WP LETTER

Aktueller (Zu)Stand: Wird eine (berechtigte) Sicherheitslücke in einem Plugin/Theme lokalisiert, werden in der Regel der Plugin-Autor und das WordPress-Sicherheitsteam darüber informiert. Der Entwickler der betroffenen Erweiterung bekommt Zeit eingeräumt, die Lücke zu schließen. Unternimmt der Autor keinerlei Schritte zur Beseitigung der Schwachstelle (weil Plugin aufgegeben, Zeitmangel, etc.), so deaktiviert das WordPress-Sicherheitsteam die betroffene Erweiterung im offiziellen WordPress-Verzeichnis.

Das dadurch entstandene Problem: Die Erweiterung kann zwar nicht länger heruntergeladen werden, bei WordPress-Endanwendern mit aktivem Plugin verbleibt die Version bis auf Weiteres installiert. Kein Update, keine Benachrichtigung.

Und weil die Schonfrist verstrichen ist, wird die Sicherheitslücke publik gemacht. Hacker fangen an, die Schwachstelle via Brute-Force Attacken auszunutzen.

Prüft daher manuell, ob installierte (vielleicht etwas ältere) Plugins im WordPress-Verzeichnis weiterhin existieren. Der Sicherheit zuliebe.

Die weltweit steigende Verbreitung von WordPress hat sich schnell herumgesprochen. Dank WordPress DOT com, der Telefonie nach Hause und Plugins wie Akismet und Jetpack verfügt Automattic über BigData-Werte, die monatlich ausgewertet werden und für einen Wow!-Effekt sorgen.

Die verknüpfte Webseite listet „13 Surprising WordPress Statistics“ auf, die das mächtige WordPress-Universum in Zahlen abbilden.

WordPress-Filter sind dazu da, um den Umfang einzelner Funktionen händisch zu steuern. All die Snippets, die In WordPress entweder in der Datei functions.php oder als Mini-Plugin landen, basieren auf Filtern. Somit lassen sich Erweiterungen an Funktionen vornehmen, ohne den eigentlichen WordPress-Code anzufassen.

Auf Tuts+ wurden 50 WordPress-Filter detailliert beschrieben: Jeder Filter mit eigenem Mehrwert. Nicht nur für Entwickler von Interesse.

Gino Cremer arbeitet aktuell an der Zweitauflage seines WordPress-Praxishandbuches. Sehr wichtig für ihn ist das Leser-Feedback der ersten Buchauflage. WordPress-Nutzer, die das Buch bereits konsumiert haben (oder auch nicht) und die Lektüre mitgestalten wollen, sind dazu eingeladen, Wünsche und Anregungen für die kommende Ausgabe los zu werden.

Dem WordPress-User, der seine Admin-Login-Seite gegen Bots und Brute-Force-Anmeldeversuche schützen will, aber den Zugriffsschutz nicht anwenden kann, dem sei die aktuelle Liste mit IP-Abfragen ans Herz gelegt.

Copy&Paste für die Systemdatei .htaccess.

• Developing for the WordPress.org Plugin Directory
• Automate WordPress with IFTTT
• WordPress development in PhpStorm
• How to Use Mandrill to Send Email in WordPress