Sicherheitslücke bei Serendipity Plugin Freetag

Das Plugin „Freie Artikel-Tags – Freetag“ weist eine Sicherheitslücke auf, durch die Dritte Euren Besuchern Schadcode unterschieben können, Euch selbst passiert gar nichts. So erklärt es unser Softwareentwickler.

Macht bitte folgendes:
Verwaltungsoberfläche ->
Plugins verwalten ->
Hier klicken, um Ereignis-Plugin zu installieren ->
Spartacus anwerfen ( Spartacus [S]erendipity [P]lugin [A]ccess [R]epository [T]ool [A]nd [C]ustomization/[U]nification [S]ystem – Installiert Plugins direkt aus dem Netz.) -> Freetag Plugin suchen und installieren… fertig.

Wer Spartacus noch nicht installiert hat, kann es jetzt nachholen, lohnt sich, vereinfacht Serendipity Pluginauswahl und Installation richtig.

Das Plugin braucht nicht deinstalliert werden, einfach die neue Version drüberbügeln, die sollte dann Version: 2.96 sein.

Ich hab ja erst gezögert, ob’s denn deinstalliert werden müßte, ob die Tags dann noch da sind oder nicht und hab es im Testblog einfach mal probiert. Yep, Funktioniert alles weiter.

Dieser klitzkleine Hinweis „braucht nicht deinstalliert werden, einfach drüber installieren“ wäre sehr hilfreich gewesen und hätte mir mind. 5 Minuten grübeln erspart. Nicht jeder hat ein zusätzliches Testblog. Aber so sind halt Softwareentwickler manchmal, ein bisschen eigen und vergessen, dass andere nicht an ihren grandiosen Gedankengängen so einfach teilhaben können … * *räusper* * mein Softwareentwickler hört grad weg 😉

Quellen: Robert Lendler und s9y

Garvin schreibt…

das wichtigste Buch zum Thema Serendipity Blogging im Frühjahr 2008! Im OpenSource-Press Verlag erscheint das Serendipity Buch von Garvin persönlich… na gut, ein paar User schreiben mit 😉 Wir werden es ganz sicher lesen und rezensieren.

Hier ist zu bestellen: Amazon und ca. ab Mai 2008 wird es ausgeliefert. Wir stehen auf der Liste.

Passwortschutz bei Serendipity Blogs

Um einen einzelnen Eintrag im Serendipity Blog zu schützen bitte folgende Schritte:

Schritt 1: Installiere das Ereignisplugin „Erweiterte Eigenschaften für Einträge“
Schritt 2: Konfiguration siehe Bild

Schritt 3: Schreibe einen Artikel. In das Feld „Eintrag“ kommt der Hinweis auf den Artikel und den Passwortschutz. In das Feld „Erweiterter Eintrag“ kommt der eigentliche Artikel, der per Passwort geschützt werden soll.

Im unteren Feld von „Artikel schreiben“ ist die Konfiguration des Artikels sichtbar, nimm folgende Einstellungen vor:

Schritt 4:

serendipity konfiguration passwortschutz
und ein Passwort vergeben.

Wem du das Passwort gegeben hast, der kann auf ..“Artikelname“ vollständig lesen klicken, bekommt das Passworteingabefeld, Passwort eingeben, lesen.

Leider sind die Kommentare zum geschützten Eintrag zu sehen, wenn Du das Plugin „Kommentare anzeigen“ in einer der Seitenleisten aktiviert hast. Ich habe im Forum nach Lösungen gefragt, mal sehen ob das geht. Ansonsten eben Kommentare in der Seitenleiste deaktivieren.

Wie es im Moment aussieht ist im Serendipity Testblog zu sehen.

Eine Nachfrage im Supportforum ergab, dass die Kommentare zu einem passwortgeschützten Bereich frei und ungeschützt lesbar sind, wenn man das Plugin „Kommentare in der Seitenleiste anzeigen“ aktiviert hat. Hmm, dann ist der Passwortschutz so nicht sehr sinnvoll, wenn die Kommentare dafür sichtbar sind. Einzige Möglichkeit, die Kommentare nicht in der Seitenleiste anzeigen lassen…. oder zu WordPress wechseln, da funktioniert das einwandfrei.

Über die Einstellung „Freie Felder“, die in diesem Plugin auch zu sehen sind, gibt es bei Bedarf mehr Infos, ist aber für Passwortschutz nicht relevant.

Viel Erfolg wünscht
silvia

Aktuelle Updates

Folgende Updates sollten in den Blogs durchgeführt werden:

Serendipity full release auf 1.2.1

WordPress 2.3.1 kleines Update

btw. Für WordPress gibt es ein kleines feines Plugin, um aus der Adminoberfläche heraus die Datenbank (das wichtige Herzstück) zu sichern. Hier gibt es das WP-phpMyAdmin Plugin

Wie immer, runterladen, entpacken, in den Plugin-Ordner per FTP, im Adminmenü aktivieren. Von da aus ist dann ein Direktzugriff auf die Datenbank möglich. Wir setzen es ein und empfehlen es sehr, es spart das separate aufrufen der Datenbank zum sichern.

Das Akismet Spamfresser Plugin gibt es ebenfalls in neuer Version und sollte upgedatet werden.

Serendipity Templates

Gestern schrieb ich noch, dass es keinen Template Wähler für Serendipity gibt? Doch, es gibt ihn, ich habe ihn gefunden!

Bei Dave findet ihr „Change Template“ und da kann man sich die Templates so ansehen, wie sie auf einem Blog wirken und direkt runterladen.

Installiert werden die Templates folgendermaßen:
runterladen, entpacken, per FTP ins Verzeichnis „templates“ kopieren.
In der Admin-Oberfläche über den Punkt „Styles verwalten“ auswählen.

Tipp: Wenn ihr mehrere Templates probeweise aktiviert habt, bleiben die Installationsreste im Ordner templates_c stehen. Dateien, die so aussehen:

XnameX^%%03^032^03207D91%%trackbacks.tpl.php

können dort gelöscht werden, macht die Reaktionszeit kürzer 😉

Noch ein paar Templates

Bei Kaushal Sheth, einem 24 jährigen Inder, habe ich wunderschöne Themes für WordPress gefunden. Das Hobbit Theme gefällt mir besonders gut. Ich würde meinen Blogs gerne täglich ein neues Kleidchen anziehen bei so velen Themes 😉

Unter dieser Adresse kann man sie alle ausprobieren. Einfach in der Drop Downliste auswählen.

Das vermisse ich bei den Templates für Serendipity, dass es kaum Auswahlseiten gibt, in denen man sich ein Template anschauen kann, wie es auf dem ganzen Blog wirkt.

Shared Blog

Falk hats versucht, mehrere Serendipity Blogs quer verteilt über einen Server zu einem blog zusammenzuschließen. Das hat den Vorteil, dass dann Einstellungen und updates zentral für mehrere Blogs vorgenommen werden können. Guter Ansatz und wir werden es in jedem Fall testen. In seinem Blog gibt es die Anleitung per pdf. Wer sonst noch Fragen hat, kann diese im serendipity Forum stellen.