Stellwag.eu

Nachdem sich in letzter Zeit die Updates von WordPress sowieso gehäuft haben, habe ich mein System kurzerhand auf die neuste Version (2.1 alias “Ella”) aktualisiert.

Sehr angenehm war bzw. ist, dass die Plugins, die bei mir unter 2.0.7 (dem letzten Update des 2.0er Releases) gelaufen sind, auch unter 2.1 funktionieren.

Sehr angenehm ist auch die neue Struktur des Backends. Die Kommentare sind nun die Hauptnavigation mit integriert, genauso wie die Links aus dem Blogroll. Bei neuen Einträgen hat man nun die Option (analog zum Tabbed-Browsing) zwischen WYSIWYG und HTML umzuschalten. Die neue Rechtschreibprüfung – die leider nur in englisch verfügbar ist – funktioniert meines Erachtens aber leider nicht, jedenfalls werden mir keinerlei Rechtschreibfehler angezeigt. Liegt vielleicht auch daran, dass ich keine produziere *selber_auf_die_Schulter_klopf* .

Falls jemand Fehler oder Ähnliches bemerkt, bitte ich hier um einen kurzen Kommentar.

Endlich… die Klausuren sind alle überstanden! Nun bleibt nur noch das semestrige Warten auf die Ergebnisse .

Gerade zeigt mir doch das Dashboard von WordPress an, dass an meinem Geburtstag die neue Version 2.1 released wurde *staun*. Still und heimlich . Der Codename ist diesmal “Ella”. Das heißt, ich weiß schon wieder, was ich in nächster Zeit mal anfangen werde…

Endlich habe ich es mal – neben dem Klausur-Lernstress – geschafft, meine WordPress-Installation auf 2.0.7 zu hiefen . Alle Bugs, Fehler, etc. kommen hier rein. Sonstige Beschwerden natürlich auch . Probleme gab es beim Update von 2.0.6 auf 2.0.7 diesmal nicht. Alles ist wieder funktionsfähig; soweit ich es ausgetestet habe.

So, nachdem ich die bisherigen Klausuren Komplexitätstheorie, Logistische Informationssysteme, Systementwurf und Systemdokumentation mit UML 2.0 und Software-Aging über die Bühne gebracht habe, werde ich Spieltheorie II und Kryptografische Protokolle auch noch hinter mich bringen . Solange ist es hier erstmal etwas windstill (-:.

UPDATE: Die Gelegenheit habe ich gleich einmal genutzt und habe sämtliche Plugins in meiner WordPress-Installation auf die aktuellen Versionen gebracht.

Nachdem es erneute Sicherheitslücken in WordPress < = 2.0.5 gibt, habe ich gerade die Blogging-Software auf 2.0.6 aktualisiert. Falls noch von mir ungesehene Fehler auftauchen, bitte ich diese hier zu melden . Ansonsten ist das Update ohne Komplikationen verlaufen.

Der unbekannte Fehler aus dem letzten Update hat sich damit auch verflüchtigt .

Nachdem ich mich schon seit einer ganzen Weile davor gedrückt habe, das neue Major-Bugfix-Release von WordPress (WP) 2.0.5 Codename “ronan” einzuspielen, habe ich es gestern endlich gewagt.

Nach dem Upload der neuen Dateien musste ich allerdings feststellen, dass ein nicht unbekannter Fehler auftauchte, der mir u.a. auch den Zugang zum Backend verwehrte. Zum Glück fand ich auf Bloggemeyer einen Link zu einem Workaround-Plugin, mit Hilfe dessen WordPress mit einigem Nachdruck wieder funktionierte .

Never touch a running system! Ich habe es gewusst .

Nachdem letzten Montag (31.07.2006) die Meldung kam, dass WordPress (WP) mit einigen Bugfixes und Security-Updates auflauert, habe ich mich nun endlich daran gewagt und habe das Delta-Update vollzogen *fg*. Und alles ging/geht ohne Probleme!

