Website-Betreiber: Elementor Plugin auf Version 3.6.3 aktualisieren

Update auf Version Elementor 3.6.3 empfohlen

Wer seine Website selber pflegt, sollte einen Blick auf die eventuell genutzte Elementor-Version werfen. Wie Wordfence berichtet, besteht in dem mit dem über 5 Millionen Installationen des Plugins eine Sicherheitslücke, diese wurde am 12. April 2022 durch die Version 3.6.3. gepatcht.  Wer also Elementor nutzt, dem sei ein Update empfohlen. Die Sicherheitslücke ermöglichte es jedem authentifizierten Benutzer, beliebigen PHP-Code hochzuladen.

Elementor Plugin auf Version 3.6.3 aktualisieren

Benutzer von Wordfence Premium erhielten bereits am 29. März 2022, d.h. am Tag der Entdeckung, eine Firewall-Regel zum Schutz vor diesem Problem. Websites.
Die Nutzer, die die kostenlose Version von Wordfence nutzen, erhalten den gleichen Schutz später, d.h. am 28. April 2022.

Durch ein Update der Version kann diese Sicherheitslücke aber entsprechend auch behoben werden.

Wordfence Blog: Critical Remote Code Execution Vulnerability in Elementor.

Sie benötigen Unterstützung bei der fortwährenden Aktualisierung Ihrer Website? Schreiben Sie uns, wir aktualisieren und warten Ihre Website gerne kontinuierlich und zuverlässig.

84.000 Websites von Sicherheitslücke betroffen

84.000 Websites von Sicherheitslücke betroffen

Wie Wordfence am 13. Januar 2022 in einem Blogbeitrag berichtet hat, hat das Wordfence-Team eine Sicherheitslücke gefunden, die gleich 3 Plugins betraf.

84.000 WordPress-Websites waren von dieser Lücke betroffen. Zuerst entdeckte das Team das Problem im Plugin “Login/Signup Popup”, über 20.000 Websites haben dieses Plugin installiert.

Nur wenige Tage später wurde die gleiche Lücke im Plugin „Side Cart Woocommerce (Ajax)”, gefunden, welches auf über 60.000 Websites genutzt wird. Zu guter Letzt wurde die Schwachstelle noch im Plugin “Waitlist Woocommerce (Back in stock notifier)” entdeckt.

Zwischenzeitlich wurden alle Plugins von den jeweiligen Entwicklern aktualisiert und damit die Sicherheitslücken geschlossen.

Wordfence-Premium-Nutzer hatten bereits am 5. November 2021 eine Firewall-Regel zum Schutz vor Angriffen auf diese Schwachstellen erhalten. Websites, die die kostenlose Version von Wordfence nutzen, erhielten den gleichen Schutz am 5. Dezember 2021. Wordfence empfiehlt dringend die Aktualisierung auf die jeweils neuesten Versionen der Plugins, die gepatchen Versionen werden hier wie folgt aufgeführt:

Login/Signup Popup Version 2.3
Waitlist Woocommerce ( Back in stock notifier ) Version 2.5.2
Side Cart Woocommerce (Ajax) Version 2.1

Hier der Beitrag von Wordfence mit weiteren Informationen 84,000 WordPress Sites Affected by Three Plugins With The Same Vulnerability.

Avada 7.4.2 Update durchführen wichtig!

Avada-Sicherheitsupdate-7.4.2

Durchführung von Avada 7.4.2 Update dringend empfohlen

ThemeFusion hat vor wenigen Tagen ein Update des beliebten Themes Avada herausgebracht, dieses Update sollten Websiteinhaber zügig durchführen.

Das Update behebt zwei XSS-Sicherheitsprobleme, in der Changelog von Theme Fusion findet man weitere Details.  In Kürze die XSS-Sicherheitsprobleme nachfolgend gemäß ThemeFusion Informationen:

XSS (Cross-Site Scripting) Problem in den Breadcrumbs bei Verwendung des bbPress-Plugins und auf der bbPress-Suchseite behoben
XSS-Problem (Cross-Site Scripting) in der Avada Forms-Komponente behoben, das das Laden von HTML-Formulareingaben im Backend ohne Kennzeichnung ermöglichte.

Wie immer, wird vorab die Durchführung eines kompletten Backups empfohlen, d.h. Dateien und Datenbank. Für alle Kunden, die über einen Wartungsvertrag verfügen, wurden diese Updates bereits durch uns durchgeführt.

