ursus contionabundo: Wordpress immer beliebter

Jahresbericht: Rund dreimal so viele Sicherheitslücken in WordPress wie im Vorjahr

Kernaussagen:

  • zwei Prozent der Lücken im Code von WordPress selbst,
  • 98 Prozent in Plug-ins

Ich liebe das Zeug…

Akzeptierte Antworten zum Thema:

  1. Servus!

    Bei den Plugins ist es wie mit den CSS-Eigenschaften und Farben:

    "Less is more!" - „Weniger ist mehr!“

    Herzliche Grüße

    Matthias Scharwies

    -- "I don’t make typos. I make new words."
    1. hallo

      Servus!

      Bei den Plugins ist es wie mit den CSS-Eigenschaften und Farben:

      "Less is more!" - „Weniger ist mehr!“

      Die fehlende Farbangabe im WIKI body macht die Seite tatsächlich farbiger.

      scnr

      -- https://beat-stoecklin.ch/pub/index.html
  2. Hello,

    Jahresbericht: Rund dreimal so viele Sicherheitslücken in WordPress wie im Vorjahr

    Kernaussagen:

    • zwei Prozent der Lücken im Code von WordPress selbst,
    • 98 Prozent in Plug-ins

    In dem verlinkten Bericht besorgt mich besonders ein Satz

    Admins sollten sicherstellen, dass sich das CMS und die Plug-ins, wenn möglich, automatisch aktualisieren. (des) 

    Das würde ich angesichts der Aussage zu den Lücken niemals tun. Da hast Du bei deiner Version gerade die gefundenen Lücken gefixt, und dann installiert sich ein "Update", und die meisten Lücken sind wieder drin... :-O

    Gibt es irgendwo eine Liste mit den üblichen Lücken-Codes?
    Das muss nicht explizit sein, sondern es reichen mir die falsch benutzten Verfahren:
    Bsp. Uploads, Bild- und Textkontrolle, Öffentliche Verzeichnisse, fehlendes Logging von Fehlversuchen, usw...

    Glück Auf
    Tom vom Berg

    -- Es gibt nichts Gutes, außer man tut es!
    Das Leben selbst ist der Sinn.
    1. Hej TS,

      Das würde ich angesichts der Aussage zu den Lücken niemals tun. Da hast Du bei deiner Version gerade die gefundenen Lücken gefixt, und dann installiert sich ein "Update", und die meisten Lücken sind wieder drin... :-O

      Dann nutzt du nicht die (empfohlenen) Child-Themes!

      Marc

      -- Ceterum censeo Google esse delendam
      1. Hello,

        Hej TS,

        Das würde ich angesichts der Aussage zu den Lücken niemals tun. Da hast Du bei deiner Version gerade die gefundenen Lücken gefixt, und dann installiert sich ein "Update", und die meisten Lücken sind wieder drin... :-O

        Dann nutzt du nicht die (empfohlenen) Child-Themes!

        Du verwirrst mich jetzt.

        1. Was haben die Styles mit der Backendprogrammierung (PHP) zu tun?
        2. Wie kann man mittels CSS Sicherheitslücken in sein Backend reißen?

        Glück Auf
        Tom vom Berg

        -- Es gibt nichts Gutes, außer man tut es!
        Das Leben selbst ist der Sinn.
        1. Servus!

          Das würde ich angesichts der Aussage zu den Lücken niemals tun. Da hast Du bei deiner Version gerade die gefundenen Lücken gefixt, und dann installiert sich ein "Update", und die meisten Lücken sind wieder drin... :-O

          Dann nutzt du nicht die (empfohlenen) Child-Themes!

          Du verwirrst mich jetzt.

          1. Was haben die Styles mit der Backendprogrammierung (PHP) zu tun?

          Die Child Themes (siehe im Wiki: WordPress/Child Theme einrichten) bestehen nicht nur aus Styleheets, sondern auch aus PHP-Templates, mindestens einer functions.php, oft auch einer header.php und einer footer.php. Wenn Du dort was selbstgestricktes kaufst oder kostenlos nutzt, weißt Du eben nicht, welche Lücken drin sind. Bei den „offiziellen“ Themes Twenty... gibt es 100.000e Downloads und entsprechend viel Aufmerksamkeit, dass da eben keine Lücken drin sind, oder sie schnell gestopft werden.

          1. Wie kann man mittels CSS Sicherheitslücken in sein Backend reißen?

          Nicht. Aber: Je mehr Plugins mit JasvaScript, JQuery und PHP du herunterlädst, desto mehr Programme beeinflussen sich gegenseitig - also nur 2 oder 3 Plugins!

