21.Oktober, 2009

WordPress 2.8.5 DE-Edition und Upgradepaket

Heute wurde WordPress 2.8.5 veröffentlicht. Diese Version ist ein Sicherheitsrelease und behebt ein vor kurzem bekannt gewordenes Problem, durch das ein Denial-of-Service-Angriff durch die Trackback-Funktion möglich ist.

Desweiteren wurden an einigen Stellen Korrekturen am Code vorgenommen. Außerdem sind ungefilterte Uploads nun auch für Admin wieder standardmäßig deaktiviert, mit define('ALLOW_UNFILTERED_UPLOADS', true); in der wp-config.php kann das geändert werden.

→ Download WordPress 2.8.5 DE-Edition

Die offizielle englischsprachige Version 2.8.5 kann im Downloadbereich runtergeladen werden. Die offizielle deutschsprachige Version auf de.wordpress.org steht ebenfalls zur Verfügung.

Wer die Vorgängerversion 2.8.4 benutzt und nicht die automatische Updatefunktion verwenden möchte, kann mit dem Upgradepaket eine Aktualisierung durchführen. Das Upgradepaket beinhaltet alle geänderten Dateien zu der Vorgängerversion 2.8.4 und kann für ein Upgrade der offiziellen- und der DE-Edition benutzt werden. Es gibt zur Vorgängerversion 2.8.4 keine Änderungen in der Datenbank.

→ Upgradepaket für 2.8.4 auf 2.8.5

In der DE-Edition ist die aktuelle Sprachdatei und das übersetzte Standardtheme enthalten. Die Sprachdatei kann auch seperat runtergeladen werden:

→ Sprachdatei für WordPress 2.8.5

Wie vor jeder Aktualisierung solltet ihr immer ein vollständiges Backup aller Dateien und der Datenbank anlegen – auch wenn ihr die automatische Updatefunktion benutzt!

Wir bitten euch, Support-Fragen zu der neuen Version oder zu dem Upgradepaket im Forum zu stellen. Dort findet ihr Hilfe falls bei euch Probleme auftauchen oder ihr Fragen im Vorfeld der Aktualisierung habt.

—————–
Siehe auch:

→ offizielles Entwicklerstatement
→ WordPress in 5 Minuten installieren
→ Wie führe ich ein Upgrade durch?
→ Informationen zu den Upgradepaketen
→ Die WordPress-Versionsnummern

Dieser Beitrag wurde am 21. Oktober 2009 um 14:12 von Olaf in der Rubrik Release abgelegt. Dieser Beitrag wurde 6196 mal aufgerufen. Neue Kommentare via RSS 2.0 - Trackback URI

22 Trackbacks

1. Humen Fail oder “Wie die falsche Sprachdatei ins Paket kam” - Es gibt Fehler die sind doch einem richtig peinlich wie dieser zum Beispiel Es die Art von Fehler die man gerne als wie kann man den nur so doof sein bezeichnet, Sprachdatei, Fehler, Update am 25. Oktober 2009
   