Was bringt WordPress 5.8 an Neuem

wp-update-easy

Ab voraussichtlich 20. Juli 2021 die WordPress 5.8. Version zur Verfügung und hat einige Neuerungen zu bieten. Eine Neuerung ist der weitere Ausbau des Gutenberg-Editors, dieser erhält weitere Design-Blöcke, die für die Template-Erstellung angedacht sind und weniger für dem Erstellen von Beiträgen dienen. Mit dem Vorlagen-Editor können Benutzer benutzerdefinierte Vorlagen im Beitragseditor direkt bearbeiten. Folgende Blöcke kommen ebenfalls dazu: Seitentitel, Website-Logo, Untertitel, Beitragskategorien und Schlagwörter.

Dann soll das Grafikformat WebP unterstützt werden, dass durch merklich kleinere Dateigrößen die Ladezeiten verbessert. WebP kann verlustfrei komprimieren und ist daher für verbesserte Ladezeiten optimal, es können jpeg und png genutzt werden.

Dann wird der Widget-Bereich ebenfalls mit dem Gutenberg-Editor zu bearbeiten sein. Was hier an Änderungen auf Website-Betreiber zukommt, bleibt abzuwarten. Je nach Konfiguration und Nutzung weiterer Plugins für den Widgetbereich können Nebenwirkungen auftreten.

Eine Idee eventuelle Probleme hier zu umgehen bzw. zu vermeiden, haben wir auf heise.de gefunden. Wer sich vor dem Update das Plugin Classic Widgets installiert, behält die alten Einstellungen bei. Weitere Informationen über die Neuerungen in WordPress 5.8 findet ihr bei heise: Neuer Widget-Bereich und neues Grafikformat in WordPress 5.8.

Die Weiterentwicklung geht also wie immer weiter. Wie immer vor Durchführung ein Full und DB-Backup durchführen und der Tipp mit dem Classic Widget (siehe oben) mag für den Einen oder Anderen interessant sein.

WordPress 5.7.2 Sicherheitsrelease

wp-update-easy-seo-webdesign

Das Sicherheitsrelease auf Version 5.7.2 sollte schnellstmöglich durchgeführt werden. Es handelt sich um ein Sicherheitsrelease mit kurzem Zyklus, die nächste Hauptversion wird die Version 5.8 sein, diese ist für Juli 2021 geplant und beinhaltet dann größere Änderungen.

 

App-Update von WordPress im Apple Store sorgt für Diskussionen

Apple Wordpress-App-Update

App-Update von WordPress im Apple Store sorgte für Diskussionen

Im Streit um die Veröffentlichung des Updates der beliebten WordPress-App im Apple-Store haben sich Apple und WordPress-Entwickler Automattic geeinigt.

Link zu kostenpflichtigen Angeboten erfordert laut Apple In-App-Funktionen

Hintergrund des Streites war ein Link innerhalb der sonst kostenfreien App, der zu kostenpflichtigen Angeboten der Nutzung von WordPress.com führte.

Apple interpretierte diesen Link als Versuch, die Store-Regeln zu umgehen. Diese sehen eine Provision von 30 % für jeden In-App-Verkauf im Store vor. Eine Menge Geld für Apple, wenn man bedenkt, dass WordPress das mit Abstand beliebteste Content-Management-System ist und eine riesige Community hat.

Es wird geschätzt, dass etwa 40 % aller weltweit betriebenen Webseiten auf WordPress basieren. Argument für die geforderte Einbindung der Buchungsmöglichkeit für WordPress-Pläne in die WordPress App für iOS war, dem User ein einheitliches Nutzungserlebnis ohne Unterbrechung zu garantieren.

Wahrscheinlicher ist jedoch, dass Apple seine happige Provision, die laut AGBs auf alle in-App-Verkäufe in Apps im Apple Store anfällt, sicherstellen wollte. WordPress als meistgenutztes Content-Management-System ist dazu einfach zu attraktiv und würde den allgemeinen Rückgang im In-App-Kauf-Geschäft über den Apple-Store etwas ausgleichen.

WordPress-App dient der Verwaltung von WordPress

Die Apple App für WordPress dient laut Entwickler und Gründer Matthew Mullenweg jedoch ausschließlich der Administration bestehender Webseiten für die selbst gehostete Plattform WordPress.org sowie die von WordPress angebotene Inklusiv-Version WordPress.com, für die besagte Bezahlpläne buchbar sind.

“Um wieder Updates und Fehlerbehebungen ausliefern zu können, mussten wir uns verpflichten, In-App-Käufe für .com-Pläne zu unterstützen”, sagte er. Er bat die Community um Vorschläge, wie mit dieser merkwürdigen Situation umzugehen sei, in der Apple zu fordern schien, dass In-App-Käufe zu einer kostenlosen App hinzugefügt werden sollten.

