12. November 2009 von Dieter | 9 Kommentare | drucken
Webseiten-Infos.de auf WordPress 2.8.6 aktualisiert
Seit heute ist WordPress in der Version 2.8.6 verfügbar (siehe hierzu den Beitrag “WordPress 2.8.6 DE-Edition und Upgradepaket” im Blog von WordPress-Deutschland.org).
Hierbei handelt es sich um ein weiteres Sicherheitsrelease.
Laut dem oben genannten Blogbeitrag wurde ein Problem behoben, durch das auf bestimmten Apache-Installationen Dateien wie “foto.php.jpg” als Code ausgeführt werden können. Das Problem soll nur unter bestimmten Einstellungen des Apache-Webservers auftreten, wenn in der Konfiguration “AddHandler application/x-httpd-php .php” eingesetzt wird. Des weiteren wurde eine XSS-Lücke geschlossen.
Aufgrund meiner schlechten Erfahrung mit der automatischen Installation bei der Aktualisierung (beim Update) auf die Version 2.8.4 (siehe hierzu meinen Blogbeitrag “Webseiten-Infos.de auf WordPress 2.8.4 aktualisiert“) habe ich diesmal erneut die manuelle Installation vorgezogen.
Bezüglich der Vorgehensweise bei der Aktualisierung (beim Update) verweise ich auf meinen Blogbeitrag “Webseiten-Infos.de auf WordPress 2.8.5 aktualisiert“.
Da die Version 2.8.6 von WordPress ein Sicherheitsrelease ist und zwei Sicherheitslücken behebt, sollten alle WordPress-Nutzer, die kein Problem mit dem Speicherbedarf von WordPress seit der Version 2.8 haben, auf diese neue Version möglichst schnell aktualisieren (updaten).
Wenn das so weiter geht, schafft es WordPress doch noch vor Veröffentlichung der Version 2.9, dass ihr die einstelligen Zahlen für 2.8.x ausgehen. 
Infos
Webseite veröffentlicht am Donnerstag, den 12. November 2009, um 22:23 Uhr, zuletzt geändert am Mittwoch, den 21. Dezember 2011, um 05:08 Uhr.
Kategorie: WordPress
Schlagworte: Apache, Konfiguration, Sicherheitslücke, Update, WordPress, WordPress 2.8.6, XSS
Statistik: 259 Blogbeiträge, 682 Schlagworte, 1.553 Kommentare, 109 Feedleser
1. Alex L.
Kommentar vom 19. November 2009 um 18:51
Allerdings
!
Aber ich hoffe nicht, dass dann wirklich sowas wie WP 2.8.9.1 kommt.
Ich von meiner Warte her lasse mir mit dieser Aktualisierung etwas Zeit. Ich weiss Dieter, dass du es mir mit deiner Kommentar-Antwort wieder wärmstens empfohlen hättest.
Es soll nun endlich Ende November von mir aus zu einer WP 2.9 kommen und dann haben wir es hinter uns. Die WP-Version 3.0 wird so oder erst irgendwann mal NextYear geben, nehme ich mal an.
Diesen PHP-Code Add-handler etc. nutze ich auch, aber nur um zwischen PHP 4 und 5 hin-und-her zu schalten, was ich aber auch nur ein paar Mal gemacht hatte.
2. Dieter
Kommentar vom 19. November 2009 um 20:55
Keine Sorge, es kommt dann nicht WP 2.8.9.1, sondern 2.8.10.
Ach übrigens, ich hätte Dir nicht eine Aktualisierung empfohlen, sondern ich tue es. Das hier sind Sicherheitsupdates. Dein Blog wird immer bekannter. Wenn Deine Seite gehackt werden sollte, dann ist es zu spät und hast Du ein Vielfaches an Arbeit und Problemen.
Wenn ich das richtig mitbekommen habe, kommt übrigens WordPress 2.9 erst im Dezember. Und bei dieser Version wird es sich dann um kein Sicherheitsupdate handeln. Deshalb kannst Du Dir dann mit dem Update auf diese Version etwas Zeit lassen. Nein, da solltest Du Dir dann sogar etwas Zeit lassen. Schließlich besteht dann viel eher die Gefahr von Inkompatibilitäten mit benutzten Plugins. Ferner tauchen bei so einem Versionssprung mit neuen Funktionen – trotz Betaphase – oft noch Probleme auf, die dann mit einer neuen Zwischenversion erst behoben werden müssen.
Und ja, WordPress 3.0 wird erst nächstes Jahr kommen.
3. Alex L.
Kommentar vom 20. November 2009 um 23:14
Jepp, die Entwickler sollen sich bei den möglichen Zwischenupdates-Versionen bloß einigen.
Es wäre natürlich fatal und würde mich negativ umhauen, wenn jemand auf die Idee kommen würde, so nebenbei und aus Gaudi, das Blog zu hacken. Das wünsche ich mir nicht und keinem anderem Blogger.
Im Prinzip habe ich doch nur zwei WP-CMSe auf den neuesten Stand zu bringen und ich versuche mich davon zu drücken
. Ich muss es so oder so machen, ob nun heute oder Next Week.
