CMS | t3n News News, Infos, Tipps und aktuelle Artikel zu CMS 2015-05-24T08:11:58Z t3n Redaktion http://t3n.de/tag/cms WordPress-Themes und -Plugins erkennen: Mit diesen Tipps und Tricks klappt's http://t3n.de/news/wordpress-themes-plugins-610855/ 2015-05-24T08:11:58Z
WordPress lebt von der Vielzahl an Themes und Plugins. Wie du rausfindest, welche davon eine WordPress-Webseite einsetzt, verraten wir dir in diesem Artikel.

lebt von der Vielzahl an Themes und Plugins. Wie du rausfindest, welche davon eine WordPress-Webseite einsetzt, verraten wir dir in diesem Artikel.

WordPress ist das am meisten verbreitete Blog- und Content-Management-System, und so passiert es nicht selten, dass man bei der täglichen Suche nach Inspirationen über eine WordPress-Seite stolpert. Da WordPress nicht zuletzt durch die Vielfältigkeit von Themes und Plugins groß geworden ist, besteht eine hohe Wahrscheinlichkeit, dass mit etwas Recherche das ein oder andere Feature bald auch zu einem deiner Projekte gehören könnte.

Doch wie findest du raus, welches oder eine Seite nutzt? Wir verraten dir genau das – und dazu zeigen wir dir, was es bei der Suche zu beachten gibt.

Ist die Webseite überhaupt mit WordPress gemacht?

Die erste Frage die sich stellt, ist natürlich, ob das soeben gefundene Werk überhaupt auf WordPress basiert. Manchmal gibt es Verlinkungen im Footer, manchmal ist es offensichtlich. Manchmal aber muss man auch genauer hinschauen.

Builtwith Screenshot
Builtwith zeigt dir neben interessanten Informationen zum Server auch das genutzt CMS einer Webseite an. (Screenshot: t3n)

Tools wie Builtwith versuchen, der Sache automatisiert auf die Schliche zu kommen und geben dir alle relevanten Informationen zu einer Webseite – darunter auch das genutzt CMS. Ab und zu muss man aber doch in den Quelltext gucken und nach bekannten Ordnern wie wp-content suchen. Da die aber auch geändert werden können, ist auch diese Methode nicht unbedingt zuverlässig. Auch die Suche nach Dateien wie der readme.html kann relativ schnell unterbunden werden. Hier muss man ein wenig rumprobieren – und das Beste hoffen.

WordPress Themes identifizieren

Die Stylesheets eines sind da schon etwas auskunftsfreudiger. Jedes WordPress-Theme braucht zumindest zwei Dateien, um zu funktionieren: die index.php und die style.css. In der style.css müssen Informationen zum Theme untergebracht werden, damit WordPress das Theme auch als solches identifizieren kann. Hier findest du oft nicht nur den Namen des Themes, sondern auch eine URL zur Autoren-Seite.

What WordPress Theme Is that
„What WordPress Theme Is that“ verrät dir viele nützliche Informationen zum Theme einer WordPress-Seite. (Screenshot t3n)

Auch hierfür gibt es automatische Tools, die eine Webseite analysieren und das dazugehörige Theme ermitteln können. Eines der besseren Tools auf dem Gebiet ist „What WordPress Theme Is That“. Das Tool analysiert – anders als vergleichbare Tools – nicht nur den Namen des Themes, sondern ermittelt auch die dazugehörigen Meta-Informationen und extrahiert sogar das Vorschaubild. Child-Themes werden von dem Tool leider nicht erkannt. Somit ist es schwer abzuschätzen, wie viel Aufwand für die Anpassung des Themes mit eingeplant werden müsste.

WordPress-Plugins identifizieren

Whatwpthemeisthat.com geht aber noch weiter und listet alle Plugins, die von einer Webseite benutzt werden, auf. Hierbei greift es auf das WordPress-Plugin-Repository zurück. So kannst du dir die Plugins direkt runterladen. Aber auch unbekannte Plugins werden angezeigt, sodass du zumindest schon mal den Namen in Erfahrung bringen kannst.

WordPress Theme Detector
Auch Plugins lassen sich mit Tools wie dem WordPress Theme Detector ermitteln. (Screenshot: t3n)

Bei einer automatisierten Analyse kann es sinnvoll sein, mehrere Seiten aufzurufen, da nicht jedes Plugin auf jeder Seite mit geladen und somit erkennbar wird. Plugins, die kein JavaScript oder CSS in die Seite laden und keine sonstigen Erkennungszeichen von sich geben, können generell nicht erkannt werden.

Einen Ähnlichen Funktionsumfang bietet der WPThemeDetector. Um genauere Ergebnisse zu erhalten, lohnt es sich, die Seite mit beiden Tools zu scannen.

Fazit

Es gibt viele Möglichkeiten, die Anatomie einer WordPress-Seite zu bestimmen. Von der komplett händischen bis zur automatisierten Methode stehen dir viele Anhaltspunkte zur Verfügung, um rauszufinden, mit welchen Mitteln eine WordPress-Seite realisiert worden ist.

Natürlich gibt es selten eine Garantie dafür, dass man mit dem gleichen Theme und denselben Plugins ein ähnliches Ergebnis erzielen kann. Für zusätzliche Zeit, die in Anpassungen und Eigenentwicklungen investiert wurde, gibt es schließlich noch keinen Algorithmus. Manchmal ist eine WordPress-Seite auch tatsächlich zu 100 Prozent eine Eigenkreation.

Und wenn du jetzt Lust hast, dir dein ganz eigenes WordPress-Theme zu basteln, dann guck doch mal bei der Artikelserie des Kollegen Florian Brinkmann vorbei. In seinem „großen t3n-Guide zum eigenen WordPress-Theme“ zeigt er dir alles, was du wissen musst.