Nachdem die WordPress-Community vom Block des Updates erfahren hatte, traf Apple auf jede Menge Gegenwind. Von der empörten Reaktion höchstwahrscheinlich überrascht, trat der Konzern wenig später in einer öffentlichen Mitteilung auf der Plattform The Verge den Rückzug an.

Apple entschuldigte sich beim Entwicklerteam und erklärte, dass WordPress “jetzt eine kostenlose, eigenständige App ist und keine In-App-Käufe anbieten muss”. Alles, was es brauchte, war, dass Mullenweg “die Anzeige der Zahlungsoptionen für ihre Dienste aus der App” entfernte. Dies ist jedoch eine Änderung, die, wie The Verge betonte, “bereits vor Wochen oder Monaten” geschah.

Apple als Torwächter in der Diskussion

Dies passt in das Bild, das von Apple sowieso vorherrscht: Das nämlich eines Torwächters, der in einer Monopolstellung immer mehr Provisionen für die Nutzung seiner Plattformen verlangt.

Das Ende vom Lied ist nun, dass die App in den Stores sowohl von Android, als auch von iOS erhältlich ist und seinen bekannten Funktionsumfang hat. Zum Glück ohne Hinweise auf die Bezahlpläne. Damit Apple ruhig schlafen kann.

Einen interessanten Beitrag hierzu gibt es auch bei 3tn, die WordPress App bei Apple gibt es unter nachfolgendem Link

WordPress Update 5.5 – die Neuerungen auf einen Blick

Wordpress-Update-5.5 ist da

Das neue WordPress Version 5.5 ist seit gestern verfügbar.

Postgelb kündigt sich die neue WordPress-Version 5.5 “Eckstine” nach dem  durchgeführten Update an.
Nachfolgend die Änderungen und Verbesserungen im Überblick

Wordpress-5.5

Block-Editor / Gutenberg-Editor
Der Editor wurde noch einmal stark verbessert und erweitert. Neben neuen Vorlagen kann man nun Bilder direkt  im Bild verändern, d.h. zuschneiden oder zoomen sowie drehen.

Dann wurde die Übersicht über die einzelnen Elemente verbessert. Bisher war ich kein großer Freund des Editors, aber so langsam kann er überzeugen.

Schnelligkeit
Dank Lazy Loading werden seit WP 5.5. Bilder nun erst geladen, wenn sie sich im sichtbaren Bereich befinden.

Das lässt die Seiten schneller erscheinen. Auch können mittels Lazy Loading Browser das Laden von Dateien verhindern, die für andere als das aktive Gerät bestimmt sind. Auch das hilft das Volumen der geladenen Daten zu verringern, was bei geringer Bandbreite sinnvoll ist.

Standardmäßige Sitemap
Mit Version 5.5. bietet WordPress per Default eine XML-Sitemap.

Automatisierte Updates
Unter Aktualisierungen kann man nun Plugins und Themes für eine automatische Aktualisierung auswählen. Die so aktivierten Themes oder Plugins sollen dann vorab das voraussichtliche Datum anzeigen. Die Durchführung dieser Funktion hängt von den jeweiligen WP-Cron-Einstellungen ab und wir werden prüfen, ob und wie zuverlässig das funktioniert.

Ein großer Nachteil bei der automatisierten Durchführung von Updates ist meines Erachtens, dass je nach Konfiguration und entsprechendem Umfang der Website die sofortige Kontrollmöglichkeit bezüglich der Funktionalitäten fehlt. Das Thema werden wir ausgiebig testen.

Auch kann es nach Angaben von WordPress sein, dass Drittanbieter-Plugins oder Themes diese Funktion überschreiben. Es wird sich in den nächsten Monaten zeigen, ob und wie diese Funktion sinnvoll anzuwenden sind.

Für Entwickler wurden ebenfalls einige Neuerungen zur Verfügung gestellt.

Wir haben die neue Version heute auf Websites mit sieben unterschiedlichen Templates durchgeführt und es gab keinerlei Probleme.

Ein Full und DB-Backup vor der Aktualisierung ist wie immer zwingend anzuraten.

Den Blogbeitrag zu den Neuerungen von WP 5.5 findet ihr auf dem WordPress-Blog hier

Neu in WooCommerce 4.3

WooCommerce Update

 

WooCommerce Update auf Version 4.3 ist da

Neu in WooCommerce 4.3 – die neueste Version 4.3 von WooCommerce ist seit 8. Juli 2020 ist veröffentlicht.

