Slider Revolution Plugin mit Sicherheitslücke
In der Hoffnung, dass Nutzer des Slider Revolution Plugins zu den WP LETTER Lesern gehören, wird an dieser Stelle auf eine schwerwiegende Sicherheitslücke in älteren Versionen des Plugins hingewiesen. Es wird dringend empfohlen, auf die aktuellste Version upzudaten.
Zum Hintergrund: Am 21. August 2014 wurde meinerseits die aktive Ausnutzung der Sicherheitslücke im Slider Revolution Plugin festgestellt. Daraufhin habe ich die betroffenen Plugin-Nutzer händisch rausgesucht und mit dem Hinweis auf die Schwachstelle per Twitter/E-Mail/Facebook angeschrieben. Mit kaum bis keinem Feedback.
Schade, dass selbst beim direkten Hinweis auf die akute Gefahr keine Reaktion erfolgt. Somit schadet man uns allen, weil WordPress-Instanzen mit Malware infiziert sind, die für großflächig angelegte DDoS-Attaken (aus)genutzt werden.
Auch wenn ihr das Slider Revolution Plugin nicht direkt installiert habt: Sehr, sehr viele Themes bringen das genannte Plugin vorinstalliert. Envato veröffentlichte bereits eine separate Seite mit betroffenen WordPress-Themes.
Handelt bitte!
WordPress-„Herzschlag“ deaktivieren
Seit Version 3.6 schlägt das WordPress-Herz (höher): Mithilfe von Heartbeat API überwacht das System (in sehr kleinen Zeitabschnitten) ausgewählte Prozesse und reagiert auf Aktionen – unaufdringlich im Hintergrund. Technisch gesehen sind es AJAX-Abfragen.
Einerseits ist das Vorgehen sehr praktisch, andererseits belastet es den Server. Das verlinkte Howto geht auf die Problematik ein und liefert Ansätze, WordPress-Heartbeat teilweise oder gar vollständig abzuschalten. Mit Vorsicht zu genießen.
WordPress-Themes 2014
Ob ein Theme „Top oder Flop“ ist, kommt auf die Codebasis, die Zielsetzung und den Design-Anspruch an. Nachfolgend sind einige Zusammenfassungen mit „Top & Best WordPress Themes 2014“ aufgeführt – ob brauchbar oder nicht, entscheidet jeder für sich.