]]>
Ilja Zaglov
WordPress macht sich fit für E-Commerce: Automattic übernimmt WooCommerce http://t3n.de/news/wordpress-macht-fit-fuer-611798/ 2015-05-21T07:21:13Z
Das Unternehmen hinter Wordpress.com hat die E-Commerce-Lösung WooCommerce gekauft. Für die Entwickler des Wordpress-Plugins soll Automattic rund 30 Millionen US-Dollar gezahlt haben.

Das Unternehmen hinter WordPress.com hat die E-Commerce-Lösung WooCommerce gekauft. Für die Entwickler des WordPress-Plugins soll Automattic rund 30 Millionen US-Dollar gezahlt haben. CEO Matt Mullenweg will Shopping damit stärker in WordPress-betriebene Seiten integrieren.

WordPress will mehr Shopping

Es ist die bisher größte Akquisition von Automattic, so viel verrät der WordPress-Erfinder Matt Mullenweg. WooCommerce könnte das Unternehmen aus San Francisco rund 30 Millionen US-Dollar gekostet haben, sagen Insider. Mullenweg startet damit eine E-Commerce-Offensive für sein reichweitenstarkes CMS.

Neben der Plattform und den Jetpack-Tools soll E-Commerce das dritte große Standbein von Automattic werden, erklärt der Geschäftsführer im Interview. WooCommerce integriert durch ein Plugin Shopping-Features in WordPress-Seiten. Zu den Mitbewerbern zählt Shopify. WordPress-Konkurrent Squarespace hat bereits eine E-Commerce-Funktion integriert. Mullenweg will mit der WooCommerce-Übernahme verhindern, dass sich die Reichweite des CMS aus New York  erhöht.

Automattic: WordPress-Gründer Mullenweg sieht keinen Grund bald an die Börse zu gehen. (Bild: Eva Blue / Flickr Lizenz: CC BY 2.0)
WordPress-Gründer Matt Mullenweg will mit WooCommerce ein drittes Standbein für Automattic aufbauen. (Bild: Eva Blue / Flickr Lizenz: CC BY 2.0)

WooCommerce-Integration nur auf WordPress.org

WooCommerce werde zwar in der selbstgehosteten Lösung WordPress.org eingebaut sein, allerdings noch nicht in WordPress.com, informiert der CEO. Eine spätere Integration stellt er jedoch in Aussicht. Das WooCommerce-Plugin zählt zu den beliebtesten E-Commerce-Plugins des WordPress-Ökosystems. Für bestehende Kunden werde sich vorerst nichts ändern, informiert das Unternehmen. Der 2008 gegründete E-Commerce-Dienstleister beschäftigt 55 Personen, die auf 20 Länder verteilt sind. Das soll auch so bleiben, schreibt Mitgründer Mark Forrester.

]]>
Elisabeth Oberndorfer
Getrennte Wege: Neos spaltet sich von TYPO3-Association ab http://t3n.de/news/typo3-cms-neos-flow-trennung-611181/ 2015-05-18T15:15:00Z
Das Neos-Team wird sich von der TYPO3-Association abspalten. Durch den Schritt soll sich das Team besser auf die eigene Produktstrategie konzentrieren können.

Das Neos-Team wird sich von der TYPO3-Association abspalten. Durch den Schritt soll sich das Team besser auf die eigene Produktstrategie konzentrieren können.

TYPO3-Association und Neos gehen getrennte Wege

Die TYPO3-Association und das Team hinter Neos und Flow sollen zukünftig getrennte Wege gehen. Durch eine Trennung auf Organisationsebene soll sich das Neos-Team besser auf die eigene Produktstrategie konzentrieren und eine Infrastruktur aufbauen können, die besser zu den eigenen Bedürfnissen und Möglichkeiten passt. Das geht aus einer offiziellen Mitteilung der TYPO3-Association hervor.

Trennung von der TYPO3-Association: Neos soll als eigenständiges Projekt weiterlaufen. (Logo: TYPO3 Neos)
Trennung von der TYPO3-Association: Neos soll als eigenständiges Projekt weiterlaufen. (Logo: TYPO3 Neos)

Die Verhandlungen über die Trennung haben bereits begonnen. Die Umstellung soll in Zusammenarbeit mit beiden Gruppen vollzogen werden, um etwaige Spannungen zu vermeiden und der Verschwendung von Ressourcen vorzubeugen. Die TYPO3-Association will bald eine Abstimmung darüber abhalten, wie viel Unterstützung sie dem Neos-Team im Trennungsprozess und darüber hinaus zukommen lassen möchte.

TYPO3 CMS und Neos: Geplanter Nachfolger wird eigenständiges Projekt

Neos war ursprünglich als Nachfolger für das CMS geplant. Die Entwicklung an Neos und dem zugrundeliegenden PHP-Framework Flow begannen schon 2006. Seitdem wurde es stetig weiter entwickelt. Mit der Trennung der Projekte wollen die Teams dem Umstand Rechnung tragen, dass es sich letztlich um konzeptionell sehr unterschiedliche Produkte handelt. Die TYPO3-Association geht davon aus, dass die Trennung letztlich beide Projekte stärken wird.

]]>
Kim Rixecker
WordPress-Backup: 4 Wege zur ordentlichen Datensicherung http://t3n.de/news/wordpress-backup-methoden-und-plugins-609704/ 2015-05-18T06:23:03Z
Wer nicht früh genug vorsorgt, wird es irgendwann umso stärker bereuen. Wir zeigen dir Möglichkeiten, um ein gutes WordPress-Backup anzulegen.

Wer nicht früh genug vorsorgt, wird es irgendwann umso stärker bereuen. Wir zeigen dir Möglichkeiten, um ein gutes WordPress-Backup anzulegen.

