WordPress 2.6 kommt mit neuen Features
20. Juni 2008, Jan Loderhose
Mit dem Release von WordPress 2.5 hat Automattic unser geliebtes Blog-System einen Schritt zurück in die Pubertät machen lassen. Neue Features gabe es kaum - bis auf eine rudimentäre Tag-Verwaltung. Mit viel Schminke wurde das Backen überarbeitet, das nun sehr viel eleganter daher kommt und die Usabillity verbessert hat. Mit der Version 2.6 wird WordPress ein weiteres Mal erwachsen!
Bis zum 7. August 2008 werden wir uns noch gedulden müssen, denn für dieses Datum hat Automattic die neue Release von WordPress angekündigt und bleibt damit dem Plan, drei Mal im Jahr eine neue Release zu bringen, treu. Ob das Datum eingehalten wird, bleibt natürlich abzuwarten, aber ich bin zuversichtlich. WordPress 2.6 wird mit neuen Features nicht geizen und natürlich werden wieder viele Fehler behoben und Sicherheitslücken gestopft.
SSL-Verschlüsselung
Besonders erfreulich ist die Ankündigung, dass es in Zukunft möglich sein wird, auf das Backend wahlweise per SSL, also verschlüsselt, zugreifen zu können. Sensitive Daten, Benutzername und Passwort, werde damit vor Angreifern geschützt. Zumindest simples Abhören wird dann nicht mehr möglich sein. Der Administrator hat die Wahl, ob der Zugang ausschließlich durch eine SSL-verschlüsselte Verbindung gestattet ist, oder er weiterhin den Aufruf durch http ermöglicht. Die entsprechende Einstellung wird gewohnt einfach in der wp-config.php getätigt.
Sicherheit durch Auslagern von wp-config.php und wp-content
A propos, die wp-config.php ist eines der beliebtesten Angriffziele für WordPress-Hacker. Die Datei liegt bei jeder Installation standardmäßig im DocumentRoot und damit ist per se bekannt, wie auf sie zugegriffen werden kann. Findet ein Angreifer eine Lücke, durch die er Zugang zu den PHP-Dateien bekommt, kann er die Konfiguration von WordPress auslesen; inklusive der Zugangsdaten für die Datenbank! Mit WordPress 2.6 wird die Möglichkeit eingeführt, die wp-config.php beweglich und kann eine Ebenen höher, außerhalb von DocumentRoot abgelegt werden. Ein Angreifer muss dadurch wesentlich mehr Aufwand betreiben und sich Zugriff auf das Dateisystem des Webservers verschaffen, um Einblicke in die Konfiguration von WordPress zu bekommen.
Neben der Konfiguration wird auch der Ordner wp-content ab WordPress 2.6 auslagerbar sein. Das erhöht die Sicherheit von WordPress erheblich. Die meisten Sicherheitslücken werden durch Plugins und Themes in WordPress eingebracht. Die Auslagerung von wp-content versteckt die Struktur des Inhalts, also auch die verwendeten Plugins und Themes, vor potentiellen Angreifern und erschwert ihnen damit einen gezielten Angriff. Daten außerhalb des DocumentRoot abzulegen ist jedoch nur möglich, wenn WordPress über einen eigenen Webserver ausgeliefert wird. Ein gewöhnlicher Webspace erlaubt in der Regel keinen Zugriff auf das Dateisystem außerhalb von DocumentRoot und das zu Recht! Durch die Definition von Konstanten in der wp-config.php wird es in Zukunft möglich sein, dem Ordner wp-content einen anderen Namen zu geben und sein Vorhandensein dadurch zu verschleiern. Diese Maßnahme ist dringend zu empfehlen.
Versionierung von Artikeln
Veränderungen von Artikeln werden ab WordPress 2.6 protokolliert. Dadurch können ältere Versionen wieder hergestellt werden. Gespeichert werden Titel, Autor, Inhalt und Exzerpt. Der Versionsverlauf kann über die "Erweiterten Einstellungen" angezeigt werden. Eine Detailansicht ermöglicht die Anzeige der Unterschiede einer Ausgewählten Revision und deren Vorgänger. Die Differenzen werden farblich hervorgehoben und sind damit auf einen Blick auffindbar. Die Wiederherstellung älterer Revisionen ist sowohl als Ganzes oder in den oben genannten Einzelbestandteilen möglich.
Beschleunigung durch Google Gears
Wer nichts gegen die ab und an doch eher agressive Software von Google einzuwenden hat, kann durch den LocalServer für WordPress 2.6 häufig durch das Backend geladene Skripte, Graphiken und Stylessheets lokal auf der Festplatte speichern. Jeder Benutzer kann die Entscheidung individuell treffen. Die Möglichkeit wird prinzipiell angeboten und entweder angenommen oder abgelehnt. Wer den LocalServer nutzen möchte wird automatisch zur Installation vin Google Gears weitergeleitet. Der positive Effekt liegt auf der Hand: Die Ladezeit des WordPress Backends verkürzt sich signifikant. Ein Benchmark findet sich auf TalkPress: WordPress wird 661 Prozent besser.
Neuer Themenbreich
Die Verwaltung von Themes wird komplett überarbeitet. Die auffälligste Neuerung ist die aufgepeppte Vorschau. Anstatt einen Screenshot des Themes anzuzeigen, läd WordPress 2.6 das ausgewählte Theme in eine ThickBox geladen und mit Inhalten aus dem Blog gefüllt. Alle durch das Theme bereitgestellten Funktionen sind in der Vorschau schon nutzbar, inklusive Navigation und Kommentare. Bevor ein neues Theme also life geschaltet wird, kann es auf Herz und Nieren geprüft werden.
Fazit
Schon jetzt zeichnet sich ab, dass uns mit WordPress 2.6 ein in weiten Teilen vollkommen neues Blog-System zur Verfügung gestellt wird. Gerade in Bezug auf Sicherheit verspricht WordPress 2.6 enorme Schritte zu machen. Da die neuen Features hauptsächlich optinal angeboten werden und durch den Administrator eingeschaltet werden müssen, braucht niemand den Versionssprung zu scheuen. Man darf gespannt sein, ob sich die Änderungen in Bezug auf die Anwendbarkeit beweisen werden.
Wer sich über die Entwicklung von WordPress 2.6 detailiert auf dem Laufenden halten möchte, wird übrigens auf WP-Trac fündig.
Update: Ryan Boren, WordPress-Entwickler, hat den WordPress 2.6 Beta 1 Download offiziell freigegeben. In seinem Artikel findet ihr auch eine vollständige Liste der neuen Features.
2 Kommentare
-
Jan ~ 02. Juli 2008 @ 08:36
Danke für den Hinweis! :-D -
Lacher Schlechthin ~ 01. Juli 2008 @ 14:15
"Mit viel Schinke wurde das Backen überarbeitet"
Gebackener Schinken ist aber auch verdammt lecker!
