„Sawatdee khap“ lieber WordPress-Liebhaber,

Eine Tafel zeigt 40 Grad an. Im Vordergrund ist Florian zu sehen.
40 Grad trockene Hitze

zwar steigen die Temperaturen in Deutschland auch an, aber ich wette, in Chiang Mai – dem Ort an dem wir uns letzten Monat aufhielten – war es heißer. Die Stadt liegt im Norden Thailands und es hatte dort fast unerträgliche 40 Grad. Der Höchstwert, den wir jemals auf dieser Infotafel (im Bild rechts) sehen konnten, lag bei 43 Grad. Puuuh.

Aber kommen wir zu den heißesten WordPress-News aus dem letzten Monat, die wir auch dieses mal wieder kostenlos für Sie zusammengetragen haben. Vorher habe ich aber noch eine kleine Bitte an Sie:

Eine kleine Bitte

Wir öffnen demnächst die Tore zu unserem lang erwarteten WordPress Grundkurs für Einsteiger. Die Anmeldung zum Kurs wird ab Anfang Juni möglich sein. Vorher möchten wir aber noch eine spezielle Frage klären. Würden Sie uns den Gefallen tun und dabei helfen? Sie können die Frage unter folgendem Link beantworten:

Kleine Umfrage zum WordPress Kurs

Ich wollte es von Ihnen fernhalten: die WordPress REST-API

Echt jetzt: eigentlich wollte ich dieses Thema wirklich von Ihnen fernhalten, denn es ist sehr sehr technisch. Aber die Menge an News, die im vergangenen Monat aufploppte, bestätigt meine Vermutung umso mehr: Die REST-API ist das nächste große Ding in der WordPress-Welt. Was ist das überhaupt und wie können Sie davon profitieren? Das steht hier:

1. Was ist die REST-API und was macht sie?

Grob ausgedrückt ist die REST-API eine Schnittstelle für WordPress. Damit können Daten, wie z.B. Inhalte von Artikeln oder Seiten aber auch Einstellungen, von außen abgerufen werden.

Technisch gesehen legt man so genannte Routen und Endpunkte an. Diese beschreiben zusammen a) wie ein Abruf auszusehen hat und b) was dabei getan und zurückgegeben werden soll.

2. Was kann man mit der REST-API machen?

Nehmen wir als Beispiel folgende URL:

http://meine-wp-site.de/wpinstall.io/wp-json/wp/v2/posts.

Der Teil /wp/v2/posts/ ist die Route. Sie leitet intern auf eine PHP-Funktion (dem Endpunkt) die dafür sorgt, alle Artikel auszugeben.

Die Ausgabe ist aber in der Regel für Menschen nicht sonderlich gut lesbar, denn dafür ist sie auch nicht da. Mit der REST-API wurde eine Schnittstelle erzeugt, mit der man WordPress letztlich von außen komplett steuern kann. Nicht nur das Abrufen von Artikeln wird in Zukunft möglich sein, sondern auch das Erstellen, Verändern und Löschen von Beiträgen, Seiten und vielem mehr.

3. Ist die Schnittstelle schon einsatzbereit?

Nicht ganz. Seit Version 4.4 können Autoren von Plugins und Themes zwar schon eigene Routen und Endpunkte definieren, WordPress selbst hat seine eigenen aber noch nicht definiert. Das heißt: rein theoretisch ist die Schnittstelle einsatzfähig aber man kann noch keine Daten über WordPress selbst abrufen, geschweige denn Änderungen durchführen.

Warum ist das so? Naja, weil Matt Mullenweg das so entschieden hat. Der ursprüngliche Plan sah vor, dass zumindest ein Teil der API bereits in Version 4.5 fließen sollte. Das ist aber nicht geschehen, weil entschieden wurde, dass die gesamte Schnittelle erst in den WordPress-Kern kommen soll, wenn alle Routen und Endpunkte final definiert wurden.