2. IT-Pulse am 25. Oktober 2009
   
3. Wordpress Update 2.8.5 Tipps-Archiv - 1000 Tipps und Tricks am 26. Oktober 2009
   
4. WordPress – Update – Error – Allowed memory « Mac OSX & Linux – loggn.de am 24. Oktober 2009
   
5. Wordpress 2.8.5 | Beitrag | Northern-Web-Coders am 23. Oktober 2009
   
6. WordPress 2.8.5: Hardening Release « hep-cat.de am 23. Oktober 2009
   
7. WordPress 2.8.5 in Deutsch verfügbar » Der Multimediablog am 23. Oktober 2009
   
8. Schnurpsel am 22. Oktober 2009
   
9. WordPress 2.8.5 schliesst Sicherheitslücken | Game Review Database am 23. Oktober 2009
   
10. WordPress 2.8.5 ist da! - GreenSmilies am 22. Oktober 2009
    
11. Wordpress 2.8.5 erschienen | www.pc-howto.com am 22. Oktober 2009
    
12. Updaten auf 2.8.5 | USmith Blog am 22. Oktober 2009
    
13. Steffen Kahl am 23. Oktober 2009
    
14. WordPress 2.8.5 DE-Edition und Upgradepaket - TeraBlog am 22. Oktober 2009
    
15. Webseiten-Infos.de auf WordPress 2.8.5 aktualisiert | Webseiten-Infos.de am 23. Oktober 2009
    
16. WordPress-Update 2.8.5 erschienen > Software > wordpress, Update, Sicherheit, 285 am 22. Oktober 2009
    
17. Wordpress 2.8.5 ist erschienen am 22. Oktober 2009
    
18. Kyr’s personal files » Blog Archiv » Wordpress 2.8.5 am 22. Oktober 2009
    
19. WordPress 2.8.5 (!100 Beitrag!) » dath.info am 21. Oktober 2009
    
20. Wordpress 2.8.5 freigegeben | ZYNDROM.DE am 28. Oktober 2009
    
21. Cyberday GmbH Blog» Blogarchiv » WordPress 2.8.6 erschienen am 7. Dezember 2009
    
22. mehr Sicherheit für WordPress | nexion Blog am 26. Dezember 2009
    

16 Kommentare | Kommentar schreiben

1. #1 Eike
   21. Oktober 2009 um 19:33

   ungefilterte Uploads nun auch für Admin wieder standardmäßig deaktiviert

   Das wird doch aber umgangen wenn ich die Datei per FTP in den Upload-Ordner lade, oder?
   Also das bezieht sich rein auf die Möglichkeit Daten per Mediathek zu laden oder?

2. #2 Sebastian Heid
   21. Oktober 2009 um 20:16

   @Eike Auf den Upload per FTP kann Wordpress keinen Einfluss nehmen

3. #3 Eike
   21. Oktober 2009 um 20:37

   Ja das dachte ich mir schon. Deshalb verstehe ich nicht warum es ein Sicherheitsgewinn ist. Die meisten Admin’s haben vermutlich auch einen FTP-Zugang.

4. #4 Norman
   21. Oktober 2009 um 23:02

   aber doch keiner, der sich in dein wordpress gehackt hat.. ftp zugang läuft doch unabhängig davon über deinen provider.

5. #5 Elias
   22. Oktober 2009 um 08:13

   Ich hatte schon einmal einen Angriff, bei dem es dem Angreifer (nach einer Wörterbuchattacke) gelungen war, über die Upload-Schnittstelle von WordPress ein paar PHP-Dateien in das Verzeichnis wp-content/uploads hochzuladen und auszuführen und erhebliche Teile eines Servers zu übernehmen. Von daher ist die neue Vorgabe, dass die Dateitypen für Uploads beschränkt sind, durchaus sinnvoll und ein Zugewinn an Sicherheit, wenn ich mir selbst auch anders zu behelfen weiß. (Ich schalte die PHP-Engine im Upload-Verzeichnis mit einer .htaccess aus und vergebe sehr restriktive Dateirechte. Aber ich habe das auch einmal einem nicht ganz so versierten Menschen erklärt, und der kam nicht auf Anhieb mit dieser Lösung klar. WP ist nun einmal auch eine Software, die nicht nur von “Freaks” eingesetzt wird. Deshalb sind solche Verbesserungen in meinen Augen sehr wichtig, und ich bin froh, dass ich sie auch umgehen kann — denn ich habe sehr wohl die Absicht, auch mal andere Dateitypen hochzuladen.)

6. #6 Elena
   22. Oktober 2009 um 11:14

   Warum macht man sich eigentlich nicht die Mühe, dass aufgezeigt wird, wie man ältere Versionen wieder sicher macht? In diesem Fall dürfte doch z.B. ein Eintrag/Änderung in der wp-trackback.php reichen, oder?

   Es gibt doch nun echt genug Leute da draußen, denen reichen die alten Versionen völlig.

   Echt Schade. :-(

7. #7 Geronimo
   22. Oktober 2009 um 12:05

   Wordpress wird immer Pompöser, Funktionen die keiner braucht, wieso?
   Warum wird immer noch beim automatischen deutschen Update nicht alle deutsche Sprachversionen mitinstalliert? Ich musste immer noch 2 Sprachdateien per FTP hochladen!

