WordPress entfernt Blogroll – Änderungen und Alternativen

Wenn es eine Sache gibt, die sinnvoll und gleichzeitig nicht sinnvoll ist, dürfte es die Blogroll sein. Sinnvoll, weil man dort andere Blogs eintragen kann, die man gerne liest. Nicht sinnvoll, weil es etliche Blogs gibt die eine unendlich lange Blogroll haben. Fernab dessen gibt es natürlich auch noch die Pest unter den Blogrolls: Bezahlte Links, die nicht als solche gekennzeichnet sind (also Schleichwerbung).

WordPress will die Blogroll jetzt rausschmeißen, ab Version 3.5 ist im Backend der Links Manager nicht mehr enthalten. Ein offizielles Statement gibt es wohl nicht, aber man liest, dass Blogrolls als „old-fashioned“ abgetan werden. Das kann ich nicht wirklich nachvollziehen, denn ich selbst schaue bei fremden Blogs auch gerne mal auf die Blogroll, welche Sachen dort empfohlen werden.
Weiterlesen

Sicherheitsprobleme bei WordPress.org – Passwort-Reset [UPDATE 2]

Jetzt hat es wohl auch WordPress.org erwischt. Wie das WordPress-Team soeben gebloggt hat, haben sich bislang unbekannte Zugriff auf drei WordPress-Plugins (AddThis, WPtouch und W3 Total Cache) verschafft und diese Plugins mit jeweils einem Update versehen, welches eine Hintertür beinhaltete.

Das WordPress-Team merkte, dass die Plugin-Updates nicht von den Entwicklern waren, hat daraufhin den Updatezugang gesperrt und die Plugin-Versionen rückgängig gemacht. Bislang ist noch unbekannt, wie sich Dritte Zugang zu dem Update-Vorgang der Plugins verschaffen konnten. Daher hat WordPress alle User-Passwörter auf wordpress.org, bbpress.org und buddypress.org zurückgesetzt. Es wird geraten, nicht erneut das alte Passwort zu benutzen und sofern das alte Passwort anderswo genutzt wurde, es dort ebenfalls zu erneuern. Ebenso sollten die Plugins schnellstens aktualisiert werden.

Um sich bei WordPress.org wieder einzuloggen, muss man nun als erstes die „Password Recovery“-Funktion nutzen, die alten Passwörter funktionieren nicht mehr. Man erhält eine E-Mail mit der Aufforderung, den Reset über einen Link zu bestätigen, anschließend folgt eine weitere E-Mail mit einem neuen Random-Passwort, mit dem man sich anmelden kann und das Passwort dann selbst ändern kann (im Profil rechts „Edit“ klicken, unten Passwort ändern).

Ein wenig beunruhigend, dass sowas möglich war. Schließlich guckt nicht jeder auch auf der Seite der Entwickler nach, ob dort auch von einem neuen Update geschrieben wird, wenn man im Backend mit wenigen Klicks das Update machen kann und man eigentlich darauf vertraut, dass nur die Plugin-Entwickler auf diese Update-Zugänge zugreifen können.

Vielleicht sollte WordPress in Zukunft noch eine Vorinstanz haben, die nicht nur wie bislang Themes und Plugins vor Veröffentlichung prüft, sondern auch Updates. Das dürfte bei knapp 15.000 Plugins allerdings recht schwierig werden, auch wenn davon nur ein Bruchteil regelmäßig aktualisiert wird.

UPDATE: Laut Exploit-Datenbank hat WPtouch „nur“ einen Redirect auf eine Angreiferseite durchgeführt. Der Exploit ist dort aber nicht verifiziert. (via)

UPDATE 2: Der Exploit scheint doch nicht der Schadcode gewesen zu sein, hier findet man alle drei Schadcodes in den Plugins (auf Englisch).

Voicepress – Bloggen per Stimmeingabe

Derzeit kusiert Voicepress umher: Ein Plugin, mit dem man per Stimmeingabe bloggen kann. Derzeit gibt es nur die Ankündigung und einige Test-Videos:

Sieht schon mal toll aus. Realisiert wird das wohl über eine API von Google Voice. Unter cleverbot.com (ein Bot, der laut eigener Aussage zu 41% menschlich sei und dementsprechend antwortet) kann man mit der Voice-Transkription ein bisschen rumspielen. Einfach Mikrofon anschließen, auf das Mikrofon-Symbol klicken und los sprechen.

Fazit: Man muss recht genau und deutlich sprechen, damit es funktioniert, dennoch wurde selbst „Dampfschifffahrtskapitän“ richtig erkannt. Mit WordPress könnte ich mir das richtig gut vorstellen, hoffentlich wird das Plugin bald veröffentlicht. :-)

Die .xxx-Domains kommen doch

Juhu, die ICANN hat die Einführung der .xxx-Domain beschlossen. Aber natürlich will man uns wieder den Spaß verderben, denn die Domains soll nicht jeder registrieren dürfen:

Im Unterschied zu herkömmlichen Domains werden .xxx-Domains nur der Sexindustrie („Online Adult Entertainment“) zugänglich sein. Ein entsprechendes Regelwerk soll dies sicherstellen. Das bezieht sich allerdings nicht nur auf Firmen. Auch Einzelpersonen können sich diese Domains sichern.

Ich schließe daraus, dass man irgendwie nachweisen muss, dass man in der Pornobranche „tätig“ ist. Das ist blöd für die ganzen Spaßvögel, aber vermutlich nicht zu ändern.

Vielleicht lockert der Registrar die Änderungen ja, falls die Domain in der Tat richtig floppt, weil die Pornoindustrie sie eigentlich gar nicht will. Derzeit sind „nur“ knapp 306.000 Domains vorregistriert. Zum Vergleich: Am 1. März waren über 14,2 Millionen .de-Domains registriert, die Anzahl der .com-Domains liegt bei über 90,7 Millionen.

Bescheuert: Streit über Videoformate im Web

Heise berichtet: „Streit um Formate für Web-Videos verschärft sich“. m(

Jetzt mal ehrlich Leute: Das ist doch bescheuert. Sowohl das Gehampel rund um die Patente ist bescheuert als auch die Annahme, dass es irgendwann einen einziges Videoformat im Internet gibt. Alleine für die Browser, die WebM nicht unterstützen werden, wird es auf den Videoplattformen immer eine Fallback-Lösung geben, sonst würde YouTube viele Nutzer (und somit auch Werbegelder und Traffic) verlieren.

Und die Nutzer, die Videos erstellen, werden immer das Format nehmen, das ihr Betriebssystem und Videoprogramm hat. Wie das nun heißt und ob es frei ist oder nicht wird den meisten Leuten egal sein. Wir hören ja jetzt auch MP3s und wandeln nicht alle MP3s extra in OGG um, bloß weil OGG open-source ist.

Über den (Un-)Sinn von Patenten schreibe ich jetzt nichts, denn das Patente mehr als bescheuert sind dürfte spätestens seit den Patenten auf Leben klar sein.