Eine WordPress-Webseite ohne ordnungsgemäße Datensicherung ist wie ein Auto ohne TÜV. Wer es noch nicht selbst auf die harte Tour lernen musste, sollte einfach Vertrauen haben, dass eine Stunde für das Einrichten und Überwachen eines ordnungsgemäßen Backups viele Stunden und Tränen zur Wiederherstellung von verlorenen Daten erspart.

WordPress bietet von sich aus keine Backup-Routinen für Themes, Plugins und Inhalte an. Der WordPress-Exporter reicht als Datensicherung nicht aus, da hier nur einige Inhalte aus der Datenbank und Verweise zu Mediendaten gespeichert werden. Sollte sich der Server mal verabschieden, ist ein großer Teil der Daten verloren.

Backup durch den Hoster

„Backup-Lösungen von Webhostern nehmen dir oft die Kontrolle über die Daten.“

Viele Hoster machen regelmäßige Sicherungen deiner Daten und bieten dir die Möglichkeit, sie bei einem Problem wieder einzuspielen. Prinzipiell ist das eine gute Sache. Je nach Konfiguration des Backups kann es aber zum Problem werden.

Hast du beispielsweise mehrere Webseiten in einem „Account“ bei einem Anbieter, kann es sein, das die eingespielte Sicherung auch die Dateien und Datenbank-Inhalte der nicht betroffenen Seiten aus dem wiederherstellt. Wenn du dich auf die Sicherung des Anbieters verlassen willst, solltest du sicherstellen, dass du das Backup runterladen kannst. Eine Datensicherung, über die du nicht die volle Kontrolle hast, ist ein Spiel mit dem Feuer.

WordPress-Backup per Hand oder Skript

Die Datensicherung unter ist natürlich kein Hexenwerk. Sind die Dateien und die Datenbank gesichert, bist du in der Regel auf der sicheren Seite und hast deine Seite im Fall des Falles schnell wieder einsatzbereit. Eine solche Sicherung kannst du natürlich manuell via FTP-Client und PHPMyAdmin anlegen und auf deinen Computer oder einen anderen sicheren Ort deiner Wahl laden.

„Eigene Backup-Routinen bieten volle Kontrolle, sind aber nicht immer einfach.“

Mit ein paar Zeilen PHP kannst du dir diesen Vorgang aber auch vereinfachen und automatisch ein Archiv deiner Webseite und einen Dump der dazugehörigen Datenbank erstellen. So musst du die Daten nur noch regelmäßig in komprimierter Form runterladen. Für WordPress Benutzer stehen aber zahlreiche Alternativen zur Verfügung, die eine Datensicherung noch einfacher machen.

WordPress-Backup mit BackWPup

BackWPup Screenshot
BackWpup sichert das komplette WordPress Dateisystem und die dazugehörige Datenbank lokal oder auf einem externen Server. (Grafik: BackWPup)

BackWPup kann je nach Einstellung eine komplette Sicherung des WordPress-Dateisystems sowie der Datenbank anlegen. Das Tool erstellt Datensicherungen auf Knopfdruck, über einen Link oder über die wp_cron.php in regelmäßigen Zeitabständen. Achtung: Wenn deine wp_cron.php nicht von einem Cronjob ausgeführt wird, kann sich das Backup aber verzögern, wenn deine Webseite zum gewünschten Backup-Zeitpunkt nicht aufgerufen wird.

Neben der einfachen Datensicherung in einen Ordner auf dem Server unterstützt BackWPup einen Remote-Upload via FTP oder kann an verschiedene Cloud-Dienste angebunden werden.

In der Pro-Version von BackWPup stehen neben anderen Funktionen zusätzliche Speicher-Anbieter sowie inkrementelle Sicherungen zur Verfügung. Eine automatische Wiederherstellung bietet BackWPup aber nicht.

Cloud-Datensicherung mit VaultPress

VaultPress
VaultPress macht das WordPress-Backup in der Cloud und kann deine Seite automatisch wiederherstellen. (Screenshot: VaultPress)

VaultPress ist ein Cloud-Backup-Service und gehört zur WordPress-Mutterfirma Automattic. Der kostenpflichtige Dienst bietet dir regelmäßige Datensicherungen deiner WordPress-Webseite inklusive aller Dateien. Hierbei wird deine WordPress-Webseite für fünf US-Dollar im Monat täglich gesichert. Zusätzlich zur Datensicherung bietet VaultPress dir die Möglichkeit, deine Webseite automatisch wiederherstellen zu lassen und das mit bis zu 30 Tage alten Sicherungen. Sollte etwas mal nicht klappen, helfen dir so genannte „Saftkeeper“ ohne zusätzliche Kosten weiter.

Für 15 US-Dollar pro Monat sichert VaultPress deine Webseite in Echtzeit ab und bietet Zugriff auf sämtliche Datensicherungen, die während der Laufzeit angelegt wurden. Wenn du dich nicht auf die automatische Wiederherstellung verlassen willst, kannst du deine Backups auch jederzeit runterladen.

Neben den Sicherungs-Features bietet VaultPress auch interessante Security-Features an. Der Dienst scannt deine WordPress-Webseite regelmäßig auf potentielle Bedrohungen und informiert dich über Probleme und mögliche Lösungsansätze. Besonders gefährliche Probleme behebt VaultPress sogar automatisch (und benachrichtigt dich). Die Preise verstehen sich pro WordPress-Installation beziehungsweise Multisite-Seite.

Auch wenn die Funktionen von VaultPress sich durchaus sehen lassen können und die Preise vergleichsweise niedrig sind, sollte man nicht vergessen, dass es sich hierbei um einen US-Dienst handelt und ihr keine volle Kontrolle über eure Daten behalten könnt.

