WordPress 4.7.5 Security Release

Eingetragen von

Es wird empfohlen WordPress rasch zu updaten, da das neue Update zahlreiche (6) Sicherheitslücken schließt:

  1. Ungenügende Validierung von Weiterleitungen einer HTTP-Klasse
  2. Unsauberes Verarbeiten von META Daten in der XML-RPC API
  3. Fehlen von META Daten Überprüfungen in der XML-RPC API
  4. Cross Site Request Forgery (CSRF) Lücke in Bezug auf Filesystem Anmeldedaten
  5. Cross-Site Scripting (XSS) Lücke beim Versuch große Dateien hochzuladen
  6. Cross-Site Scripting (XSS) Lücke in Bezug mit dem Customizer

Ansonsten wurden auch einige Bugs gefixt.

Hier kann die offizielle Release Information eingesehen werden:
https://wordpress.org/news/2017/05/wordpress-4-7-5/

WordPress 4.7.4 Maintenance Release

Eingetragen von

Über Nacht wurde WordPress 4.7.4 veröffentlicht. Die neue Version ist ein pures Maintenance Release: es wurden nur Bugs gefixt und kleinere (Detail-)Verbesserungen durchgeführt.

Hier gibt es die Benachrichtigung von WordPress.org: https://wordpress.org/news/2017/04/wordpress-4-7-4/ und hier die Liste der Änderungen: https://core.trac.wordpress.org/log/branches/4.7?rev=40487&stop_rev=40224.

WordPress 4.7.2 Security Release

Eingetragen von

Wie aus den Release Informationen hervorgeht, wurden mit dem Update 3 Sicherheitslücken geschlossen:

  • WP_Query Funktion war gegen Injektion verwundbar
  • Cross-site scripting Lücke in der Post list Tabelle
  • „Press This“ Funktion (> Werkzeuge) hat Begriffe an User zur Nutzung angeboten, die keine Berechtigungen dafür hatten

Hier die offizielle Ankündigung:
https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/

WordPress 4.7.1 – Security und Maintenance Release

Eingetragen von

Ungefähr 1 Monat nach Erscheinen der 4.7 Version gibt es das erste minor Update, wobei damit zahlreiche Punkte zum Thema Sicherheit behandelt werden, u. a.:

  • Remote code execution (RCE) in PHPMailer
  • Cross-site scripting (XSS) via Plugin-Namen oder Versionsheader in update-core.php.
  • Cross-site Request Forgery (CSRF) über Flash-Datei Upload.
  • Cross-site scripting (XSS) über fallback Theme-Namen.
  • Cross-Site Request Forgery (CSRF) im Accessibility Mode der Widget-Bearbeitung

Die Informationen sind im Originalen hier zu lesen:
https://wordpress.org/news/2017/01/wordpress-4-7-1-security-and-maintenance-release/

WordPress 4.7 „Vaughan“ veröffentlicht

Eingetragen von

Mit der neuen WordPress Version wird wieder ein neues Theme veröffentlicht, das Twenty Seventeen Theme, das eher auf Unternehmens-Websites fokussiert. Dabei ist die Möglichkeit integriert Videos als Header-Background  zu erstellen.

Das Release beinhaltet zahlreiche Neuerungen wie Edit Shortcuts („Bearbeiten“ Icons) oder die Möglichkeit eigenes CSS zum Überarbeiten des Themes einzufügen.

Auch die REST API ist nun fertig eingebaut und kann ohne Installation eines Plugins genutzt werden.

Hier gibt es alle Informationen zum Release:
https://wordpress.org/news/2016/12/vaughan/

Das war das Meetup bei SaaS Web

Eingetragen von

Mal wieder ein nettes Meetup mit ca. 12-13 Teilnehmern mit einem sehr interessanten Vortrag von Martin zum Thema Sicherheit von (WordPress) Websites. Leider gibt es keine Fotos von dem Treffen.. aber immerhin ist der Vortrag auf der Website im Downloads-Breich zu finden, bzw. direkt auf Slideshare.

Nochmals danke an unsere Sponsoren, die für die ganzen Extras (Pizza, Getränke, Raummieten) gesorgt haben. Das sind: Goldsponsor 1&1 und Bronzesponsor Mittwald.

Wir sehen uns dann erst 2017 wieder, im Januar!