Compboard Blog

Seit dem Erscheinen der Version 2.5 Brecker ist in der wp-config.php der Blog-Software WordPress ein Feld für einen SECRET_KEY eingefügt worden. Der “geheime Schlüssel” soll die Login-Cookies besser verschlüsseln und so unberechtigte Zugriffsversuche abblocken. Nachdem er einmal in der wp-config.php eingetragen ist, braucht man ihn nie wieder. Speichern oder merken ist also völlig unnötig.

Heute Nachmittag ist die Version 2.6 von WordPress erschienen und beim Updaten habe ich festgestellt, dass die Passage für den SECRET-KEY einiges an Umfang gewonnen hat:

// Ändere jeden SECRET_KEY in eine beliebiege, möglichst einzigartige Phrase. Du brauchst dich später
// nicht mehr daran erinnern, also mache sie am besten möglichst lang und kompliziert.
// Auf der Seite https://www.grc.com/passwords.htm kannst du dir einen Ausdruck generieren lassen.
// Bitte trage für jeden SECRET_KEYeine eigene Phrase ein.
define(’AUTH_KEY’, ‘put your unique phrase here’); // Trage hier eine beliebige, möglichst zufällige Phrase ein.
define(’SECURE_AUTH_KEY’, ‘put your unique phrase here’); // Trage hier eine beliebige, möglichst zufällige Phrase ein.
define(’LOGGED_IN_KEY’, ‘put your unique phrase here’); // Trage hier eine beliebige, möglichst zufällige Phrase ein.

Wie man sieht gibt es nun ganze drei Secret-Keys, für die jeweils unterschiedliche Zeichenfolgen (Schlüssel) verlangt werden. Entsprechende Key-Generatoren werden auf GuidGen, WordPress.org und grc.com zur Verfügung gestellt.

Wie schon beim Upgrade zur Version 2.5 beschrieben, verändern die Schlüssel weder die Passwörter noch andere Login-Daten, sondern verstärken nur den Schutz der Login-Cookies, die auf jedem Computer eines angemeldeten WordPress-Nutzers abgelegt werden.

Weiterlesen »

Bei der vor einem knappen Monat erschienenen WordPress Version 2.5 Brecker ist gestern die erste Sicherheitslücke entdeckt worden. Aus diesem Grund wurde das Release der Version 2.5.1 vorgezogen und diese wurde gestern Abend veröffentlicht.

Genauere Informationen zur Sicherheitslücke finden sich zwar nicht auf WordPress Deutschland, es wird lediglich darauf hingewiesen, dass das Sicherheitsproblem “schwerwiegend” ist und man deshalb unbedingt upgraden sollte. Der Grund für die ungenaue Angabe findet sich jedoch im englischen Beitrag auf WordPress.org. Dort erfährt man, dass die Sicherheitslücke bisher noch nicht öffentlich bekannt ist und selbstverständlich ist es im Interesse von jedem WordPress Nutzer, dass dies möglichst lange so bleibt. Ich habe gestern Abend trotzdem schon mit der englischen Version das Update durchgeführt, nur um ganz sicherzugehen. Mittlerweile steht aber auch die deutschsprachige Version zur Verfügung. Das Update verlief völlig reibungslos und hat nur ein paar Minuten gedauert, also nicht zögern und wirklich so bald wie möglich upgraden!

Nicht zuletzt beinhaltet das 2.5.1 Release auch ein paar Verbesserungen behebt über 70 Fehler! Unter anderem wird der der visuelle Editor TinyMCE durch das Update auf die neuste Version gebracht. Geschwindigkeitsverbesserungen im Backend und eine verbesserte Bedienung werden ebenfalls versprochen.

Anscheinend habe einige Leute bisher nicht mitbekommen, dass es mit dem Release der Version 2.5 auch eine wichtige Änderung in der config.php gegeben hat. Und zwar findet sich dort jetzt der Punkt “SECRET_KEY”. Mit dem SECRET_KEY sollen die Cookies von WordPress sicherer gemacht werden, deshalb muss man sich nach dem Eintrag des Keys neu im Backend anmelden, auch wenn dies bisher automatisch geschah. Auf boren.nu findet sich dazu ein lustiger Hinweis: “Wenn ihr mal alle angemeldeten Nutzer ausloggen wollt oder müsst, ändert einfach den SECRET_KEY.”

Der SECRET_KEY beeinflusst nicht die Passwörter der angemeldeten Nutzer eines WordPress Blogs sondern nur die Login-Cookies der Nutzer auf ihrem Computer. Merken muss man sich den SECRET_KEY auch nicht, er ist wirklich nur dazu da um die Cookies besser abzusichern. Einen Generator für so einen Key findet man bei WordPress.org, auf grc.com oder auch bei GuidGen.

Auf perun.net wird noch darauf hingewiesen die upgrade.php nach dem Upgrade nicht zu vergessen, da es auch Änderungen an der Datenbank gab! Dazu einfach http://www.eure-blog-adresse.tld/wp-admin/upgrade.php aufrufen…

Heute Abend ist die langerwartete Version 2.5 “Brecker” von WordPress erschienen, die deutsche Übersetzung lässt allerdings noch auf sich warten. Ich habe die Aktualisierung trotzdem schon gewagt und das Compboard Blog gerade upgedated. Eigentlich hatte ich ein paar Probleme oder zumindest kleine Schwierigkeiten erwartet, da die Änderungen und Neuerungen doch recht umfassend sind. Es war sogar das erste Mal, dass ich Backups von Dateien und Datenbank angelegt habe…

Auch viele andere WordPress-Nutzer sind noch zögerlich oder wollen das Erscheinen der deutschen Übersetzung abwarten. Peer Wandiger von “Selbständig im Internet” will sogar erstmal wochenlang beobachten, wie sich der Rest der Blogosphäre so mit der neuen Version schlägt…

Aber ich kann nur sagen: Keine Angst! Das Upgrade ging bei mir in weniger als 5 Minuten völlig unspektakulär über die Bühne.

Offensichtliche Veränderungen?

Als Leser sieht man wenig, beziehungsweise eigentlich gar nichts vom Upgrade. Ob ein Blog mit WordPress 2.5, 2.3.3 oder einer noch älteren Version läuft, ist am Frontend nicht zu erkennen. Als Administrator kommt man jedoch in den Genuss der neuen Backend-Oberfläche. Wirklich tiefgreifend und innovativ finde ich die Änderungen auf den ersten Blick nicht, aber die neuen Funktionen sind sicherlich morgen früh einen zweiten und längeren Blick aus wachen Augen wert.

Um gleich einmal die neue Galerie-Funktion zu testen und ein paar Fotos vom neuen Backend zu präsentieren, habe ich während der Erstellung dieses Beitrags ein paar Screenshots gemacht.

Im ersten Moment sind die neuen Auswahlmöglichkeiten zwar etwas verwirrend, aber wenn man sich eine Weile mit der neuen Version beschäftigt hat, kann sie doch in einigen Punkten überraschen. Außer dem neuen Design des Backends stecken die Features wohl wie so oft größtenteils unter der Haube. Was ich bisher gesehen und genutzt habe kann aber durchaus überzeugen. Morgen werde ich dann auch die weniger offensichtlichen Punkte, wie zum Beispiel die automatische Plugin-Upgrade-Funktion oder die neue Medienverwaltung mit Mehrfach-Uploads genauer unter die Lupe nehmen.

Meiner Meinung nach lohnt sich das Upgrade definitiv und man braucht sicherlich nicht davor zurückzuschrecken! In diesem Sinne: Happy Upgrading!