4. Ab wann kann man die API nutzen?

Mit dem offiziellen REST-API-Plugin schon jetzt. Aber es ist – nach wie vor – im Beta-Stadium und es wird nicht empfohlen, es produktiv einzusetzen. Wir hoffen, dass sie ihren Weg in Version 4.6 finden wird. Falls nicht, dann wird das sicherlich in Version 4.7 der Fall sein.

5. Wer nutzt die REST-API?

Hier ein paar News dazu:

6. Warum ist die REST-API so wichtig?

Mittlerweile werden weltweit 25% aller Websites mit WordPress betrieben. Das ist schon eine Menge Holz. Aber Matt Mullenweg will noch mehr. Deswegen werden die Fühler auch weiter ausgestreckt.

Im Fall von Guggenheim.org wurde das Frontend (also das, was die Benutzer sehen) fast komplett mit WordPress-losen Techniken umgesetzt. Was Sie sehen, wenn Sie die Website besuchen, ist also kein WordPress mehr. Im Hintergrund wird allerdings – über die REST-API-Schnittstelle – Kontakt zu WordPress aufgenommen und Inhalte von dort geladen. Ein solches WordPress nennt man dann „kopflos“, da das Frontend vom Backend getrennt ist.

7. Warum ist die REST-API für mich interessant?

A) In Zukunft werden wir viel mehr Apps für WordPress sehen. Und dabei müssen diese nicht einmal etwas mit einer Website im klassischen Sinne zu tun haben. Die Einsatzmöglichkeiten sind unendlich groß. Beispielsweise könnte jemand auf die Idee kommen und eine Art Chat-App entwickeln. Sie könnten es dann für Ihre interne Unternehmenskommunikation verwenden. Im Hintergrund würden alle Chat-Verläufe in einem WordPress-System als Kommentare abgespeichert. Als App-Benutzer bekäme man gar nicht mit, dass es sich dabei um WordPress handeln könnte.

B) Dazu werden wir viele neue Services sehen. Das bereits angedeutete WooCommerce Connect ist genau so ein Fall. WordPress-Websites können plötzlich zu Service-Providern werden. Wie immer solche Services dann auch aussehen werden.

Sicherheit

Sie wissen es sicherlich bereits, denn wir haben es öfter angekündigt. Vergangenen Monat kam WordPress 4.5 heraus. Kurze Zeit danach dann Version 4.5.1. Letzteres hat dieses mal scheinbar keine Sicherheitslücken gestopft hat. Juhu!

Trotzdem wird ständig über Sicherheit diskutiert. Das lässt sich wohl nicht vermeiden. Denn da wo neuer Code entsteht, entstehen letztlich auch Sicherheitslücken.

Was verpfuschen Hacker eigentlich auf meiner Website?

Ein Diagramm mit Dingen, die Hacker auf einer Website anstellen könnten.
Mögliche Dinge, die Hacker anstellen könnten.

Im Blog von WordFence hat sich jemand mal die Frage gestellt: Was machen Hacker eigentlichen, wenn eine Seite erstmal gehackt ist?“. Das Hacken an sich ist ja nur der erste Schritt. Aber was kommt danach?

Die Lösung des Rätsels:

  1. Die Seite offline nehmen oder Funktionen deaktivieren
  2. Spam (Mails) senden
  3. SEO Spam (z.B. Backlinks setzen)
  4. Weiter- bzw. Umleitungen von Traffic
  5. Phishing Seiten hosten

Krass, oder? Wenn man mal so darüber nachdenkt, würde einem wohl nicht so viel einfallen. Man denkt sich immer bloß „Was wollen Hacker schon von mir? Ich habe ja nichts zu geben!“ Aber es geht oft gar nicht mal um Sie oder um Ihre Website.

Serverseitige Sicherheitslöcher

1) Wie Heise Online berichtet hat, hat’s nun auch mal PHP erwischt. PHP ist die Programmiersprache in der WordPress geschrieben ist. Das heißt also: wenn Sie WordPress, Drupal oder auch Joomla nutzen, kommt zwangsläufig PHP zum Einsatz. Und auch PHP muss einmal geupdatet werden. Das blöde ist nur: Sie haben darauf oft gar keinen Einfluss. Denn die Version wird vom Hosting-Provider vorgegeben.

