Alex Günsche · 26. Juni 2007
The contactNG plugin was pre-released today with an announcement in the Plugin Competition Blog.
I will work on the plugin a bit more in the next days and enhance the features based on the feedback.
Please download the plugin, install it, and let me know what you think.
Alex Günsche · 30. Mai 2007
Dieser Beitrag ist leider nur auf Englisch verfügbar.
The InstantUpgrade plugin has gained very much attention and positive feedback during the last weeks. Now it’s time for a new era: I’ve created a version of the plugin that will make the installation and usage significantly easier. While with 0.x versions it was neccessary to change tons of permissions on most hosts, the new version offers file transfer via FTP with the users credentials, so no permissions must be changed at all!
However, the new features, especially the FTP transfer, need very much testing before we can release it to the general public. Therefore I’d ask everybody to install the new version in their test environments and review the plugin extensively. Note: Please don’t use this version in productive environments yet.
Usage is as follows:
instantupgrade to your plugin directoryIf you encounter errors during the installation which you think are errors of the plugin, please report them. After installation, please check your WordPress installation, and if you notice errors, please report them, too.
You can report bugs as comments below this post (please not at the plugin’s home page), or you can use our bugtracker. Any notice of what could be improved is welcome, same goes for questions, feature requests, etc. Please do also provide information about your testing environment.
Everybody who provides substantial feedback will be named (w/ link) in the final release announcement, so I hope you all get a piece of the fame. 
Update (31.05, 14:28): The author of the FTP library, Alexey Dotsenko, has said he will put his work under the GNU LGPL. 
Alex Günsche · 11. Mai 2007
WordPress 2.2 wird bald erscheinen, und WordPress 2.3 wirft ebenfalls seinen Schatten voraus. Da sich doch wieder so einiges ändern wird, habe ich das InstantUpgrade-Plugin mit Vorabversionen der neuen Releases getestet. Das Ergebnis: klappt einwandfrei — sowohl mit WP 2.2-RC1 als auch mit WP 2.3-alpha (SVN Rev. 5451).
Übrigens: Der Umzug ist abgeschlossen, ich bin wieder mit voller Kraft da.
Alex Günsche · 21. April 2007
Nein, nicht die Seite, sondern ich ziehe um. Ab dem ersten Mai habe ich dann eine schöne neue Wohnung und ein großes Büro/Arbeitszimmer. Aus diesem Grund kann es sein, dass ich die nächsten Tage und Wochen schwer zu erreichen bin; vor allem per Internet, da ich auch gleichzeitig den Provider wechsele. Aber meine Freundin wird mir und meinem Laptop für die Zeit ohne eigenes Netz Unterschlupf gewähren, so dass ich weiter an den momentan betreuten Kundenprojekten arbeiten kann. Allerdings ist mit Support für die freien Projekte eher nicht zu rechnen.
Alex Günsche · 6. April 2007
Es gibt eine neue Version des InstantUpgrade-Plugins. Eigentlich hatte ich großes vor und wollte für die neue Version ein paar neue Funktionen einbauen. Aber es gibt einige Problemchen, die zwischendurch behoben werden wollen.
Die neue Version ist wie immer auf des Plugins Seite zu haben.
Alex Günsche · 22. März 2007
Dieser Beitrag ist leider nur auf Englisch verfügbar. (Er darf aber gerne auf Deutsch kommentiert werden.)
The InstantUpgrade plugin has received quite some attention during the last two weeks since its initial release. At the moment, the plugin package has been downloaded about 1100 times. But it has also raised a couple of questions which were asked here at zirona.com or discussed in other places. I want to say a few words and try to summarize the feedback a bit.
In general, the plugin received very positive feedback. Many people wrote me that they were astonished how quick and easy the upgrade was indeed. I have to admit that I myself am surprized how good it seems to work for the vaste majority of users. However, some people did encounter problems, in fact due to certain safe mode configurations. (This is why the plugin’s next version won’t work in safe mode at all.) However, as far as I know, everybody was able to restore his/her WordPress installation, so there was no grave damage so far. (phew…)
We all know that making files writable by the webserver is potentially dangerous. For InstantUpgrade, you must make very many files writable. There is no way around that, because FTP user (you) and Webserver are different system users on the server in most cases. But that’s ok in this case, because with the first run, all those files will be owned by the webserver and have proper permissions again.
