2. März 2006 von Michael | Wordpress
Gemäß einem Advisory vom Neo Security Team wurden in WordPress Sicherheitslücken entdeckt, die z.T. als kritisch eingestuft wurden:
- Über Kommentare lässt sich aufgrund einer unzreichenden Filterung JavaScript-Code einbetten. Besucher könnten sich damit möglicherweise einen administrativen Zugang zum Blog verschaffen. Allerdings ist dieses Sicherheitsrisiko überbewertet, da die Lücke nur dann entsteht, wenn der JavaScript-Code von einem Administrator gepostet wird.
- Beim direkten Aufrufen einer Reihe von Dateien erscheint aufgrund einer PHP-Fehlermeldung der vollständige Pfad der WordPress-Installation. Angreifer könnten dies u.U. ausnutzen, um das Blogsystem bzw. den Server anzugreifen.
- Beim Aufrufen des Verzeichnis wp-includes/ wird der Verzeichnisinhalt angezeigt. Dies wurde jedoch als unkritisch eingestuft.
Die Fehler wurden in WordPress 2.0.1 nachgewiesen, lt. Advisory sind aber auch alle älteren Versionen davon betroffen.
Weiterlesen…
18. Februar 2006 von Michael | Wordpress
In WordPress 2.0.1 kann es bis zu 30 Sekunden dauern, wenn man in einem neuen Beitrag auf „Veröffentlichen“ klickt. Die Ursache dafür ist der Ping-Service Pingomatic, dieser ist bei Standard-WordPress-Installationen in den Ping-Optionen voreingestellt, aber fast rund um die Uhr voll ausgelastet. Als Resultat erhalten WordPress-Anwender 30 Sekunden nach dem Klicken auf „Veröffentlichen“ oftmals folgende Meldung:
Fatal error: Maximum execution time of 30 seconds exceeded in (…)\wp-includes\class-IXR.php on line 513
Fatal error: Maximum execution time of 30 seconds exceeded in (…)\wp-settings.php on line 219
Der Beitrag selbst wird trotzdem veröffentlicht, allerdings stört die lange Wartezeit von 30 Sekunden und die unzureichend aussagekräftige Fehlermeldung. Owen Winkler beschreibt diese Problematik im Detail und schlägt als Abhilfe vor, einen anderen RPC-Dienst zu verwenden.
Jowra berichtet von einer programmatischen Lösung, um die 30 Sekunden Wartezeit zu vermeiden: mittels einem seit 13.02. im WordPress Trac veröffentlichten WordPress-Patch kann der Ping im Hintergrund ausgeführt werden, allerdings erhält man dadurch aber keinen Hinweis, wenn der Ping nicht erfolgreich ausgeführt wurde.
Bei mir funktioniert dieser Patch ansonsten astrein, für zukünftige WordPress-Versionen wäre es allerdings wünschenswert, dass der Blog-Autor zusätzlich eine Hinweismeldung erhält, wenn ein Ping nicht erfolgreich ausgeführt wurde.
28. Januar 2006 von Michael | Wordpress
Im seo-marketing-blog.de wurde zurecht kritisiert, dass mein Link Indication Plugin für WordPress nur im Content und in Kommentaren greift, nicht aber etwa in der Sidebar. Ich habe daher die Option Apply this plugin to the entire blog hinzugefügt, mit der das Plugin auf den komplette Blog angewendet werden kann, also auch Header, Sidebar, Footer, etc.
22. Januar 2006 von Michael | Wordpress
Die sog. ‚Breadcrumb-Navigation‘ zeigt den Besuchern der Webseite, wo sie sich gerade befinden, zudem können sie dadurch zwischen den verschiedenen Bereichen hin- und herspringen. Gerade wenn viele kategorisierte Inhalte geboten werden, ist eine solche Navigation unerlässlich.
Der Begriff Breadcrumb stammt übrigens von Hänsel und Gretel, Details darüber kann man auf Wikipedia erfahren.
Viele CMS bieten eine solche Breadcrumb-Navigation von Haus aus an (wie etwa Joomla! oder Typo3), WordPress als Blog-System allerdings nicht.
Allerdings gibt es für WordPress die Plugins Breadcrumb Navigation und Bread Crumb Trail, allerdings können beide nicht überzeugen, da wichtige Eigenschaften wie etwa da saubere Darstellung von Unterseiten fehlen.
Daher habe ich das WordPress-Plugin Breadcrumb Navigation XT geschrieben, das alle Randbedingungen berücksichtigt.
13. Januar 2006 von Michael | Wordpress
Robert fragt zurecht, wo seine 162 Queries herkommen wenn man seinen Blog lädt, da WordPress von sich aus mit unter 20 Queries auskommt. Sicherlich liegt dies am Einsatz von Plugins.
Schleifen
Wenn beispielsweise ein Plugin Datenbank-Abfragen unnötig in einer Schleife ausführt, kann dies durchaus dazu kommen, dass eine große Anzahl an DB-Queries zustande kommt.Weiter fließen m.E. auch andere Dinge in die negative Performance ein. Bei der Verwendung von Schleifen in Plugins bestehen hier immer Gefahren, dass unnötig performance-lastige Funktionen vielfach aufgerufen werden. Das ganze kann sich steigern, wenn Plugin-Funktionen innerhalb von The Loop im Theme aufgerufen werden. Wenn dann noch inperformante String-Manipulationen oder ähnliches ausgeführt werden, oder sinnlos der Speicher belastet wird (wie etwa via SELECT *), so kann dies bei vielen Seitenaufrufen durchaus zu einem massiven Performance-Einbruch führen.
Weiterlesen…
12. Januar 2006 von Michael | Wordpress
Soeben habe ich das eigenentwickelte WordPress-Plugin Link Indication veröffentlicht, das automatisch Links je nach Ziel entsprechend auszeichnet, dies sieht beispielsweise wie folgt aus:
9. Januar 2006 von Michael | Wordpress
Webdesign-in.de bietet ein suchmaschinen-optimiertes, deutschsprachiges WordPress-Theme zum Download an. Das Theme ‚Gold‘ beinhaltet viele Plugins, die für SEO förderlich sind oder etwa Adsense oder Amazon-Anzeigen einbinden. Dabei wurden die Plugins ins Deutsche übersetzt.
Interessant ist dabei insbesondere die Liste der vom Autor eingesetzten Plugins, um sich Anregungen für die Verwendung von SEO-Plugins auf dem eigenen Blog zu holen.
(via Webmaster Blog)
5. Januar 2006 von Michael | Wordpress
Soeben habe ich hier einen Artikel veröffentlicht, der zeigt, wie das Blog-System WordPress als CMS eingesetzt werden kann.