Automatische Sicherung und Wiederherstellung mit BackupBuddy

BackupBuddy Logo
BackupBuddy macht Sicherungen lokal oder auf externen Servern und stellt bei Bedarf komplette Seiten oder einzelne Dateien wieder her. (Grafik: BackupBuddy)

BackupBuddy ist ein Premium-Plugin für WordPress, mit dem du automatisch regelmäßige Datensicherungen des WordPress-Dateisystems und der Datenbank erstellen kannst. Das Plugin kann dabei ähnlich wie BackWPup Sicherungen lokal und auf externen Diensten wie Dropbox, Amazon S3 oder dem eigenen Cloud-Dienst Stash anlegen. Natürlich ist auch eine Sicherung auf einen FTP-Server deiner Wahl möglich.

Anders als bei VaultPress, muss für BackupBuddy kein Abo abgeschlossen werden. Ab 80 US-Dollar sichert das Plugin die jeweils in der Lizenz enthaltene Anzahl von Webseiten ab (mindestens zwei). Ein Jahr kostenlose Updates und Support sind in jedem Paket inbegriffen.

Für 297 US-Dollar kannst du außerdem eine Lifetime-Lizenz erwerben, mit der du uneingeschränkt viele Seiten sichern kannst. Sämtliche Plugin-Updates sind hierbei ebenfalls inklusive.

Im 150 US-Dollar teuren Developer-Paket hast du ebenfalls die Möglichkeit, uneingeschränkt viele Webseiten zu sichern. Die Updates für das Plugin erhält du hierbei jedoch nur ein Jahr lang kostenlos. Jedes Paket erhält außerdem ein Gigabyte Backup-Speicher bei BackupBuddys Cloud-Dienst Stash.

Anders als BackWPup bietet BackupBuddy auch eine Wiederherstellungs-Funktion. Weitere nützliche Features sind ein automatischer Malware-Scan, Wiederherstellung einzelner Dateien und automatische Optimierung und Behebung von typischen Datenbank-Problemen.

Eine besonders interessante Funktion ist die Deployment- und Migrations-Funktionalität von BackupBuddy, mit der du WordPress-Webseiten von einer Domain oder einem Host zu einem anderen migrieren kannst. Auch serialisierte Daten werden von dem Plugin verarbeitet, sodass die Migration des Projekts in kürzester Zeit vollzogen werden kann. Auch sind mit dieser Funktionalität Staging-Szenarien möglich, sodass du beispielsweise auf einer lokalen Maschine entwickeln und die Änderungen samt Inhalten später auf die Live-Seite migrieren kannst.

Fazit

Viele Wege führen nach Rom – und bei Backups ist es nicht anders. Neben den hier vorgestellten Lösungen gibt es auch weitere Dienste und Plugins, die das Sichern von sämtlichen Daten oder auch nur der Datenbank ermöglichen. Egal, wie du deine Daten sichern willst: Hauptsache ist, dass du es tust. Schließlich ist es mit Backups genau so wie mit Kondomen. Besser eins haben und keins brauchen, als eins brauchen und keins haben.

Wie sicherst du deine WordPress-Webseite?

]]>
Ilja Zaglov
Alerts für alle: Secdash will stressfreie CMS-Wartung ermöglichen http://t3n.de/news/cms-wartung-secdash-alerts-610401/ 2015-05-13T10:30:01Z
Updates und Sicherheitsrisiken immer im Blick: Das Startup Secdash aus Frankfurt verspricht, CMS-Nutzer auf dem neuesten Stand zu halten.

Updates und Sicherheitsrisiken immer im Blick: Das Startup Secdash aus Frankfurt verspricht, CMS-Nutzer auf dem neuesten Stand zu halten.

Sicherheitslücken, Patches, System-Updates: Wer eine Website betreibt, muss am Ball bleiben, um sein Content-Management-System (CMS) auf dem neuesten Stand zu halten. Alles andere wäre ein Risiko für die hinterlegten Inhalte und Daten. Angesichts der schnelllebigen Entwicklungen kann das in Arbeit ausarten, zumal wenn gleich mehrere Seiten verwaltet werden. Secdash, ein neues Startup aus Frankfurt, will Seitenbetreibern diese Arbeit in Zukunft abnehmen.

Secdash: Sicherheits-Plugin für verschiedene CMS

Zentrale Anlaufstelle für die CMS-Wartung: Secdash bündelt Informationen und verschickt im Bedarfsfall Alerts. (Screenshot: Secdash)
Zentrale Anlaufstelle für die CMS-Wartung: Secdash bündelt Informationen und verschickt im Bedarfsfall Alerts. (Screenshot: Secdash)

Secdash“ steht für Security-Dashboard. Gemäß dem Motto „Website Maintenance Reinvented“ soll es die zentrale Anlaufstelle rund um die Aktualität und Sicherheit der im Einsatz befindlichen Content-Management-Systeme werden. Und so funktioniert es: Über ein zu installierendes CMS-Plugin werden die Parameter zum genutzten System ausgelesen und an Secdash übermittelt. Gleichzeitig sammelt ein eigener Crawler von Secdash aktuelle Informationen zu Sicherheitslücken und verfügbaren CMS-Updates aus dem Netz. Das System kombiniert diese Informationen, stellt sie in einem Dashboard übersichtlich dar und versendet in kritischen Fällen einen Alert per E-Mail, SMS oder API-Call. Zusätzlich zur Alert-Funktion dokumentiert Secdash Änderungen an der Website.

Secdash unterstützt WordPress, TYPO3, Joomla, Magento und Drupal. In der kostenlosen Version steht der Service allerdings nur für WordPress zur Verfügung. Wer ein anderes – oder gleich mehrere – CMS abdecken möchte, muss mindestens zum „Freelancer“-Paket für 49 Euro pro Monat greifen, bekommt dafür allerdings auch Versionsgeschichte und E-Mail-Support obendrauf.

Das Startup befindet sich noch in der absoluten Frühphase, die Idee der Jungs aus Frankfurt klingt allerdings schon einmal nicht schlecht. Wir sind gespannt, wie es mit Secdash weiter geht.

