WordPress 2.8.6 Update

Habe soeben mal wieder meine WordPress Umgebung upgedatet!  Anscheinend wieder ein Security Release, diesmal ging beim Update alles ohne Probleme über die Bühne!

Hier noch ein kurzer Auszug aus den Release News!

2.8.6 fixes two security problems that can be exploited by registered, logged in users who have posting privileges.  If you have untrusted authors on your blog, upgrading to 2.8.6 is recommended.

The first problem is an XSS vulnerability in Press This discovered by Benjamin Flesch.  The second problem, discovered by Dawid Golunski, is an issue with sanitizing uploaded file names that can be exploited in certain Apache configurations. Thanks to Benjamin and Dawid for finding and reporting these.

Sollte bei meinem Blog nicht unbedingt beunruhigend sein, da ich im Moment alleine poste (wenn auch nicht gerade oft)!

Gruß seesle

WordPress 2.8.4 Update

Wieder mal ist es soweit! WordPress bekommt ein Security Update! Eine speziell bearbeitete URL konnte es einem Angreifer erlauben das Passwort eines Benutzer Accounts (es ist der erste Benutzer in der Datenbank betroffen der ohne Key ist, also meist der Admin) zurückzusetzen. Somit bekommt der Benutzer ein E-Mail mit dem neuen Passwort. Sollte sonst eigentlich kein Problem darstellen, könnte allerdings sehr ärgerlich sein, wenn man gerade nicht auf seine Mails Zugriff hat und sich in seine WordPress Installation einloggen möchte!

Die genaue Beschreibung könnt ihr hier entnehmen…

Bin gespannt wieviele Updates diesen Sommer noch kommen…

WordPress Update auf 2.8.3

So, wie es scheint hab ich es mit meinem Update auf die Version 2.8.2 so richtig gut erwischt. Zwei Tage danach ist das Update auf die Version 2.8.3 rausgekommen. Leider funktioniert bei mir das Auto Update nicht, deshalb muss ich das ganze immer auf die manuelle Tour erledigen.

Beim AutoUpdate sollte das ganze mit einem Mausklick (so wie ihr es bei den Plugins gewohnt seid) funktionieren.

Beim Manuellen Update muss zuerst die Seite offline gemacht werden. Ich bevorzuge ein einfaches austauschen bzw aktiv setzen einer index.htm Datei. In dieser wird kurz erklärt, dass gerade Wartungsarbeiten durchgeführt werden und die Seite bald wieder erreichbar sei. Da diese index.htm bei mir im Webserver beim DirectoryIndex vor der index.php Datei steht wird ab dem Zeitpunkt wo die index.htm Datei upgeloaded wurde beim Öffnen der Domain auch diese aufgerufen (und nicht mehr die index.php der WP-Installation).

Jetzt sichere/verschiebe ich die alten Files & Verzeichnisse (in dem Fall der Version 2.8.2) in ein vorher erstelltes /old Verzeichniss. Zu verschieben sind die Verzeichnisse /wp-includes und /wp-admin. Natürlich müsst ihr auch die Files die im root Verzeichniss eurer WordPress Installation liegen verschieben. Anschließend werden die Files der neuen Version lokal am Rechner entpackt. Per FTP lädt ihr nun die Verzeichnisse wp-admin und wp-includes sowie die Files im root Verzeichniss wieder auf eure Webpräsenz. Nun muss noch die wp-config-sample.php gelöscht werden und das wp-config.php File aus dem Folder /old (in dem die alte WordPress Installation ruht) wieder ins root Verzeichniss der WordPress Installation kopiert werden.

Bei manchen Updates kann es vorkommen, dass ihr euch noch in die Admin Oberfläche einloggen müsst und anschließend per Knopfdruck die Datenbank updaten müsst (dies kommt aber nicht immer vor). Nach kurzer Zeit (vielleicht auch ein paar Tests ob noch alles am Blog funktioniert) kann auch das /old Verzeichniss gelöscht werden da diese Files nicht mehr benötigt werden.