Auch meine Plugins, die teilweise nicht mehr weitergepflegt werden, funktionieren einwandfrei! Falls ich etwas übersehen habe, bitte ich um einen kurzen Kommentar. Eben ganz nach dem Motto: “Every update the same procedure!” . Großes Kompliment an die Entwickler.

Was ich gerade schon angesprochen habe, ist eigentlich ein gravierender Nachteil von WP! Die Plugins werden — anders wie bei Serendipity (S9Y) — wild verstreut weitergepflegt, oder eben nicht (mehr) . Hier sollte sich die Community vielleicht einmal ein Konzept überlegen, wie man einen Update-Mechanismus für die unzähligen Erweiterungen erstellen könnte, ohne manuell eingreifen zu müssen ^^.

So long…

Gerade habe ich von WordPress 2.0.2 auf die Version 2.0.3 aktualisiert. Ich hoffe, es funktioniert soweit wieder alles! Wenn jemanden etwas auffällt, dann bin ich hier für jeden Comment dankbar . Aber ansonsten bin ich natürlich auch für jeden Kommentar dankbar …

Das Update ist soweit reibungslos vonstatten gegangen, da gibt es eigentlich nichts weiter groß zu sagen. Nur dass ich zu meiner Schande gestehen muss, dass ich diesmal wirklich zu faul war, vorher zu sichern, hmm … Das kann gut gehen, aber aber wenn nicht … wir wollen mal garnicht weiter drüber nachdenken!!!

So long …

Lt. einem Advisory des Neo Security Team lässt sich WordPress (DE) 2.0.1 und ältere Versionen für Cross-Site-Scripting-Attacken missbrauchen. Dabei findet JavaScript in Kommentaren Verwendung. Anfällig sind alle WordPress-Installationen, bei denen Kommentare nicht moderiert werden.

(Weitere Informationen auch bei Heise.)

UPDATE 2006-03-02 13:15:
Ich habe gerade die sicherheitsrelevanten Zeilen in wp-comments-post.php geändert. Da es z.Z. noch keinen offiziellen Patch gibt, überschreibt einfach die bestehende PHP-Datei im root-Verzeichnis (“/”) durch den Patch (2.0.1.1). Danach stehen dem Kommentator keine HTML-/JS-Tags mehr in der Kommentarfunktion zur Verfügung.

ANMERKUNG 2006-03-02 14:23:
Wenn – nach dem Einspielen des obigen Patches – ein solcher Exploit versucht wird, wird dieser zwar als Kommentar, entsprechend mit gequoteten Sonderzeichen, in die Datenbank geschrieben, taucht aber weder im FE, noch im BE auf! Also ab und zu mal in die Datenbank mittels z. B. phpmyadmin schauen .

UPDATE 2006-03-02 19:20:
Jetzt habe ich _alle_ sicherheitsbedenklichen PHP-Files gepatchet und entsprechend kommentiert. Die alten Files müssen einfach nur mit denen im Patch (2.0.1.2) enthaltenen, neuen Dateien (18) überschrieben werden. Das ist alles, der obige Patch 2.0.1.1 ist auch in 2.0.1.2 enthalten. Weiteres Customizing ist nicht notwenig! (PATCHED & TESTED BY STELLWAG.US)

UDPATE 2006-03-02 20:41:
Bei den obigen Patches 2.0.1.{1,2} wurden aufgrund folgender Zeilen Umlaute defekt dargestellt.

Der Patch 2.0.1.3 behebt diese Unstimmigkeit mit Hilfe der Verwendung von htmlspecialchars(). Alle oberen Bugfixes sind im 2.0.1.3er auch enthalten . Danke an WolliW für den Hinweis!

UPDATE 2006-03-02 21:24:
So, jetzt funktioniert es aber! Weitere Informationen weiter unten . Kumulativer Patch (2.0.1.4).

Man kennt es noch, das lästige Georgel des vergangenen Jahrtausend! Auf unspektakulären, privaten Homepages blinken duzendweise GIF-Bilder und eine krebserzeugende “Musik” ertönt im Hintergrund. Aber warum hat man diese Vorstellung immer so negativ im Hinterkopf?

