Diese Woche gibt’s was auf die Ohren, und zwar die erste Folge von capital_P_odcast – einem neuen Podcast aus der deutschen WP-Community. Und Wordfence hat den WordPress Attack Report für Juli veröffentlicht. Außerdem zeigen wir dir eines der größten Einfallstore für Hacker, das aber kaum jemand kennt.
XMLrpc: Die einprogrammierte WordPress-Sicherheitslücke
XMLrpc: Was so aussieht, als wäre jemand mit dem Kopf auf der Tastatur eingeschlafen, ist in Wirklichkeit eine einprogrammierte WordPress-Schwachstelle. Eigentlich für den Fernzugriff auf die WordPress-Seite erdacht, dient XMLrpc heute vor allem als Einfallstor für Hacker. Zahlen zeigen, dass die Mehrzahl der Brute-Force-Attacken sowohl auf den WP-Admin, als auch auf XMLrpc abzielen. Und auch DDoS-Attacken sind über die Schnittstelle möglich. Wie relevant die Schwachstelle ist und wie du dich schützen kannst, erfährst du in diesem Artikel.
Performance News
So beschleunigst du dein Theme in wenigen Schritten
Matthias Kittsteiner erklärt am Beispiel eines Child-Themes von “Twenty Seventeen”, wie du schon mit kleinen Veränderungen im Code die Performance deines Themes verbessern kannst.
Security News
Wordfence Sicherheitsbericht vom Juli
Wie immer gibt der monatliche WordPress Attack Report vom Sicherheitsanbieter Wordfence interessante Einblicke in die dunklen Machenschaften des WordPress-Universums: Die durchschnittliche Anzahl täglicher Angriffe ist zwar im Vergleich zum Juni um 21% gestiegen, das tägliche Volumen von Angriffen bleibt jedoch über den Monat überraschend stabil. “It’s almost like the attackers went on vacation and left their malicious bots running on autopilot,” heißt es in dem Sicherheitsbericht.
TrafficTrade Malware verbreitet sich
In einem Blogpost warnt Sicherheitsanbieter Wordfence vor sogenannter „TrafficTrade“ Malware. Ausgenutzt wird eine Schwachstelle des WP-Themes „Newspaper“, wodurch Angreifer Schadcode in der Tabelle „wp_options“ platzieren können. So werden deine Seitenbesucher automatisch auf eine Seite der Angreifer weitergeleitet, die beispielsweise schädliche Browser-Plugins herunterlädt.
WordPress News
Jetzt steht es fest: WP 4.9 kommt ohne Gutenberg Editor
In einem Core-Beitrag hat Mel Choyce – Co-Lead des 4.9 Release – eine vorläufige Liste der Ziele für das Update auf WordPress 4.9 veröffentlicht. Die sechs Hauptthemen des Entwurfs sind die Verbesserung von Code-Editing, Customization, Theme-Wechsel und Bildbearbeitung sowie der Theme- und Plugin-Upload via ZIP und die REST API. Das geplante Release-Datum ist der 14. November.
Neuer Podcast aus der deutschen WP-Community
In ihrem neuen “capital_P_odcast” sprechen Maja Benke und Bernhard Kau über Themen und Ereignisse aus der WP-Community. Ziel des Podcast ist es, Klarheit darüber zu schaffen, was WordPress und die WP-Community ausmacht sowie relevante Themen für WP-Anwender zu diskutieren. In der ersten Folge des Podcast geht es um die Pros und Cons von Pagebuildern.
WordPress.com ist nicht WordPress.org
Die Verwirrung zwischen WordPress.com und WordPress.org ist besonders unter WP-Neulingen ein verbreitetes Phänomen. Caspar Hübinger hat diesem Problem eine eigene Seite gewidmet, auf welcher er neben den Unterschieden auch die Konsequenzen dieser Verwechslung kritisch erläutert.