However, the WordPress base folder will remain world writable. This might allow the webserver or other users to create files there — if they come to access this area at all. If you want to avoid this very unlikely possibility under any circumstances, you must not use the InstantUpgrade plugin. However, if you have your .htaccess or your theme/plugin files world writable, or you use plugins that execute inline PHP, don’t you come to me whining about security.
Apart from this, there is — in my opinion — no reason to consider this plugin insecure. But if you believe to have identified another issue, please let me know.
Another thing I’ve read a couple of times are statements like “If it’s so good, why isn’t it in the WordPress core?” or “I hope they will soon integrate this with the WP core.” Although I feel honoured when hearing thes proposals, I’m afraid, they’re a bit unrealistic. The installation of the plugin requires some steps that (a) might ask too much from novice WP users, and (b) can turn out to be impossible on some hosts.
I would however appreciate, if — with time — there could be a better cooperation with the WordPress developers. The InstantUpgrade plugin must be as future proof as possible, and I am afraid that most people won’t upgrade the plugin itself too often. So if there’s a change in WordPress for which the plugin is not laid out, there might be errors during upgrade. Of course I monitor the development of WordPress, so I pretty much get the idea what expects us with new releases, and you can be sure that I will bring out a new version of InstandUpgrade soon enough before the WordPress upgrade.
I have also received some ideas for upcoming versions. Some are things I had considered myself, and had rejected for various reasons. Others are good inspirations for improvements. So if you have an idea what could be a feature of an auto-upgrade plugin, please let me know.
Alex Günsche · 16. März 2007
Die Jungs von Automattic haben die Website wp-plugins.org (endlich!) zu einer standardisierten Plattform für WordPress-Plugins ausgebaut. Das wird die Verwaltung von Plugins für Anwender und Entwicker hoffentlich um einiges einfacher machen.
Übrigens: Matt sagt: “[…] having all these plugins isn’t that useful if you’ve got no place to find them”, was natürlich nicht ganz stimmig ist, denn wp-plugins.net hat zumindest mir bislang immer gute Dienste geleistet.
Alex Günsche · 11. März 2007
InstantUpgrade ist ein WordPress-Plugin, das auf Knopfdruck WordPress-Installationen aktualisiert. Man kann auf die neueste WordPress-Version oder auf jede andere aktualisieren. Das Plugin lädt die gewünschte WordPress-Version runter, entpackt sie, löscht die alten WP-Dateien und installiert die neuen. Anschließend wird das Upgrade-Script ausgeführt. Für all das werden keine besonderen PHP-Erweiterungen etc. benötigt, sondern InstantUpgrade bringt alle nötigen Werkzeuge selbst mit.
Besonders interessant ist das Plugin, wenn man WordPress für einen Kunden oder Bekannten installiert hat, der keine Ahnung von FTP, PHP und MySQL hat. Aber auch alle anderen werden einfache und direkte Upgrades sicher zu schützen wissen.
Dokumentation und Downloads gibt es auf der InstantUpgrade-Seite (leider nur auf englisch). Viel Spaß beim Ausprobieren! Feedback ist ausdrücklich erwünscht.
Alex Günsche · 8. März 2007
Auf vielfachen Wunsch hat das AdvancedSearch-Plugin hat ein kleines Brüderchen namens “AdvancedSearch Lite” bekommen. Diese Version ist für die Leute gedacht, die gerne die Volltextsuche mit den Boolschen Operatoren nutzen wollten, aber lieber kein oder nur ein kleines Suchformular dafür einbinden wollten.
“AdvancedSearch Lite” erfüllt diese Ansprüche: Man muss es nur hochladen und aktivieren, und schon hat die WordPress-Suche einen neuen Motor. Wenn man dann noch das herkömmliche Suchfeld in der Seitenleiste duch ein etwas funktionelleres ersetzen möchte, kann man auch das mit minimalem Aufwand realisieren. Natürlich bietet auch diese Version mehrfarbige Suchwort-Hervorhebung.
Auch “AdvancedSearch Lite” hat eine eigene Seite mit Downloadmöglichkeit und ausführlicher Dokumentation. Wie immer wünschen wir viel Spaß damit! Wir würden uns auch über Übersetzungen sowie Fehlerberichte und Verbesserungsvorschläge freuen.
