WordPress will 2017 HTTPS Ausbau vorantreiben

In naher Zukunft sollen bestimmte WordPress-Bestandteile nur noch funktionieren, wenn die Transportverschlüsselung via SSL/TLS (HTTPS) gewährleistet ist.

Anfang 2017 will WordPress die Anzahl von Webseiten mit einem SSL-/TLS-Zertifikat nach oben treiben. Dafür wollen sie in erster Instanz nur noch Web-Hosting-Anbieter fördern, die für ihre Kunden standardmäßig HTTPS anbieten. Im nächsten Schritt sollen einige WordPress-Funktionen die Transportverschlüsselung zwingend voraussetzen.

Das teilt der WordPress-Entwickler Matt Mullenweg im offiziellen Blog mit. Im gleichen Atemzug weist er auf die Wichtigkeit von JavaScript und PHP hin, um eine optimale Nutzer-Erfahrung im Internet zu garantieren.

Im weiteren Jahresverlauf will WordPress auswerten, welche Funktionen des Content Management Systems (CMS) am meisten von HTTPS profitieren. Als Beispiel nennen sie die Authentifikations-API – diese soll nur noch funktionieren, wenn SSL/TLS gegeben ist.

Ob WordPress dann überhaupt noch bei Hosting-Anbietern oder auf einem eigenen Server mit HTTP läuft, geht aus der Formulierung nicht eindeutig hervor.

Zuhause bereits alles HTTPS verschlüsselt

Im April gab WordPress bekannt, dass sie alle bei wordpress.com gehosteten Webseiten nur noch verschlüsselt ausliefern. Die dafür nötigen Zertifikate haben sie von Let’s Encrypt ausstellen lassen. Dort kann jeder Server-Betreiber kostenlos Zertifikate beantragen.

Quelle: Heise

Accelerated Mobile Pages (AMP)

Moderne Content-Management-Systeme (CMS) wie WordPress, Drupal oder Joomla sind einfach mit Plugins erweiterbar. Eine signifikante Verbesserung der Darstellung der Homepage, insbesondere auf mobilen Endgeräten, ergibt sich dabei in der Verwendung eines Plugins, welches eine AMP-Version der Homepage bereitstellt. Weiterlesen

Jetzt patchen! Angriffe auf WordPress-Seiten nehmen zu und werden gefährlicher

Nach der Verunstaltung von verwundbaren WordPress-Webseiten versuchen Angreifer nun Schadcode auszuführen, um Angriffe auf WordPress-Seiten vorzunehmen, warnen Sicherheitsforscher.

Angriffe auf WordPress

Wer noch immer die durch aktuelle Angriffe gefährdeten WordPress-Ausgaben 4.7 und 4.7.1 einsetzt, sollte dringend die abgesicherte Version 4.7.2 installieren: Derzeit versuchen Angreifer Schadcode auf verwundbaren WordPress-Webseiten zu platzieren und auszuführen, warnen Sicherheitsforscher von Sucuri.

Die als kritisch einstufte Sicherheitslücke klafft in der REST API, die es seit WordPress 4.7 gibt. Bisher haben verschiedene Hacker-Gruppen die Lücke ausgenutzt, um Beiträge und Kommentare über so genannte Defacement-Attacken zu verunstalten. Vergangene Woche waren davon rund 120.000 Seiten betroffen. Aktuell sind es Sicherheitsforschern zufolge bereits über zwei Millionen.

PHP-Plugins können gefährlich werden

Ein derartiger Übergriff ist ärgerlich, richtig gefährlich wird es aber erst jetzt: Unbekannte Angreifer versuchen derzeit PHP-Code auf Webseiten zu schieben, um auf diesem Weg eine Hintertür zu platzieren. So können sie sich zu einem späteren Zeitpunkt Zugang zur kompromittierten Webseite verschaffen.

Davon sind aber ausschließlich verwundbare WordPress-Versionen bedroht, auf denen ein PHP-Plugin zum Einsatz kommt, das PHP-Code in Kommentaren zulässt. Dazu zählen etwa Exec-PHP und Insert PHP.

Quelle: heise.de

Facebook Instant Articles für WordPress

Seit der f8-Konferenz Anfang April 2016 hat Facebook Instant Articles als Funktion für Seitenbesitzer aktiviert. Hierdurch kann jeder, der einen WordPress Blog betreibt, diese Funktion nutzen kann. Bei den Facebook Instant Articles werden die einzelnen Beiträge eines Blogs direkt auf Facebook Servern zwischengespeichert und in einem vereinfachten Design auf mobilen Endgeräten innerhalb der Facebook App dargestellt. Durch die Speicherung auf den Facebook Servern und das einfachere Design wird die Ladezeit bei einem Abruf durch den Nutzer enorm verkürzt. Weiterlesen

WordPress 4.7: Das alles ist neu

WordPress 4.7 „Vaughan“ wurde veröffentlicht, benannt nach der Jazz-Sängerin Sarah „Sassy“ Vaughan. Die neue Version bringt unter anderem das Theme Twenty Seventeen sowie REST-API-Endpunkte mit.