Nun gut, die blinkenden GIF-Bilder kann man noch verstehen! Das liegt einfach an der Reizüberflutung, die dadurch ausgelöst wird . Aber warum keine “angenehme”, zum Thema passende Hintergrundmusik in die eigene Homepage integrieren? Warum eigentlich nicht?!

Ich habe mir gedacht, ich integriere so ein Feature einfach mal auf meiner Blog-Seite, um zu sehen, was man/frau so darüber denkt. Mein Ziel ist es, die alten Vorstellungen dieses Features zu widerlegen und zu zeigen: “Es geht auch anders!”

Deswegen hab ich mir erlaubt ^^ einen kleinen Flash-Player rechts unten zu implementieren, der automatisch eine GEMA- und lizenzfreie MP3-Hintergrundmusik abspielt. Auf Wunsch kann die gestreamte Musik natürlich auf Knopfdruck deaktiviert werden. Und in Zeiten von Breitband-Internetverbindungen sollte auch die Größe kein Problem sein .

Mich würde mal das Feedback interessieren. Schreibt hemmungslos (als Kommentar oder Ping-/Trackback) hier rein, was euch daran (nicht) gefällt! Ich bin gespannt!!!

UPDATE 2006-02-23 17:15:
Dank der Feedbacks habe ich die Hintergrundmusik jetzt default auf OFF gestellt.

Jetzt wo ich ein bisschen Erfahrungen sammeln durfte, möchte ich diese natürlich niemanden vorenthalten. Darum heute die Antwort auf die Frage:

Ist Serendipity wirklich besser als WordPress?

Zuerst möchte ich einmal auf die Versionen eingehen, die hier verglichen werden. Bei WordPress habe ich z.Z. die Version 2.0.1 im Einsatz, was die gerade aktuelle darstellt; während ich bei S9Y 0.9.1 im Koffer habe. Es gibt von Serendipity zwar schon die Version 1.0, allerdings handelt es sich hierbei um die erste Beta-Version, die ich mir nicht antun wollte .

Zuerst einmal möchte ich WP unter die Lupe nehmen. Hier liegen die Vorteile klar auf der Hand:

• Aufgeräumtes BE – verstärkt nochmals durch das Adminitration-Design: Tiger
• Mehr Plugins als bei S9Y
• Eine sehr große Community
• Erstellung von normaler Websites möglich (CMS-Funktionalität)

Die Nachteile sind allerdings auch nicht weit her:

• Wenig Themes und Plugins werden standardmäßig mitgeliefert.
• Relativ umständliche Integration von Plugins.
• Posts können nicht explizit in Vorschau und erweiterten Eintrag aufgeteilt werden.
• Umständliche Integration von Bildern in den RTE-Editor.
• Trackback-Links müssen manuell angegeben werden.

Bei S9Y sind die Vorteile vielleicht erst auf den zweiten Blick erkennbar, aber spätestens wenn man ein paar Posts geschrieben hat, weiß man, was man an Serendipity hat:

• Viele Plugins und Themes werden standardmäßig mit der Distribution ausgeliefert.
• Die Mediendatenbank ist eng mit dem RTE-Editor verknüpft. Über eine Art Assistent lässt sich darin fast jedes Medium einfachst integrieren.
• Trackback-Links werden automatisch erkannt.

Doch selbst S9Y hat durchaus seine Macken und Mängel:

• Die automatische Trackback-Link Erkennung funktioniert manchmal nicht .
• Rare Informationen über das System
• Keine Erstellung von “normalen” Web-Seiten möglich
• Keine Verwaltung einer Blogroll mgl. Es gibt allerdings Workarounds, die jedoch nicht das Gelbe vom Ei sind

Fazit:

Auch wenn vieles Geschmackssache ist, haben S9Y-Bloger IMHO ein besseres Blogger-Leben . Allerdings nehmen sie die beiden semantischen Tagebuch-Systeme, des neuen WWWs 2.0, nicht viel! Mein Traum wäre auf jedenfall eine Kombination aus beiden Systemen.