Alex Günsche · 5. März 2007
BILDblog.de veröffentlichte vor wenigen Tagen einen Artikel über das von Bild.T-Online betriebene Forum www.meinung-live.de, wo Links und andere Referenzen zu BILDblog.de systematisch zensiert werden.
Ich habe das zum Anlass genommen, mich mal auf diesem Portal umzuschauen. Die Hass- und Lügenmaschine “BILD” kann ich sowieso nicht leiden, und wenn dann noch systematische Zensur geübt wird, dann möchte man doch mal sehen, mit wem man es zu tun hat.
Nun bin ich weder ein pöser Pube, noch würde ich mich als Sicherheitspezialisten bezeichnen — aber mir sind doch schon nach kurzem Umsehen einige grobe Sicherheitslücken ins Auge gefallen, die für Benutzer und Betreiber des Portals fatal werden könnten. Das Forensystem nennt sich Forum 101 und ist von der norddeutschen Internetklitsche worldweb für schlappe 2800 Euro zu erwerben. Dieses Forensystem ist anfällig für mehrere Sicherheitslücken, vorwiegend Cross-Site-Scripting (XSS) in Hülle und Fülle sowie SQL-Injektion.
Für die nicht Fachkundigen: Clientseitiges Cross-Site-Scripting ist eine Angriffstechnik, bei der ein Bösewicht präparierte URLs mit JavaScript (eine vom Browser ausgeführten Programmiersprache) spickt, das dann auf dem Rechner des Opfers ausgeführt wird. Auf diese Weise kann man beispielsweise den Benutzerzugang des Opfers übernehmen. Das System Forum101 lässt XSS-Attacken in vielen Eingabefeldern und den dazugehörigen URL-Parametern zu, d.h. so ziemlich jede Seite des Forums ist für XSS-Attacken anfällig.
Doch damit nicht genug: Das Forensystem ist anfällig für SQL-Injektion. SQL-Injektion wird durch schlampige Programmierung möglich, wenn Benutzereingaben ohne Überprüfung als Parameter für einen Datenbankzugriff verwendet. Dadurch kann man unter Umständen in die Datenbank des Forensystems einbrechen und beliebige Daten lesen/ändern/löschen — beispielsweise Benutzernamen und -passwörter. (Kleiner Tipp an die Forum101-Entwickler: Man sollte LIMIT-Deklarationen nicht ungeprüft aus der URL entnehmen.)
Im Übrigen werden Angriffe gegen Benutzer noch dadurch vereinfacht, dass das Passwort anscheinend im Klartext in der Datenbank liegt, statt es mit einem Hash zu schützen. (Zu sehen ist das daran, dass man das ursprüngliche Passwort bei der “Passwort-Vergessen”-Funktion bekommt, und nicht ein neues.) Somit muss ein Angreifer die Passwörter für die Anmeldung mit einem fremden Zugang noch nicht mal ändern, d.h. ein Zugriff bliebe sogar weitestgehend unbemerkt.
Mit solchen gravierenden Schwachstellen wird das System Forum101 schnell zum “Room 101″ für alle Beteiligten. Um es nochmal zu verdeutlichen: Diese Erkenntnisse sind das Ergebnis einer müßigen Kaffeepause. Nicht auszudenken, was man bei genauerer Untersuchung dieses Gefrickels im Wert einer kompletten Büroausstattung noch so alles finden würde. Bleibt die Frage, warum sich Bild.T-Online für dieses Paket entschieden hat — wo es doch eine ältere Version von phpBB auch getan hätte. Vermutlich ist das hervorstechende Merkmal (oder “Unique Selling Point”, wie der PRler sagt) die ausgeklügelte Zensurfunktion.
Hinweis: Das unbefugte Ausspähen und Manipulieren von EDV-Daten ist — wie wir alle wissen — in Deutschland strafbar. Bei der oben dargestellten Recherche sind keine Daten unbefugt ausgespäht oder manipuliert worden. Dieser Artikel ist nicht als Aufruf zu Straftaten zu verstehen, sondern stellt einzig und allein eine kritische Betrachtung des Forensystems “Forum101″ dar.