Ja, wenn die 2.9er online ist, geht es doch wieder los. Die 2.9.1 erscheint, da man wahrscheinlich wieder neue Bugs fixen muss und und und. Lassen wir uns überraschen.
4. Dieter
Kommentar vom 20. November 2009 um 23:32
Ich befürchte, die Entwickler bringen WP 2.9 früher raus, bloß damit sie die Frage 2.8.9.1 oder 2.9.10 nicht klären müssen.
Blogs werden übrigens nicht bloß aus Gaudi, sondern auch aus anderen Gründen immer öfter gehackt. Als Beispiele seien die Nutzung als illegales Filesharing sowie als Spamlink-Schleuder genannt.
Ich habe mir eine Testinstallation meines Blogs in einem geschützten Bereich meines Webspace angelegt und teste dort immer erst, ob es beim Aktualisieren Probleme gibt. Aufwendig, aber so kann ich relativ gut testen, ob mein Blog auch nach einem Update ohne Probleme läuft.
Du hast den Updatezyklus durchschaut. Dann kann ja nichts mehr schief gehen.
5. Alex L.
Kommentar vom 23. November 2009 um 02:26
Es ist vollbracht und ich konnte ein manuelles WP-Update auf 2.8.6 hinter mich bringen. Diesmal ging es aber noch viel schneller als vorher, da ich beim Updaten keinerlei Plugins deaktivierte.
Es ist zwar nicht sehr professionell, aber als ich bei den letzteren Versionen stets allesamt Plugins deaktivierte und dann Plugin für Plugin aktivierte, traten immer wieder Inkompatibilitäten auf.
Daher verzichte ich nun auf diese Massnahme. Es lief ganz gut, ich musste nur noch den cron.php – Wert, welcher oft für das Nichtversenden eines Trackbacks verantwortlich ist, von 0.01 auf 1 s ändern.
Jetzt werden wir uns bis zum Upgrade auf WP 2.9 gedulden müssen.
6. Wordpress-Update 2-8-6 | Internet und Webpromotion
Pingback vom 23. November 2009 um 04:13
[...] dem WordPress-Update gedrückt. In dieser Zeit hatte ich auch darüber mit dem Dieter von Webseiten-Infos.de diskutiert. Es ist doch immer wieder diese Arbeit, welche man sich bei einem Update ersparen will. [...]
7. Dieter
Kommentar vom 23. November 2009 um 07:01
@Alex
Herzlichen Glückwunsch zur erfolgreichen Aktualisierung Deiner WordPress-Installation.
Bei kleinen Sicherheitsupdates bin ich auch schon mal nicht so professionell vorgegangen. Ging auch .
Die aus meiner Sicht beste Alternative ist das Plugin !Wartungsmodus. Nur das kurz vor dem Update aktivieren und danach wieder deaktivieren. Fertig! Deine ganzen anderen Plugins kannst Du damit unangetastet lassen.
Für die Änderungen der cron.php habe ich auch einen Blogbeitrag mit Anleitung geschrieben (siehe “Pingback-Problem bei WordPress 2.7 beheben“). Ist zwar lästig, aber einfach zu bewerkstelligen.
Im Dezember ist ja nicht nur Weihnachten, sondern auch WordPress 2.9 angekündigt.
Schau mehr mal. Ich werde es jedenfalls erst einmal in einem Testblog auf Herz und Nieren prüfen, bevor ich meine WordPress-Installationen umstelle.
8. Alex L.
Kommentar vom 27. November 2009 um 17:03
Hi Dieter,
.
derzeit ist auch schon die Beta 2.9 von WordPress im Umlauf, aber es wäre das Mindeste, bis zur Final-Version zu warten
Dieses erwähnte Plugin kenne ich und werde es mir für das nächste Update vormerken. Weil es ist ja auch so, dass in diesen 10-15 oder eben weniger Minuten des Updates ja das Blog trotzdem besucht wird und sonst sieht der Besucher gar nichts. SuMa-Blogbesucher wissen von solchen Updates-Phasen wohl kaum was. Als Blog-Webmaster könnte man es zumindest erahnen.
Das Trackback-Problem besteht bei einigen Blogs auch nach der Wertkorrektur, was sehr sehr ärgerlich ist. Aber deinem Linkverweis werde ich mal gleich folgen.
9. Dieter
Kommentar vom 27. November 2009 um 21:17
Hi Alex,
von den Beta-Versionen habe ich bisher die Finger gelassen. Das ist nur etwas zum Testen und damit für ein Testinstallation.
Das Plugin !Wartungsmodus ist in der Tat gerade für Updates mit größeren Änderungen sinnvoll.
Für die Behebung des Trackback-Problems kenne ich leider nur die Änderung des Wertes in der cron.php. Wenn da die Trackbacks trotz des Wertes 1 Sekunde nicht bei den anderen Blogs ankommen, dann wüsste ich auch kein andere Lösung außer vielleicht den Wert testweise noch mehr zu erhöhen (z.B. auf 2 oder gar 5 Sekunden). Allerdings hatte 1 Sekunde bei meinen WordPress-Installationen und Webhostern (one.com und Alfahosting.de) bisher immer gereicht.
Gruß
Dieter