]]>
Lea Weitekamp
WordPress, TYPO3, Drupal und Co.: Die wichtigsten Updates für die wichtigsten CMS http://t3n.de/news/wordpress-joomla-drupal-co-cms-updates-608682/ 2015-05-12T14:16:53Z
Abseits der großen Major-Releases gibt es bei den bekannten CMS (und einem Blog-System) natürlich auch regelmäßig kleinere Updates. Die aus dem Monat April stellen wir euch hier kurz vor.

Abseits der großen Major-Releases gibt es bei den bekannten (und einem Blog-System) natürlich auch regelmäßig kleinere Updates. Die aus dem Monat April stellen wir euch hier kurz vor.

WordPress

WordPress 4.2 „Powell“ ist da – das ist neu. (Grafik: WordPress.org)
Neben zwei Sicherheits-Updates ist in letzter Zeit auch der neue Major-Release WordPress 4.2 „Powell“ veröffentlicht worden. (Grafik: WordPress.org)

Beim CMS sind letzten Monat einige Updates zusammen gekommen. Angefangen am 21. April mit einem Sicherheits-Release WordPress 4.1.2. Zwei Tage später ist mit WordPress 4.2 „Powell“ der neuste Major-Release gefolgt, über den wir hier bei t3n genauer berichtet haben.

Wiederum nur zwei Tage später wurde am 27. April schon der nächste Sicherheits-Release mit der Versionsnummer 4.2.1 nachgeschoben, der eine Cross-Site-Skripting-Lücke schließt, durch die eine Website über das Kommentarfeld kompromittiert werden kann. Am 7. Mai ist dann der nächste Sicherheits-Release 4.2.2 erschienen, der wieder eine XSS-Lücke schließt.

4.1.2

  • Fixed: kritische XSS-Lücke – Update dringend empfohlen
  • Fixed: Dateien mit ungültigem Namen können dennoch hochgeladen werden
  • Fixed: In WordPress 3.9 und höher kann seltene XSS-Lücke für Social Engineering genutzt werden

4.2

  • Hintergrund-Updates und -Installation für Plugins (kein Verlassen der Plugin-Seite mehr notwendig)
  • Theme-Wechsel direkt im Customizer möglich
  • Einführung von Emoji

4.2.1

  • Fixed: XSS-Lücke ermöglicht Kompromittierung der Site über das Kommentar-Formular

4.2.2

  • Fixed: XSS-Lücke innerhalb einer HTML-Datei, die mit Icon-Packs geliefert wird (betrifft unter anderem Twenty Fifteen)
  • Fixed: Potenzielle XSS-Lücke im visuellen Editor

TYPO3 CMS

Ab TYPO3 CMS 7.2 könnt ihr Bilder direkt im TYPO3-Backend beschneiden. (Screenshot: TYPO3.org)
Ab TYPO3 CMS 7.2 könnt ihr Bilder direkt im TYPO3-Backend beschneiden. (Screenshot: TYPO3.org)

Am 16. April wurde mit TYPO3 CMS 6.2.12 ein planmäßiger Wartungs-Release veröffentlicht, der über 60 Bugfixes und Verbesserungen enthält. Darunter sind Fehlerbehebungen bei der „Indexed Search“ und im Editor. Die genauen Änderungen könnt ihr in dem Wiki-Artikel auf TYPO3.org nachlesen.

Am 28. April wurde dann CMS 7.2 veröffentlicht, der nächste Sprint-Release auf dem Weg zum Long-Term-Support-Release TYPO3 CMS 7.6. In unserem t3n-Artikel findet ihr genauere Informationen zu der neuen Version.

6.2.12

  • Fixed: Probleme mit „Indexed Search“
  • Fixed: Probleme im Editor

7.2

  • Bilder können direkt im Backend beschnitten werden
  • Verbesserungen bei Routing/RealURL
  • Flexible Vorschau-URLs

TYPO3 Neos

TYPO3 Neos hat am 17. und 18. April jeweils ein Update spendiert bekommen. Am 17. wurde die neue Version 1.2.4 veröffentlicht, die einiges an Bugfixes mitbringt. Unter anderem wurde der Fehler behoben, dass nach einem Update von TYPO3 Neos das Backend zerschossen wurde, da Backend-Ressourcen noch im Browser-Cache vorlagen.

Version 1.2.5 wurde am Tag darauf veröffentlicht und bringt nur zwei Bugfixes mit. Diese betreffen die Navigation auf Seiten die Kind-Elemente eines Shortcuts sind und Veränderungen im Cache-Bereich bei TypoScript.

1.2.4

  • Fixed: Backend wird nach Update zerschossen (Cache-Problem)
  • Fixed: Composer.json integriert Entwickler-Versionen in stabilen Releases
  • Fixed: Ein Knoten verschwindet, wenn er zu einem neuen Eltern-Knoten und wieder zurück bewegt wird

1.2.5

  • Fixed: Problem mit Shortcut

Contao

Contao hat in diesem Monat zwei neue Versionen veröffentlicht, die noch nicht produktiv eingesetzt werden sollten. Am 13. April wurde die erste Beta-Version für Contao 4.0 vorgestellt. Mit der neuen Version wird Contao unter anderem zu einem Symfony-Bundle und kann damit zu jeder Symfony-Applikation hinzugefügt werden. Außerdem entfällt die Unterstützung von XHTML – es können also nur noch HTML5-Seiten erstellt werden.

Am 30. April wurde der erste Release Candidate zur Version 3.5 veröffentlicht. Mit der neuen 3.5-Version wird beispielsweise ein Frontend-Modul zum Ändern eines Passwortes eingeführt (bei dem zuerst das alte Passwort abgefragt wird), ein Insert-Tag um responsive Bilder einzufügen und es werden Optimierungen an der Performance vorgenommen. Genauere Informationen zu den neuen Funktionen in Contao 3.5 erfahrt ihr in dem Beitrag zur ersten Beta-Version.

