dazu entschieden, sie nicht mehr standardmäßig generieren zu lassen. Bestehende WordPress-Installationen erzeugen die Anhang-Seiten nach einem Update jedoch weiterhin. WordPress 6.4 ist der Jazz-Musikerin Shirley Horn gewidmet.

Der Beitrag WordPress 6.4 mit neuem Theme und Verbesserungen erschien zuerst auf Linux-Magazin.

Wie bei jeder neuen Version bringt auch die jüngste Fassung 6.2 des Content-Management-Systems WordPress zahlreiche kleinere Änderungen an den Blöcken mit. Weitere Neuerungen betreffen den Site-Editor.

In ihm erlaubt jetzt die linke Seitenleiste den Wechsel zwischen Templates und Template-Teilen, ohne dafür die Vorschau schließen zu müssen. Des Weiteren bietet der Site-Editor ein Stilbuch an. Dieses wiederum zeigt an, wie alle Blöcke im derzeit aktiven Theme aussehen. Den Stil eines Blocks kann man zudem mit wenigen Mausklicks auf einen anderen Block übertragen.

Die Menüs im Navigations-Block lassen sich über eine Baumstruktur in der Block-Seitenleiste einfacher bearbeiten. Für Header- und Footer hat WordPress 6.2 neue Block-Vorlagen im Gepäck.

Beim Block-Inserter zeigt das Register für die Block-Vorlagen eine Liste mit Kategorien sowie nach einem Mausklick darauf die zugehörigen Vorlagen. Des Weiteren lässt sich aus dem Medien-Tab die Mediathek aufrufen. Obendrauf gibt es noch eine Integration von Openverse, einer Bilder- und Audio-Sammlung. Alle über diese Plattform angebotenen Medien lassen sich zwar kostenlos nutzen, dennoch müssen Seitenbetreiber die Lizenzen beachten.

Der Block-Editor lässt sich in einen ablenkungsfreien Modus schalten, in dem er sämtliche Bedienelemente ausblendet. Auf diese Weise können sich Autoren auf den eigentlichen Text konzentrieren. Fügt man Gruppen-Blöcke auf der obersten Ebene ein, lassen sie sich als „sticky“ kennzeichnen. WordPress klebt sie dann an den oberen (Viewport-)Rand, wenn die Besucher auf der Seite scrollen.

Die Standard-Themes bringen die genutzten Google-Fonts jetzt direkt mit und setzen nicht nur Links auf die Google-Server. Damit erhöhen die WordPress-Entwickler den Datenschutz.

Die Version 6.2 ist dem Jazz-Musiker Eric Allan Dolphy Jr. gewidmet.

Der Beitrag WordPress 6.2 bietet rund 300 Verbesserungen erschien zuerst auf Linux-Magazin.

Das Content Management System Typo3 leidet an einer Cross-Site-Scripting-Lücke, über die sich Schadcode einschleusen lässt.

Die als hochkritisch eingestufte Lücke steckt in der Kernkomponente GeneralUtility::getIndpEnv(), die die ungefilterte Server-Umgebungsvariable PATH_INFO verwendet, über die Angreifer bösartige Inhalte einspeisen können, heißt es in der Sicherheitswarnung von Typo3.

In Kombination mit der TypoScript-Einstellung config.absRefPrefix=auto können Angreifer dann HTML-Code in Seiten einschleusen, die noch nicht gerendert und gecached wurden. Somit würden die injizierten Werte zwischengespeichert und an andere Website-Besucher weitergegeben.

Betroffen sind die Typo3-Versionen 8.7.0 bis 8.7.50, 9.0.0 bis 9.5.39, 10.0.0 bis 10.4.34, 11.0.0 bis 11.5.22, 12.0.0 bis 12.1.3. Ein Update auf die jeweils aktuellste Version schließt die Lücke.

Bei Websites, die aus irgendwelchen Gründen nicht gepatcht werden können, empfehlen die Entwickler zumindest die TypoScript-Einstellung config.absRefPrefix auf einen statischen Pfadwert zu setzen und nicht “auto” zu verwenden, Dies behebe aber nicht alle Aspekte der Schwachstelle und sei nur als Zwischenlösung zu sehen.

Der Beitrag Typo3 ermöglicht Cross Site Scripting erschien zuerst auf Linux-Magazin.

Die Macher des Content Management Systems Typo3 haben neue Versionen der Software veröffentlicht. Damit werden Sicherheitslücken geschlossen, von denen eine mit hohem Risiko bewertet ist.

Mit den Versionen Typo3 12.1.1, 11.5.20 und 10.4.33 reagieren die Entwickler auf Sicherheitsprobleme. Alle Updates seien reine Sicherheitsreleases und würden wichtige Fixes für die Lücken enthalten, heißt es in der Ankündigung. Von den insgesamt sechs aufgezählten Problemen zählt diejenige mit der CVE-2022-23503 zu den schwerwiegenden. Über sie lässt sich Code einschleusen. Grund dafür sei die fehlende Trennung der vom Benutzer übermittelten Daten von der internen Konfiguration im Backend-Modul Form Designer. Darüber sei es möglich, Code zu injizieren, der dann über TypoScript als PHP-Code verarbeitet und ausgeführt werde, heißt es im Security-Bulletin.

Wie die Entwickler weiter mitteilen, gilt für alle nun veröffentlichten Versionen, dass dafür keine Datenbank-Upgrades erforderlich seien. In der Ankündigung sind Installationshinweise verlinkt und Informationen zu den weiteren Sicherheitslücken.

Der Beitrag Typo3 braucht Update gegen Sicherheitslücken erschien zuerst auf Linux-Magazin.