   Schade

8. #8 Olaf
   22. Oktober 2009 um 13:27

   @Elena: Für die jeweilige Vorgängerversion innerhalb der großen Versionssprünge stellen wir immer ein Upgradepaket bereit, welches nur die geänderten Dateien enthält. Wie immer gilt: Nur die aktuellste Version von WordPress ist die sicherste!

   @Geronimo: Warum auf de.wordpress.org nicht beide Sprachdateien (Du/Sie) angeboten werden können haben wir zig-male erklärt, einfach mal hier im Blog nach Sprachdatei suchen. Deine erste Frage kann nur so beantwortet werden, dass natürlich nicht jeder alle Funktionen braucht – die Entwickler haben für die User extra einen Bereich eingerichtet bei dem man Ideen zur Entwicklung einbringen kann: http://wordpress.org/extend/ideas/ desweiteren gibt es auch Maillisten, Entwickler-Blog und wöchentliche IRC-Meetings bei denen man direkt mit den Entwicklern reden kann.

9. #9 Elena
   22. Oktober 2009 um 14:07

   @Olaf,

   ist schon klar. Ein mancher würde aber gerne händig NUR die Sicherheitslücken schließen, weil er dann z.B. weiß das danach auch alles noch so funktioniert wie vorher, sprich Theme stellt korrekt dar, Plugins funktionieren noch, etc..

10. #10 jottlieb
    22. Oktober 2009 um 16:24

    @Elena:
    Bei solchen Zwischenupdates sind Plugins und Themes i.d.R. nicht betroffen und sollten weiterfunktionieren, da ja meist nur Bugs gefixed werden und keine großen Strukturumstellungen stattfinden, die Plugins oder Themes zum aussetzen bringen könnten.

11. #11 Elena
    22. Oktober 2009 um 16:45

    @jottlieb,

    ja auch das ist klar.

    Ich spreche mehr davon, dass man selbst für immer z.B. die 2.7-er einsetzten kann, und Sicherheitsänderungen immer händig ausmerzt.

    Fast niemand braucht WP im aktuellem Umfang, und schneller soll es ja auch nicht geworden sein – Im Gegenteil.

12. #12 jottlieb
    22. Oktober 2009 um 16:59

    @Elena:
    Ich fürchte, das ist nicht möglich. Die Dateien ändern sich mit der Zeit auch…so muss z.B. eine Sicherheitslücke in WP 2.6 anders geschlossen werden als in 2.8 oder 2.9.

13. #13 Geronimo
    22. Oktober 2009 um 22:02

    hallo
    @Olaf
    Ich meine nicht die Sprachdateien mit DU und SIE, Die Du-Dateien werden ja aktualisiert, aber nicht die Datei “continents-cities-de_DE.
    Wenn diese Datei nicht bei einer neuen Version mitinstalliert wird, ist im Dashboard nicht alles auf Deutsch.
    Ansonsten Danke für den Tipp.
    lg
    Geronimo

14. #14 actra.development
    22. Oktober 2009 um 22:11

    Danke @Geronimo, du hast mir den Abend gerettet!
    Ich habe heute das Update automatisch installieren lassen (2.8.4 auf 2.8.5, beides de_DE) und plötzlich war ein Teil im Admin-Bereich auf Englisch.
    Da stimmen wohl die mit dem AutoUpdate ausgelieferten Sprachdateien irgendwie nicht so ganz, ein Überschreiben mit denen aus dem LangPack jedenfalls hat das Problem behoben.

15. #15 Ron
    23. Oktober 2009 um 10:45

    Und die automatische Aktualisierung funktioniert wieder nicht.

16. #16 CSS Freak
    3. Februar 2010 um 00:00

    Also ich hatte keine Probleme vor dem Upgrade, dafür aber dannach, jetzt funktioniert der Uploader nicht mehr richtig, Datei Pfade werden nicht mehr angezeigt…ohh man hät ich das lieber nicht getan.

Dein Kommentar »