Hi, wir sind zurück!
Nach Folge 5, in der Alex Frison auf dem WordCamp Nürnberg einem ausführlichem Interview unterzogen wurde und in Folge 6, Sven und René sich Dominik Schilling auf dem Contributor Day geschnappt haben sind wir wieder in unserer regulären Umgebung. In dieser Folge erfährst du etwas zu SSL-Zertifikaten für jedermann, wir haben einen WordPress-Sicherheitsfachmann zu Gast, sprechen über vergangene und anstehende WordCamps, wir untersuchen VersionPress und werfen einen Blick auf das Nachtleben von Nürnberg und von London.
Viel spaß beim hören, dass @wp_sofa
Twitter nicht vergessen: #wordpress #podcast #wp_sofa
Shownotes
- Let’s Encrypt is a new, free, automated, and open Certificate
- WordPress Community wächst sehr stark
- WordPress 4.6 – Theme Filterliste im Backend überarbeitet
- WordPress 4.6 – Shiny Updates
- WordPress 4.6 – register_meta() soll für die API eingeführt werden
- WordPress 4.6 – Translation Updates Table
- WP Beginners Gründer “Syed Balkhi” kauft Google Analytics Plugin von Yoast
- VersionPress wird Open Source
- EDD bricht die 1.000.000 Download-Marke – Search & Replace hat längst die 1. Mio durchbrochen!
- Jetpack 4.0 – mit Fatal Error und besseres User Onboarding
- Beaver Builder macht die erste Millionen Umsatz
- WordPress Importer wird überarbeitet
- Sicherheitslücke in bbPress
- Übersicht PHP-Support
- Lücken, die mit WP 4.5 gefixed wurden – 8473, 8474 und 8475
- Security-Absatz in den 4.5-Release Notes
- WPGear.org eine Sammlung nützlicher developer tools für WordPress.
Plugin Picks
- René – Simple Post Like System for WordPress – einfache Like-Funktione für Posts
- Sven – Beaver Builder – moderner Pagebuilder
- Hans Helge – Nested Pages – ein drag und drop interface für Pages & Posts
Sprecher in dieser Folge
- Sven Wagner
- Hans Helge Bürger
- René Reimann
- Marc Nilius
René schau dir mal http://www.nextscripts.com an, leider nicht komplett kostenlos.
Wenn jemand was kostenloses kennt wäre ich auch definitiv interessiert!
Sehr interessante Themen! Vor allem gefällt mir, dass vieles aus unterschiedlichen Perspektiven beleuchtet wird. Hat Spaß gemacht zuzuhören.
@René – Christopher hat das Plug-in bereits erwähnt. Davon existiert auch eine Free-Version (https://wordpress.org/plugins/social-networks-auto-poster-facebook-twitter-g/), die sich von der Pro „nur“ darin unterscheidet: Keine geplanten und verzögerten Posts (http://www.nextscripts.com/snap-features/scheduled-and-delayed-posting/).
Update 4.5:
WordPress unterstützt kleinere Versionszweige abwärts bis einschl. WordPress-Version 3.7.x mit Sicherheits-Updates. Die drei Patches für 4.5 waren aber so marginal, dass dafür nicht extra Patches ausgerollt wurden. Bei den Lücken, die mit 4.5.2 behoben wurden, sieht das schon wieder ganz anders aus: https://de.wordpress.org/releases/. Ist also nicht notwendig, ein Upgrade auf den 4.5.x Zweig auszuführen.
PHP-Version:
Als Ergänzung: Gibt mittlerweile Plug-ins, die den Support für ältere PHP-Versionen verweigern. Akeeba Backup z. B.: https://plus.google.com/u/0/b/101208898404468077450/114441392116483689500/posts/2yQxJQAyjc7
Zur Sicherheit der PHP-Versionen:
Ich habe mir oft im Stillen gedacht: „kann doch nicht sein, dass Hoster einerseits auf Panik schieben und einfach (nach Vorwarnung und Bitte zum Update) Webspace sperren, wenn dort ältere (nicht gepatchte) CMS-Versionen online sind, aber andererseits PHP-Versionen anbieten, für die es keinen offiziellen Support mehr gibt?“
Daher wollte ich es mal genauer wissen, und hier die Antwort des Hosters (Zusammenfassung):
„Unabhängig von PHP.net versorgen auch Distributionen PHP mit Updates. Daher beziehen wir unsere Updates.