4.0 – Beta 1

  • Contao wird zu einem Symfony-Bundle
  • Unterstützung von XHTML wird eingestellt
  • Keine Unterstützung von .htaccess-Dateien mehr notwendig, damit auch keine Bindung an Apache mehr

3.5 – RC 1

  • Inserttag für responsive Bilder ({{picture}})
  • Newsletter-Empfänger können in anderen Channel verschoben werden
  • Modul zum Ändern des Passwortes im Frontend, bei dem zuerst das alte Passwort abgefragt wird

Drupal

Drupal hat am 2. April die Version 7.36 veröffentlicht. Dieser behebt einige Bugs und bringt kleinere neue Funktionen, so kann nun beispielsweise geprüft werden, ob ein Nutzer eine bestimmte Rolle hat. Des Weiteren kann bei einem Skript angegeben werden, ob es jQuery benötigt oder nicht. Auch das generelle Laden von jQuery auf jeder Seite kann nun verhindert werden. Alle Veränderungen im Detail könnt ihr im Changelog nachlesen.

Am 7. Mai wurde Drupal 7.37 veröffentlicht. Die neue Version entfernt unter anderem eine verwirrende Beschreibung bei der automatischen Erkennung der Zeitzone und erlaubt eigene HTML-Tags mit einem Strich im Namen.

7.36

  • user_has_role()-Funktion prüft, ob Nutzer bestimmte Rolle hat
  • javascript_always_use_jquery – Variable, die auf FALSE gesetzt werden kann, wenn nicht auf allen Seiten jQuery benötigt wird
  • Fixed: Falsche Fremdschlüssel in den Datenbank-Tabellen role_permission und users_roles

7.37

  • Erlaubt eigene HTML-Tags mit Strich im Namen
  • Verwirrende Beschreibung im Bezug auf automatische Erkennung der Zeitzone beim User-Formular entfernt

Ghost

Die Macher von Ghost haben im letzten Monat drei neue Versionen veröffentlicht. Am 13. April wurde Ghost 0.6.0 der Öffentlichkeit zugänglich gemacht. Die neue Version bringt unter anderem eine Rechtschreib-Korrektur für den Editor und Uploads im Editor von mobilen Endgeräten. Eine komplette Liste der Neuerungen findet ihr hier.

Am 22. April ist dann die Version 0.6.1 gefolgt, die ein paar Bugs behebt. Auch Version 0.6.2, die ebenfalls am 22. veröffentlicht wurde, bringt nur Bugfixes mit. Beide Updates bringen auch eine neue Version des Standard-Themes „Caspar“ mit.

0.6.0

  • Rechtschreibprüfung im Editor
  • Uploads von mobilen Geräten
  • Helper für vorherigen/nächsten Post

0.6.1

  • Neue Version des Caspar-Theme
  • Fixed: Autoren können ihr Profil im Backend nicht anschauen
  • Fixed: {{ghost_head}} gibt einen Fehler auf eigenen Fehler-Seiten

0.6.2

  • Fixed: Probleme beim Text-Styling von Caspar
]]>
Florian Brinkmann
WordPress-Konfiguration: Die 5 wichtigsten Entwickler-Einstellungen, bevor die Tastatur glüht http://t3n.de/news/wordpress-konfiguration-entwickler-607559/ 2015-05-03T08:12:13Z
Bevor eine Theme- oder Plugin-Entwicklung auf einer neuen Wordpress-Installation begonnen werden kann, müssen zuvor gewisse Einstellungen vorgenommen werden. Dabei sind nicht alle Einstellungen …

Bevor eine Theme- oder Plugin-Entwicklung auf einer neuen WordPress-Installation begonnen werden kann, müssen zuvor gewisse Einstellungen vorgenommen werden. Dabei sind nicht alle Einstellungen über das Backend zugänglich, sondern müssen in der Konfigurationsdatei bearbeitet werden – wir zeigen euch die fünf wichtigsten.

Die Konfigurationsdatei nennt sich bei wp-config.php und ist auf der ersten Ebene des Installation-Verzeichnisses zu finden. Diese Konfigurationsdatei ist global und birgt alle grundsätzlichen Einstellungen. Unter anderem ist in der Datei auch die Datenbank-Verknüpfung hinterlegt.

In den folgenden fünf Punkten will ich euch die wichtigsten Einstellungen der wp-config zeigen, die während der Theme- oder Plugin-Entwicklung interessant und wichtig sein können.

1. Auto-Update deaktivieren

WordPress-Updates sind wichtig, aber für Entwickler manchmal auch hinderlich.
WordPress-Updates sind wichtig, aber für Entwickler manchmal auch hinderlich.

WordPress besitzt seit der Version 3.7 eine automatische Core-Update-Funktionalität. Dabei wird WordPress im Hintergrund mit Minor-Updates versorgt. Das ist natürlich sinnvoll, um die Sicherheit einer WordPress-Webseite zu gewährleisten. In der Entwicklungsphase aber ist es eher hinderlich, wenn sich deshalb der WP-Core ändert und somit gegebenenfalls Fehler am oder entstehen können. Doch das Update könnt ihr auch ganz einfach deaktivieren:

define( 'WP_AUTO_UPDATE_CORE', false );

2. WordPress-Debugging aktivieren

Um ein Theme oder Plugin erfolgreich zu entwickeln, braucht es natürlich auch eine Fehlerausgabe. Mit den folgenden Befehlen wird das komplette Debugging bei WordPress aktiviert und zusätzlich geloggt. Alle Fehler werden in einer Log-Datei gespeichert und direkt ausgegeben. Zusätzlich sind die Datenbank-Abfragen noch mal in einem PHP-Objekt gespeichert.