Aber: Sie haben oft die Möglichkeit, zwischen mehreren Versionen zu wechseln. Und genau das sollten Sie jetzt tun:

  • Wenn Sie Version 5.5 nutzen, sollten Sie auf Version 5.5.35 oder höher updaten.
  • Wenn Sie Version 5.6 nutzen, sollten Sie auf Version 5.6.21 oder höher updaten.
  • Wenn Sie Version 7 nutzen, sollten Sie auf Version 7.0.6 updaten.

Aber Achtung: viele Plugins und Themes unterstützen das neue PHP 7 noch nicht zu 100%. Hier hilft nur: testen.

2) Dazu kommt, dass die ImageMagick-Bibliothek, die teilweise in PHP integriert ist und von WordPress genutzt wird, angreifbar ist. Die Bibliothek wird dazu verwendet, Bilder zu bearbeiten. Auch hier können Sie wohl weniger machen, wenn Sie keinen eigenen Server betreiben und nur ein Webhosting-Paket eines Providers gemietet haben. Hier sind die Betreiber der Server gefragt.
Viele WordPress-Nutzer haben im übrigen aktuell Probleme mit Bilduploads. Schuld daran hat ebenfalls die ImageMagick-Bibliothek, diese steht aber wohl nicht im Zusammenhang mit dem oben genannten Sicherheitsloch. Die Fehler wurden rasch behoben und WordPress 4.5.2 wurde bereits veröffentlicht.

Risiko sehr hoch: Ninja Forms Sicherheitsloch

Auch das populäre und kostenlose Plugin zum Erstellen von Formularen ist angreifbar. WordFence stuft das Risiko als sehr hoch ein. Wer Version 2.9.42 oder kleiner nutzt, sollte Ninja Forms möglichst sofort updaten.

Kleines Leck in Yoast SEO

Version 3.2.4 von Yoast SEO, welches derzeit mehr als eine Million mal heruntergeladen wurde, hat ebenfalls ein Sicherheitsloch, wie Wordfence vergangene Woche berichtete. Jeder, der es verwendet, sollte auf Version 3.2.5 aktualisieren. Die Sicherheitslücke erlaubte es Benutzern mit der Rolle „Abonnent“, die SEO-Einstellungen herunterzuladen.

XSS in Wordfence

Auch das bekannte Plugin Wordfence hat’s dieses mal erwischt. Es betraf allerdings nur die Plugin-Benutzer, die die Firewall deaktiviert hatten. Eine Lösung zur so genannten Cross-Site-Scripting Lücke wurde bereits eine Stunde nach dem Fund veröffentlicht. Mit Version 6.1.7 wurde die Lücke geschlossen.

WordPress Übersetzer-Tag

Dass Deutschland wieder mal vorne dabei war, hat man am so genannten Translation-Day, dem Übersetzer-Tag gesehen. Er wurde ausgerufen um möglichst viele Leute aus der gesamten Welt dazu anzuhalten, WordPress weiter zu übersetzen. Deutschland besetzte mit 4750 Übersetzungen den Rang 1. Dicht gefolgt von Thailand mit 4120 und Japan mit knapp 3000 Übersetzungen. Hut ab! Super gemacht!

Innerhalb des Übersetzertages wurde WordPress zu 100% in Marathi übersetzt. Die Sprache wird in Indien von unglaublichen 70 Millionen Menschen gesprochen. Das geniale dabei: eine Woche zuvor war die Übersetzung nur bei 10%.

Wie Sie sehen: die Welt steht nicht still. Und innerhalb von nur einem Monat kann sich so vieles ändern.

In diesem Sinne!
Happy wordpressing!

Ihr Dipl. Ing. (FH) Florian Simeth

PS: Wer einmal nach Chiang Mai reisen will, sollte das zwischen November und Januar tun. Da kann man Nachts zumindest bei angenehmen 24 statt 30 Grad schlafen.