Neuigkeiten in WordPress 4.7

Das Twenty-Seventeen-Theme ist nicht abwärtskompatibel zu älteren WordPress-Versionen und richtet sich an Business-Websites. Es bringt unter anderem die Möglichkeit mit, Bereiche der Startseite mit den Inhalten verschiedener Seiten und Beiträge zu füllen. Eine Demo gibt es auf 2017.wordpress.net. Daneben integriert das Theme die Neuerungen, die der Customizer für Theme-Entwickler bereit hält: So können Themes Demo-Inhalte mitbringen, die dem Nutzer einer frischen WordPress-Installation im Customizer angezeigt werden. Auf der Live-Seite sind die nicht zu sehen, bis der Nutzer sich durch Speichern entschließt, sie – oder Teile davon – zu übernehmen.

Des Weiteren kann nun statt eines Header-Bildes auch ein Header-Video festgelegt werden, die Erstellung von Seiten ist direkt aus der Menüverwaltung des Customizers möglich und es gibt einen Bereich für eigenes CSS, sodass für eine Anpassung des CSS-Codes nicht mehr unbedingt ein Child-Theme angelegt oder ein Plugin installiert werden muss.

Daneben werden für PDFs beim Upload aus der ersten Seite nun Vorschaubilder generiert, die in der Mediathek angezeigt, aber auch im Frontend genutzt werden können – hierfür muss auf dem Server aber Imagick, ImageMagick und Ghostscript vorhanden sein. Zudem ist es nun für Backend-Nutzer möglich, unabhängig von der eingestellten Website-Sprache eine eigene Backend-Sprache einzustellen. Dafür muss die Sprache installiert sein.

REST-API-Endpunkte, Post-Type-Templates und weitere Änderungen unter der Haube

Ein interessanter Punkt für viele Entwickler dürften die Inhaltsendpunkte der REST-API sein, die mit 4.7 eingeführt werden. Darüber können Themes und Plugins auf Inhalte einer Installation zugreifen, beispielsweise auch Apps. Eine weitere tolle, wenn auch sehr viel kleinere Änderung sind Post-Type-Templates. Seiten-Templates gibt es bereits länger, aber jetzt können auch Templates für Beiträge oder Custom-Post-Types bereitgestellt werden.

Neben diesen Neuerungen bringt WordPress 4.7 noch einiges mehr mit, wie beispielsweise eine Customizer-Verbesserung, durch die vorgenommene Änderungen vor einem Theme-Wechsel im Customizer nicht verloren gehen, wenn sie nicht gespeichert wurden. Mehr Informationen zu den angesprochenen und weiteren Funktionen und Verbesserungen findet ihr im Beitrag auf de.wordpress.org.

Wenn ihr eine bestehende Installation auf 4.7 aktualisieren möchtet, könnt ihr das ganz einfach im Backend tun.

Quelle: T3N.de

WordPress 4.7 erweitert die REST-APIs

Über neue Endpunkte in WordPress können Anwendungen unter anderem auf Posts, Kommentare und Settings zugreifen. Neben weiteren Ergänzungen für Entwickler gibt es ein neues Theme und einige Komfortfunktionen.

Das WordPress-Team hat Version 4.7 der Webanwendung zum Erstellen von Blogs veröffentlicht, die diesmal den Beinamen „Vaughan“ zu Ehren der Jazz-Sängerin Sarah Vaughan trägt. Neben einem neuen Default Theme namens Twenty Seventeen und einem erweiterten Customizer sind die Neuerungen vor allem für Entwickler interessant.

WordPress REST API mit HAL und JSON

Die wichtigste Ergänzung sind die REST API Content Endpoints. Damit bekommt das bekannte CMS-System neue Endpunkte, mit denen Anwendungen unter anderem auf Posts, Nutzer, Tags und Einstellungen zugreifen können. WordPress verwendet für alle REST-Aufrufe die Hypertext Application Language (HAL). Der Datenaustausch erfolgt über JSON. Die REST API ermöglicht sowohl öffentliche Aufrufe als auch private Anfragen, die eine vorherige Authentifizierung erfordern.

Passend dazu hat das Team auch die Funktion register_settings() um einen Array-Parameter erweitert, der die Settings beschreibt und festlegt, unter welchen Bedingungen sie über REST sichtbar sind. Auch Entwickler von Themes finden einige neue Funktionen in der Version 4.7.

Weitere Details stehen in der offiziellen Ankündigung. WordPress ist Open-Source-Software unter der GPLv2-Lizenz. Binaries sind über die Download-Seiteverfügbar, und der Quellcode ist auf einer eigenen Seite verlinkt.

Quelle: Heise