define( 'WP_DEBUG', true );
define( 'WP_DEBUG_LOG', true );
define( 'WP_DEBUG_DISPLAY', true );
define( 'SCRIPT_DEBUG', true );
define( 'SAVEQUERIES', true );

3. Site- und Home-URL festlegen

Die Site- und Home-URL kann natürlich auch über das Backend bearbeitet werden (Einstellungen > Allgemein). Hierbei ist die Definition auch eher eine Vorsichtsmaßnahme. Sobald WP_SITEURL und WP_HOME gesetzt sind, können die Seiten-Adresse und WordPress-Adresse über das Backend nicht mehr verändert werden. Somit ist es ausgeschlossen, dass aus Versehen die URL der WordPress-Installation oder des Blogs verändert wird und die ganze Seite abschmiert. Diese Einstellung kann natürlich auch nach der weiterhin interessant sein, damit unerfahrene Nutzer die Seite nicht abschießen.

define( 'WP_SITEURL', 'https://t3n.de/' );
define( 'WP_HOME', 'https://t3n.de/news' );

4. WordPress-Lokalisierung angeben

Auch die Lokalisierung kann über die wp-config erfolgen. (Grafik: Shutterstock)
Auch die Lokalisierung kann über die wp-config erfolgen. (Grafik: Shutterstock)

Natürlich darf die Angabe der Lokalisierung auch nicht fehlen. WordPress erhält damit die Anweisung, welche Sprachdateien benutzt werden sollen. WPLANG erhält den Ländercode des jeweiligen Landes und wählt somit die richtige Sprachdatei, wenn vorhanden, im Ordner „/wp-includes/languages“ aus. Ab der WordPress-Version 4 kann die Sprache auch über das Backend ausgewählt werden (Einstellungen > Allgemein).

define( 'WPLANG', 'de_DE' );

5. Datei-Modifikation deaktivieren

Mit dieser Einstellung werden alle Funktionen im Backend deaktiviert, die dafür sorgen, dass Dateien aktualisiert, gelöscht oder hinzugefügt werden können. Somit sind die Inline-Editoren für Plugins und Themen deaktiviert, es können keine Updates durchgeführt und natürlich auch keine Plugins und Themes installiert werden. Diese Einstellung ermöglicht die Sicherstellung einer nicht modifizierten Datenbasis, die wiederum auch interessant für den Live-Betrieb sein kann.

define( 'DISALLOW_FILE_MODS', true );

Zusammenfassung

Wichtig ist immer, dass ihr den Überblick nicht verliert. Es muss klar verständlich sein, welche Konfiguration und Möglichkeiten aktuell eingestellt sind. Legt euch notfalls eine Vorlage mit einer fertigen wp-config.php-Datei an, die nur kopiert werden muss.

Zudem können in der wp-config noch viele weitere Einstellungen vorgenommen werden – beispielsweise das Aktivieren von SSL oder der Multisite. All diese Möglichkeiten könnt ihr im WordPress-Codex nachschlagen.

]]>
Jonathan Schneider
TYPO3 CMS 7.2: Das ist neu http://t3n.de/news/typo3-cms-7-2-607456/ 2015-04-28T13:54:46Z
Mit TYPO3 CMS 7.2 ist der nächste Sprint-Release auf dem Weg zum Long-Term-Support 7.6 veröffentlicht worden. Als Neuerung mit dabei ist unter anderem die Möglichkeit, Bilder direkt in TYPO3 zu …

Mit 7.2 ist der nächste Sprint-Release auf dem Weg zum Long-Term-Support 7.6 veröffentlicht worden. Als Neuerung mit dabei ist unter anderem die Möglichkeit, Bilder direkt in TYPO3 zu beschneiden. Diese und weitere Änderungen stellen wir euch kurz vor.

TYPO3 CMS 7.2: Bilder beschneiden und weitere sichtbare Neuerungen

Ab TYPO3 CMS 7.2 könnt ihr Bilder direkt im TYPO3-Backend beschneiden. (Screenshot: TYPO3.org)
Ab TYPO3 CMS 7.2 könnt ihr Bilder direkt im TYPO3-Backend beschneiden. (Screenshot: TYPO3.org)

Die wohl auffälligste Neuerung stellt die Möglichkeit dar, Bilder direkt in TYPO3 zu beschneiden. So könnt ihr den Ausschnitt eines hochgeladenen Bildes vor dem Einfügen in eine Seite noch mal anpassen. Eine weitere praktische Änderung sind die Systeminformationen, die ihr euch durch einen Klick auf das Icon links neben dem Benutzer-Icon anzeigen lassen könnt.

Des Weiteren kann bei einer Aktualisierung eines Plugins jetzt gewählt werden, auf welche Version aktualisiert werden soll. Hier wird nicht mehr standardmäßig auf die neueste verfügbare Version aktualisiert. Außerdem könnt ihr die Login-Seite jetzt ein bisschen individualisieren: mit einem eigenen Hintergrundbild sowie eigenem Logo.

TYPO3 CMS 7.2: Flexible Vorschau-URLs und mehr

Seit TYPO3 CMS 7.2 lassen sich die wichtigsten Systeminformationen mit einem Klick einblenden. (Screenshot: TYPO3.org)
Seit TYPO3 CMS 7.2 lassen sich die wichtigsten Systeminformationen mit einem Klick einblenden. (Screenshot: TYPO3.org)

Neben den sichtbaren Veränderungen bringt die neue TYPO3-CMS-Version auch einige Neuerungen mit, die unter der Haube (oder jedenfalls nicht so auffällig) wirken. Ihr könnt zum Beispiel eigene Vorschau-URLs festlegen und mit dem HTMLparser jetzt automatisch leere HTML-Tags löschen. Eine weitere Neuerung unter der Haube ist die Unterstützung von SVG-Grafiken.