          BTW: Die Artikel zu WordPress im Wiki sind noch Baustellen, die mach ich bis Ende Januar fertig.

          Herzliche Grüße

          Matthias Scharwies

          -- "I don’t make typos. I make new words."
          1. Hello,

            BTW: Die Artikel zu WordPress im Wiki sind noch Baustellen, die mach ich bis Ende Januar fertig.

            Ich habe mal die Themen für zwei Abschnitte hinzugefügt. Schau doch bitte, ob Dir das in den Kram passr.

            Glück Auf
            Tom vom Berg

            -- Es gibt nichts Gutes, außer man tut es!
            Das Leben selbst ist der Sinn.
            1. Servus!

              Ich habe mal die Themen für zwei Abschnitte hinzugefügt. Schau doch bitte, ob Dir das in den Kram passr.

              Danke, die (vorläufige) Einteilung habe ich von einer sehr ausführlichen Mail im Feedback bekommen. Dort wollte ein Leser ein Konzept entwickeln, wie ein Verein aus der 5-Minuten-Installation von WordPress innerhalb eines Wochenendes eine funktionsfähige Webseite auf einem lokalen Server herzaubert, die dann nach weiteren Feinarbeiten online gestellt werden kann.

              Ich will kein Wordpress-Howto-Tutorial schreiben - davon gibt's viele. In diesem Kurs soll's hauptsächlich um "best practice"-Tipps und Verlinkungen auf bestehende Artikel im Wiki gehen.

              Dein vorgeschlagenes Kapitel 9 "Datensicherung und Wiederherstellung" ist in den WordPress/Vorüberlegungen#Backup drin.

              Drunter findet sich was zum Benutzer-_und_Rollenmanagement, was Du wohl mit "Benutzeranmeldung" gemeint hast.

              Der Upload ist wie bei MediaWiki (und wohl jedem CMS) so eingestellt, dass Bilder in „normalen“ Formaten, Videos und Audios hochgeladen werden können, anderes aber nicht. SVGs, die ja auch Skript enthalten können, sind normalerweise nicht zugelassen. Du kannst da tricksen (siehe: SVG/Tutorials/Einsatz_im_CMS).

              Die (vorgeschlagenen Artikel zu) Plugins auf der rechten Seite sollte man wohl nicht im Wiki, sondern eher in Form von Blog-Artikeln behandeln, da Plugins ja doch ein eingebautes Verfallsdatum haben. (Wobei der Events-Calendar, den ich auch benutze, so wohl schon seit 10 Jahren herumgeistert.)

              Herzliche Grüße

              Matthias Scharwies

              -- "I don’t make typos. I make new words."
          2. Hej Matthias,

            BTW: Die Artikel zu WordPress im Wiki sind noch Baustellen, die mach ich bis Ende Januar fertig.

            Ach, da war doch was… - habe ich doch auch was zu versprochen. Aber du bist schuld. Du solltest mich erinnern 😉

            Marc

            -- Ceterum censeo Google esse delendam
            1. Servus!

              Hej Matthias,

              BTW: Die Artikel zu WordPress im Wiki sind noch Baustellen, die mach ich bis Ende Januar fertig.

              Ach, da war doch was… - habe ich doch auch was zu versprochen. Aber du bist schuld. Du solltest mich erinnern 😉

              Ich wollte das erst noch zwei Wochen reifen lassen, da ich im Augenblick auch viel zu tun habe - aber wenn so ein Forums-Thread anklopft! 😀

              Herzliche Grüße

              Matthias Scharwies

              -- "I don’t make typos. I make new words."
          3. Hallo,

            Nicht. Aber: Je mehr Plugins mit JasvaScript, JQuery und PHP du herunterlädst, desto mehr Programme beeinflussen sich gegenseitig - also nur 2 oder 3 Plugins!

            du kommst mit 2/3 Plugins aus? Wahnsinn. Jede Webseite von mir die ich mit Wordpress umsetzte hat mindestens 8 - 10 Plugins. Wenn du ein professionelle Design kaufst sind allein schon 4-6 Plugins dabei.

            1. Servus!

              Hallo,

              Nicht. Aber: Je mehr Plugins mit JasvaScript, JQuery und PHP du herunterlädst, desto mehr Programme beeinflussen sich gegenseitig - also nur 2 oder 3 Plugins!

              du kommst mit 2/3 Plugins aus? Wahnsinn.