Die meisten Sicherheitslücken sind in mehr als einer Version vorhanden und dabei auch meist noch in welchen, die noch aktiv von den Entwicklern unterstützt werden. Wenn nun dafür jetzt ein Patch erscheint, dann pflegen die Paketentwickler der Distributionen diesen auch bei den älteren Versionen ein. Ansonsten, wenn der Fehler z.B. nur in nicht mehr unterstützen Versionen vorhanden ist, wird der Patch von den Entwicklern der Distribution entwickelt. Dabei aber auch meist nur von einer, dessen Ergebnisse dann von den anderen übernommen wird. Häufig kommen diese von der kostenpflichtigen Distribution RHEL.
Bei unserer neuen Webhosting-Cloud setzen wir auf CentOS6 und CentOS7. Durch RHEL können wir noch längere Zeit PHP > 5.3 anbieten. Sicherheitsupdates wird es selbstverständlich geben.“
Kurzum: Ältere PHP-Version von Hostern heißt nicht zwangsläufig, dass sie unsicher sein müssen. Schadet aber nie, den Hoster mal darauf anzusprechen 🙂
Dass neuere PHP-Versionen schneller, besser und überhaupt … sind, steht natürlich außer Frage :):
Danke Angelika für den Kommentar. Das Hoster ihre PHP Versionen von einem Distributor holen, der Sicherheitspatchs noch schreibt, auch für ältere Versionen, war mir so gar nicht bewusst. Das ändert natürlich die Diskussiongrundlage ein wenig. (Aber das müssen wir dem Kunden ja nicht erzählen 😉 )
Hallo Hans-Helge,
meistens ist ja auch so, dass der Hoster Versionen von 5.3.x bis 5.7.x anbietet. Ich finde, es gibt genügend andere Gründe, dem Kunden ein Update auf höhere Versionen zu raten (Kompatibilität, Schnelligkeit, Feature-Support) usw. Ich persönlich finde schon, man sollte das mit der Sicherheit korrekt kommunizieren. Aber auch den Rat mitgeben, den Hoster diesbezüglich mal zu fragen, wie er das handhabt 🙂
Mir ist schon bewusst, dass auch alte PHP-Versionen mit Distributionsptaches versorgt werden. Spannend ist jedoch die Frage, ob die diversen Hoster denn auch jeweils diese Patches einspielen.
Ob ein angebotenes PHP 5.3 sicher ist oder nicht, ist ja selbst für erfahrene Benutzer nicht sofort erkennbar.
Hinzu kommen Anwender, die eigene Server betreiben, ohne ausreichende Kenntnisse zu besitzen. Hier darf bezweifelt werden, ob die notwendigen Sicherheitsmaßnahmen durchgeführt werden.
Alles in allem sind nicht alle alten PHP-Versionen bei Hostern grundsätzlich gefährdet, genau wissen kann man es aber auch nicht.
Zusammen mit den anderen Vorteilen neuerer Versionen gibt es also eigentlich keinen Grund, alte Versionen vorzuhalten und aufwendig zu pflegen.
Es gibt scheinbar ausreichend Bedarf für ältere Versionen. Und Hostern dermaßen die fehlende Kompetenz abzusprechen finde ich unangebracht. Schon aus eigenem Interesse werden die ihre Server absichern. Und wenn man es genau wissen möchte, kann man sich mal erkundigen (wie ich ja auch schon schrieb).
Ist nämlich Schadsoftware auf den Servern kann es durchaus vorkommen, dass Polizei mit Durchsuchungsbefehl kommen und Server beschlagnahmen. Bei shared Webspace mag man sich den entstehenden Schaden schwer vorstellen können. Hat ein Hoster einmal in einem Forum erzählt (und das war kein Wald- und Wiesenhoster).
Wer selbst Server betreibt ist abgeschottet von anderen Webhostingkunden. Hier trifft nur den Admin alleine die Verantwortung und den Schaden. Ich glaube aber im Podcast war von diesen selbst administrierenden Anwendern nicht die Rede. Sondern es ging um Hosting/Hoster.
In dem Podcast wurde von dir Marc aber eher Panik vor älteren Versionen gesät. Wenn man das Thema behandelt, dann doch mit allen Facetten. So stehen alle Hoster mit Versionen kleiner als 5.5 ja als Idioten da. Ich hatte in meinem ersten Post bewusst keine Kritik geübt, sondern es sollte nur eine Ergänzung sein. Aber deine Reaktion macht es leider notwendig, es doch noch einmal etwas deutlicher zu formulieren.
Ps: kleine Korrektur zu meinem Typo im zweiten Post: Soll natürlich heißen Versionen von 5.3 bis 7.x
Danke Christian und Angelika, für den Hinweis zu NextScripts. Ich habe das Plugin mal installiert und kurz probiert, sieht wirklich brauchbar aus 😉 Jetzt weiß ich schonmal eins für das nächste Plugin-Pick 😀