Die weiteren Änderungen findet ihr in dem Ankündigungsbeitrag zu TYPO3 CMS 7.2 auf TYPO3.org. Wenn ihr es ganz genau wissen wollt, solltet ihr einen Blick in die „What’s-new“-Slides werfen.

Wenn ihr schon TYPO3 CMS 7.1 nutzt, solltet ihr möglichst schnell das Update auf die neue Version machen, da der Sprint-Release keine regelmäßigen Updates für Bugfixes bekommen wird. Runterladen könnt ihr euch die neue Version von TYPO3.org.

]]>
Florian Brinkmann
Dauerstress für WordPress-Admins: Neue Lücke für XSS-Angriffe entdeckt http://t3n.de/news/wordpress-sicherheitsluecke-xss-607273/ 2015-04-28T09:09:37Z
Eine neu entdeckte Sicherheitslücke ermöglicht es Angreifern, Schad-Code über die Kommentarfunktion von WordPress einzuschleusen. Im schlimmsten Fall kann der Angreifer so das Administratoren-Konto …

Eine neu entdeckte ermöglicht es Angreifern, Schad-Code über die Kommentarfunktion von einzuschleusen. Im schlimmsten Fall kann der Angreifer so das Administratoren-Konto übernehmen.

WordPress-Lücke: Cross-Site-Scritpting

Für WordPress-Administratoren gab es in letzter Zeit viel zu tun. Ein Update und diverse Sicherheitslücken hielten die WordPress-Betreuer auf Trab. Jetzt ist eine neue Sicherheitslücke entdeckt worden, die das Einschleusen von schädlichem JavaScript-Code über die Kommentarfunktion mit Hilfe von Stored Cross-Site-Scripting ermöglicht.

Das Cross-Site-Scripting, kurz XSS, ist eine Form der HTML-Injection, mit deren Hilfe Daten verändert werden können, die vom Nutzer an eine Webanwendung übergeben werden. Der verbreitetste Angriffspunkt sind Eingabeformulare oder -masken einer Website, zu denen auch die besagte Kommentarfunktion zählt. Lässt sich ein Nutzer mit Administratoren-Rechten eine mit Schad-Code versehene Nachricht außerhalb des Admin-Bereiches anzeigen, kann sein Account übernommen werden.  So bekommt ein Angreifer im schlimmsten Fall die Administratoren-Rechte und damit Kontrolle über die WordPress-Installation.

WordPress-Déja-vu

Auf wordpress.org steht bereits ein Update bereit – Installation dringend empfohlen! (Screenshot: wordpress.org)
Auf wordpress.org steht bereits ein Update bereit – Installation dringend empfohlen! (Screenshot: wordpress.org)

Mit der Veröffentlichung des letzten WordPress-Updates wurde vor gerade mal sieben Tagen eine Sicherheitslücke geschlossen, die ebenfalls Cross-Site-Scripting ermöglichte – lasst euch hier also nicht durcheinander bringen. Die neue Sicherheitslücke wurde mit dem letzten Update nicht beseitigt und bedarf einer erneuten Aktualisierung eurer WordPress-Installation.

Folgende WordPress-Versionen mit den MySQL-Versionen 5.1.53 und 5.5.41 sind laut Angabe der Entdecker der Sicherheitslücke betroffen:

  • 4.2
  • 4.1.2
  • 4.1.1
  • 3.9.3

Ein entsprechendes WordPress-Update auf die neueste Version 4.2.1 sowie Fixes für die älteren Versionen stehen schon zur Verfügung. Wir raten euch dringend, eure Version zu überprüfen und das Update zu installieren. Über „Dashboard“ und „Updates“ könnt ihr eine manuelle Aktualisierung starten. Ist die automatische Aktualisierung aktiviert, sollte das Update schon installiert sein.

via www.heise.de

]]>
Gerrit Kilian
Der große Performance-Guide für eure WordPress-Installation [Infografik] http://t3n.de/news/wordpress-installation-performance-tipps-607040/ 2015-04-27T11:52:56Z
Am 23. April ist mit „Powell“ die neueste Version von WordPress erschienen. Zeit, einmal zu schauen, mit welchen Tricks ihr eurer WordPress-Installation auf die Sprünge helfen könnt, wenn die …

Am 23. April ist mit „Powell“ die neueste Version von WordPress erschienen. Zeit, einmal zu schauen, mit welchen Tricks ihr eurer WordPress-Installation auf die Sprünge helfen könnt, wenn die Performance mal nicht stimmt.

WordPress ist beliebt

Rund 66 Millionen WordPress-Installationen sind weltweit im Einsatz. Längst nutzen auch namhafte Websites das Content-Management-System, darunter Seiten wie TechCrunch, Reuters, Vogue und das Time Magazine. Das ursprünglich als reine Blogger-Software gestartete WordPress hat sich in den letzten Jahren stetig weiterentwickelt und an Umfang zugenommen.

Wo immer mehr Funktionen ineinandergreifen, gibt es allerdings auch viel Potential für Reibung und Fehler. Sogar Kleinigkeiten können zu Problemen führen, wenn sie erst einmal Usus geworden sind. Es gibt zahlreiche Ursachen für eine lahmende WordPress-Installation. Viele Performance-Probleme können beseitigt werden, ohne dafür euere WordPress-Installation von Grund auf zu verändern. Bei einigen ist ein tieferer Eingriff in das System nötig.

Die Infografik des indischen IT-Anbieters Perception System zeigt euch in elf Schritten, wo ihr ansetzen könnt, um die Performance eurer WordPress-Installation zu verbessern.

Mit einem Klick auf den folgenden Ausschnitt öffnet ihr die vollständige Infografik.

wordpress performance grafik ausschnitt

 

 

]]>
Gerrit Kilian