              Grad gezählt:

              • Bullit Proof Security
              • Classic Editor
              • Events Calendar
              • Fancy Gallery

              Dafür habe ich im Design/ Layout Einschränkungen, wie ich sie mit Felix PG-CMS nicht hatte. Ziel der nächsten Wochen ist es, mit Short Code hier kleine Widgets zu bauen.

              Jede Webseite von mir die ich mit Wordpress umsetzte hat mindestens 8 - 10 Plugins.

              So wie ich das hier aus dem Forum mitkriege, sind da wohl auch immer/oft Shopsysteme dabei - viel komplexer als eine dann doch relativ einfache Schul-Homepage.

              Wenn du ein professionelle Design kaufst sind allein schon 4-6 Plugins dabei.

              Da ist wohl eben die Frage, ob diese professionellen Designs wirklich einen Vorteil gegenüber den Standard Themes haben. Abschließend kann ich die auch nicht beantworten.

              BTW: Der Self-Blog hat ein gekauftes Theme "Waipoua" und aktuell 10 Plugins.

              Herzliche Grüße

              Matthias Scharwies

              -- "I don’t make typos. I make new words."
        2. Hej TS,

          Das würde ich angesichts der Aussage zu den Lücken niemals tun. Da hast Du bei deiner Version gerade die gefundenen Lücken gefixt, und dann installiert sich ein "Update", und die meisten Lücken sind wieder drin... :-O

          Dann nutzt du nicht die (empfohlenen) Child-Themes!

          Du verwirrst mich jetzt.

          1. Was haben die Styles mit der Backendprogrammierung (PHP) zu tun?
          2. Wie kann man mittels CSS Sicherheitslücken in sein Backend reißen?

          Ein Theme besteht ja nicht nur aus CSS-Dateien. Du kannst auch beispielsweise die header.php in dein Child-Thema übernehmen, dort Anpassungen vornehmen und Sicherheitslücken stopfen. Dadurch kannst du das Parent-Thema weiter updaten, ohne deine Anpassungen zu verlieren. WP nimmt alle Dateien des Child-Themes und holt sich aus dem Parent-Thema nur das, was du nicht angepasst hast.

          Marc

          -- Ceterum censeo Google esse delendam
  3. Hej ursus,

    Jahresbericht: Rund dreimal so viele Sicherheitslücken in WordPress wie im Vorjahr

    Kernaussagen:

    • zwei Prozent der Lücken im Code von WordPress selbst,
    • 98 Prozent in Plug-ins

    Ich liebe das Zeug…

    Und da steht etwas von 54.000 Plugins und gut 500 Sicherheitslücken. Heißt das mehr als 99% aller Plugins haben keine einzige Sicherheitslücke? — Ich verstehe den Artikel nicht, ehrlich gesagt.

    Marc

    -- Ceterum censeo Google esse delendam
    1. Hello,

      Jahresbericht: Rund dreimal so viele Sicherheitslücken in WordPress wie im Vorjahr

      Kernaussagen:

      • zwei Prozent der Lücken im Code von WordPress selbst,
      • 98 Prozent in Plug-ins

      Ich liebe das Zeug…

      Und da steht etwas von 54.000 Plugins und gut 500 Sicherheitslücken. Heißt das mehr als 99% aller Plugins haben keine einzige Sicherheitslücke? — Ich verstehe den Artikel nicht, ehrlich gesagt.

      Das ist leider keine 1:1-Beziehung.
      Es tauchen immer wieder die gleichen fehlerhaften Verfahren auf, bunt verteilt über alle Plugins.

      Glück Auf
      Tom vom Berg

      -- Es gibt nichts Gutes, außer man tut es!
      Das Leben selbst ist der Sinn.
  4. Hallo,

    Wordpress immer beliebter

    Meinten Sie: Wordpress immer beleibter?

    Gruß
    Kalk

    1. Wordpress immer beleibter

      Die Anzahl der Programme, die irgendwann mal als leichtgewichtiges Werkzeug anfingen um eine durch neu hinzugefügte Funktionen schwergewichtig, unsicher und unbedienbar gewordene Software zu ersetzen und dann so nach und nach um Funktionen erweitert wurden, die es schwergewichtig, unsicher und unbedienbar, also notwendig machten, ein neues leichtgewichtiges Werkzeug zu schaffen, welches erst wieder so nach und nach um Funktionen erweitertet werden kann damit alles von vorn beginnen muss, ist immens.