Die neue Version WooCommerce 4.3. ist kein Major-Update und alles ist abwärtskompatibel bis zur Version 4.0 vom März 2020. Dennoch empfehlen wir – wie immer – vor dem Update alle Daten, d.h. Dateien und Datenbank vollständig zu sichern.

WooCommerce Logo Update Version 4.3Im folgenden Beitrag stellen wir Ihnen die wichtigsten neuen Punkte vor.

Aussehen des Dashboards

Die Übersichtlichkeit des Dashboards von WooCommerce wurde stark verbessert. Hier gibt es jetzt nur noch drei Bereiche:

  • Posteingang
  • Die wichtigsten Shop-Metriken
  • Verweise zu den wichtigsten Shop-Einstellungen

Damit das neue Dashboard nach dem Update tatsächlich angezeigt wird, müssen wir es unter den erweiterten Einstellungen bei Startseite aktivieren. Bei einer Neuinstallation von WooCommerce ist dies schon voreingestellt.

Gutenberg-Editor-Blöcke

Bei den WooCommerce-Blöcken innerhalb des Gutenberg-Editors gibt es auch einige Änderungen oder Verbesserungen. Da die “Product Grid”-Blöcke nun etwas anders funktionieren, sollten Sie die Darstellung dieser Blöcke nach dem Update unbedingt überprüfen.

Datenbank-Änderungen

Viele kleine Verbesserungen betreffen die Verwaltung der Datenbank, z.B. dem Import und Export von Shop-Daten als CSV. Eine weitere sehr wichtige Neuerung gibt es für die bessere Bearbeitung gleichzeitig eingehender Bestellungen. Mit der neuen Datenbanktabelle “wc_reserved_stock” wird verhindert, dass mehr Produkte als tatsächlich vorhanden bestellt werden können.

Benötigte Umgebung

Für WooCommerce Version 4.3 wird mindestens WordPress 5.2 verlangt. Der Hersteller empfiehlt PHP 7.2 oder höher. Da ältere Versionen von PHP keine Sicherheitsupdates mehr erhalten, raten auch wir dringend davon ab, eine ältere Version als 7.2 weiterhin zu verwenden.

Eine vollständige Aufzählung aller neuen Features von WooCommerce 4.3 gibt es auf der Website von WooCommerce, d.h. DAtenbank 

WordPress Theme Update – Avada 7.0

Avada 7.0 Update

WordPress Theme Update – Avada 7.0

Am 21. Juli 2020 hat ThemeFusion die Version 7.0 ihres Premium-Themes Avada veröffentlicht. Dieses Update bringt eine große Anzahl von Neuerungen mit. In diesem Beitrag stellen wir Ihnen die wichtigsten Änderungen kurz vor.

Es handelt sich hier um ein Major-Update.  Deshalb raten wir diesmal ganz besonders dringend dazu, vor dem Update ein vollständiges Backup aller Daten inklusive der Datenbank von WordPress zu machen.

Avada 7.0 Update

 

 

Neues Dashboard

Sofort nach dem Update fällt auf, dass das Avada-Dashboard einen moderneren Look bekommen hat. Die Avada-Plugins sind gleich auf der Startseite zu sehen, statt wie früher hinter dem Reiter “Plugins” versteckt zu sein. Die beiden Hauptbestandteile von Avada, Fusion Core und Fusion Builder wurden in Avada Core und Avada Builder umbenannt.

Nun zu den wesentlichen technischen Änderungen von Avada 7.0:

Header-Builder

Mit dem neuen Header-Builder lässt sich der Headerbereich jetzt vollkommen flexibel gestalten. Dazu benutzt man Layouts, in denen man die eigenen Header einfügen oder die vorgefertigten Header einsetzen kann. Diese Layouts funktionieren dann global oder auch individuell für einzelne Seiten, Beiträge usw. Die eigentliche Gestaltung eigener Header erfolgt mit dem Builder von Avada. ThemeFusion liefert hier auch 16 Header mit, die man im Builder nach eigenen Vorstellungen weiterbearbeiten kann.

Flexibleres Layout

Neu in Avada 7.0 wird nun auch die CSS flexbox benutzt. Dadurch wird eine erheblich verbesserte Flexibilität für Layouts auf den unterschiedlichen Displaygrössen erreicht. War man bisher bei den Spalten festgelegt auf Layout-Raster von 1-6 Spalten, so können jetzt Spaltenbreiten mit Prozentangaben frei angegeben werden. Die Reihenfolge, Ausrichtung, und Ausrichtung der Inhalte von Spalten kann nun ganz individuell für unterschiedliche Displays gesteuert werden. Diese Verbesserung im responsiven Design gilt für alle Layout-Container. Neu hinzugekommen ist auch ein feststehender (“sticky”) Container.

