In der vergangenen Woche ging ein Beben durch die WordPress Gemeinde. Denn: Apache hat ohne Vorwarnung die Lizenz von React.js verbannt, dem JavaScript Standard, der mittelfristig in den WordPress-Core kommen soll. Außerdem widmen wir uns der Gefahr durch Cross-Site-Scripting. Und wir klären einen bekannten Mythos im Zusammenhang mit CDNs.
Cross Site Scripting – So können Hacker deine Website kapern
XSS, SQL-Injection, XMLrpc – in den Beschreibungen von WordPress Sicherheitsupdates wimmelt es nur so von kryptischen Kürzeln. Auch wenn natürlich klar ist, dass die Updates nötig sind, ist es doch schön zu wissen, was sich eigentlich hinter dem Buchstabensalat verbirgt. Immerhin geht es um dein Business. Deshalb zeigen wir dir in unserem neusten Post wie das Cross-Site-Scripting (kurz XSS) funktioniert. Denn Cross-Site-Scripting ist nicht nur besonders verbreitet, sondern auch besonders hinterhältig. Finden Hacker eine solche Schwachstelle, können sie Schadcode auf deine (!) Seite einschleusen und sie dafür missbrauchen deinen Nutzern zu schaden.
Performance News
CDNs sind keine „Einhornmagie-Lösung“
Content Delivery Networks (CDNs) sind Rechnernetze, die über die ganze Welt verteilt sind. Sie sorgen dafür, dass deine Angebote auch in Australien oder den USA schnell ausgeliefert werden können. Nur eines ist ein CDN nicht: Ein Performance-Hack für deine Seiten. Der Kollege Ernesto Ruge hat alle Hintergründe zu dem Thema.
Auf welcher PHP-Version läuft deine Seite?
Die meisten WordPress-Seiten (40,4%) laufen auf PHP 5.6. Und das, obwohl PHP 7 deine Seiten bis zu zweimal schneller machen kann. Dass derzeit nur etwas mehr als zwei Prozent aller WordPress-Seiten den aktuellsten PHP-Standard verwenden, ist ein riesen Problem, dem sich auch das PHP Core-Team angenommen hat.
Security News
Wie sicher sind kostenlose Themes?
Nein, sie sind natürlich nicht prinzipiell unsicherer als kostenpflichtige Themes. Aber egal ob kostenlos oder “Premium”, bei der Theme-Auswahl gilt es in Sachen Sicherheit einiges zu beachten. Die Kollegen von Torque zeigen, worauf du achten musst und welche Tools dir bei der Analyse helfen.
Adobe: Keine Flash-Updates mehr in 2020
Adobe hat verkündet, den Support und Updates für Flash in 2020 einzustellen, da dessen Nutzung in den letzten Jahren kontinuierlich abgenommen hat. Bei den größten Browsern, wie beispielsweise Chrome, müssen Nutzer schon seit letztem Jahr aktiv zustimmen, um Flash-Content zu sehen. “This trend reveals that sites are migrating to open web technologies, which are faster and more power-efficient than Flash. They’re also more secure, so you can be safer while shopping, banking, or reading sensitive documents”, sagt Google Chrome Product Manager Anthony Laforge zu Adobes Ankündigung.
WordPress News
Apache verbietet Facebook Lizenz
Die Apache Software Foundation hat die Verwendung von Facebooks “BSD+Patents license” für Apache WordPress-Projekte verboten. Facebook lässt aber u.a. sein React-Projekt unter genau dieser Lizenz laufen. Da React momentan als der aussichtsreichste Kandidat für das neue WordPress-JS-Framework gehandelt wird, hat das Verbot der Lizenz die React-Debatte in der WP-Community erneut entfacht. Wäre der Lizenzstreit nach der Integration von React ausgebrochen, hätten vermutlich Millionen von Seiten tagelang nicht funktioniert. Diese Gefahr wird auch in der Community deutlich artikuliert: “Facebook license is really not open source. Code released under that license has no place in core.”
Regionale WordCamps
Im Core-Team wurden die Erwartungen und Rahmenbedingungen für regionale WordCamps diskutiert. Eigentlich sollte diesen nichts mehr im Weg stehen, doch aktuell wirft das Thema mehr Fragen als Antworten auf. So muss beispielsweise zunächst geklärt werden, wie sich eine Region definiert und wie die konkrete Planung und Umsetzung vor Ort aussehen soll.