Weitere Neuerungen

Im Avada Builder ist das Menu-Element neu. Damit ist es möglich, ein Menü an beliebigen Stellen zu positionieren.

Auf der Website von Avada finden Sie eine detaillierte Liste mit allen Neuerungen und Verbesserungen.

Datenbank-Zugangsdaten von Interesse

Sicherheit-Plugins-Wordpress

Datenbank-Zugangsdaten von WordPress Ziel eines Angriffs im Mai 2020

Wie Wordfence, der amerikanische Anbieter von Sicherheitslösungen für WordPress in einem Blog-Beitrag vom 03. Juni 2020 berichtet, konnten in der Zeit vom 29. bis 31. Mai 2020 Angriff auf Datenbank-Zugangsdaten von WordPress Websites durch die Wordfence Firewall blockiert und abgewehrt werden.  Das Interesse bzw. Ziel des Angriffs war es, Anmeldedaten von 1,3 Millionen WordPress Datenbanken zu stehlen. Die Angreifer versuchten bekannte Schwachstellen von WordPress Plugins und Themes auszunutzen, um die Konfigurationsdateien der angegriffenen Websites herunterzuladen.

WordPress Plugin- und Themes-Schwachstellen als Angriffsziel

Laut Wordfence erreichte die Angriffswelle am 30. Mai ihren Höhepunkt. An diesem Tag erfolgten rund 75 % der insgesamt 130 Millionen Angriffe. Die Hintermänner des Angriffs sind keine Unbekannten. Zumindest ist bekannt, von wo die Angriffe gestartet wurde.

Wordfence entdeckte Aktivitäten bereits im Februar

Wordfence beobachtet die Aktivitäten dieser Gruppe bereits seit Februar diesen Jahres und konnte sie mit einem ebenfalls umfangreichen Angriff auf XSS-Schwachstellen in Verbindung bringen. Möglich war dies, da die Akteure für beide Angriffe die gleichen IPs benutzt haben. Rund 20.000 verschiedene IPs, von denen die Angriffe ausgegangen sind, konnte Wordfence registrieren.

Eine weitere Gemeinsamkeit beider Angriffe war, dass die Angreifer gezielt versucht haben, Sicherheitslücken in veralteten WordPress Themes und Plugins zu nutzen, die den Export oder das Herunterladen der wp-config-Datei ermöglichen. Die wp-config Datei ist ein zentraler und kritischer Teil aller WordPress Installationen. Sie enthält neben verschiedenen Authentifizierungsschlüssel auch die Anmeldedaten für die Datenbank. Angreifer, die Zugriff auf diese Datei erlangen, können sich problemlos Zugang zu Datenbanken verschaffen, in denen Nutzerdaten und Website-Inhalte gespeichert sind. Jeder Angreifer kann dann sensible Daten auslesen, einen weiteren Administrator hinzufügen oder die Site sogar ganz löschen. In jedem Fall wäre der angerichtete Schaden beträchtlich und mitunter existenzbedrohend.

Wie können Sie Ihre WordPress Seite schützen?

Die Wordfence Angabe zur Zahl der angegriffenen Websites beinhaltet nur die von einer Wordfence Firewall geschützten Websites. Die Dunkelziffer der vom Großangriff auf Datenbank-Zugangsdaten betroffenen Sites ist wahrscheinlich noch weitaus höher. Wenn Sie glauben oder befürchten, dass Ihre Website kompromittiert wurde, sollten Sie zunächst das Datenbank-Passwort und die eindeutigen Authentifizierungsschlüssel ändern.

Wenn Sie Fragen zum Schutz Ihrer WordPress Website haben oder sich ausführlich über die Möglichkeiten, wie Sie Ihre Website vor Angriffen und Datendiebstahl schützen können, beraten lassen wollen, zögern Sie bitte nicht uns anzurufen oder eine E-Mail zu schicken. Wir beraten Sie gerne und helfen Ihnen dabei, Ihre WordPress Site zu schützen.

Der von Wordfence geschilderte Angriff auf veraltete Plugins und Themes von WordPress Website zeigt, wie wichtig es ist, die Website regelmäßig zu pflegen und, sobald verfügbar, Updates für Themes und Plugins zu Installation. Tools wie die Wordfence oder Ninja Firewall für WordPress sind ebenfalls eine sinnvolle Maßnahme, um die eigene Website und sensible Daten von Kunden und Mitarbeitern zu schützen.

Beitrag von Wordfence: Large Scale Attack Campaign Targets Database Credentials.