Updates, Änderungen und Sicherheitshinweise
In diesem Artikel informieren wir von Zeit zu Zeit über die neuesten Updates, Änderungen und Sicherheitshinweise. Besonders im Fokus stehen dabei die eingesetzten Technologien, wie WordPress sowie die verwendeten Plugins für die Mitgliederverwaltung, benutzerdefinierte Felder und Formulare. Der Schwerpunkt liegt auf Neuerungen, wie diese die Benutzererfahrung verbessern und welche sicherheitsrelevanten Aspekte beachtet werden sollten, um Datenkonsistenz und Funktionalität einer Website mit Mitgliederbereich zu gewährleisten.
WordPress
Mit der Version 6.7 kommt es auf manchen Sites zur Fehlermeldung Function load textdomain just in time was called incorrectly. Translation loading for the (…) was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later (…). Die liegt an einer Änderung des Ladeverhaltens von Übersetzungsdateien innerhalb von WordPress. Es sollte daher sichergestellt werden, dass das Laden der Übersetzungen erst nach dem Init-Hook (oder später) erfolgt. Die meisten Programmierer von Plugins haben mittlerweile entsprechende Updates herausgegeben.
Wer wie ich gerne und oft mit Bildergalerien arbeitet, wird sich über ein verschwommenes Erscheinungsbild am unteren Rand der Bilder gewundert haben. Dies liegt an der im Core untergejubelten Auszeichnung wp-block-image:has(figcaption):before, die man mit Anpassung der Unschärfe blur(0px) und height 0% wieder los wird. Des Weiteren werden Lightboxen wie Photoswipe in der Regel mit einem Link zur Mediendatei verbunden. War dies bisher in der rechten Seitenleiste möglich, so ist diese Einstellung nun in den Haupteditor umgezogen.
Passwörter in WordPress
Mit der Einführung von WordPress 6.8 wird die Passwortsicherheit auf ein neues Level gehoben. Der bisher verwendete Algorithmus phpass wird durch bcrypt ersetzt, was den Aufwand zum Entschlüsseln von Passwörtern erheblich erhöht und somit die Sicherheit deutlich steigert. 1
Sicherheitsupdate
Für Seitenbetreiber und Benutzer bringt dieses Update keine direkten Änderungen mit sich. Es sind zunächst keine Maßnahmen erforderlich, da bestehende Passwörter und Sicherheitsschlüssel weiterhin funktionieren. Erst wenn ein Benutzer sich nach dem Update das nächste Mal einloggt oder sein Passwort ändert, wird dieses automatisch mit bcrypt neu gehasht.
Die Änderungen betreffen aber auch Entwickler, die ihre Codes an die neuen Algorithmen und Präfixe anpassen müssen. WordPress führt nämlich auch neue Funktionen zur Passwortverwaltung und schnellen Mechanismen ein, die eine noch flexiblere Nutzung ermöglichen.
Insgesamt verbessert WordPress damit die Sicherheit, ohne dass Benutzer aktiv eingreifen müssen. Entwickler sollten jedoch sicherstellen, dass ihre Systeme und Plugins (beispielsweise zur Mitgliederverwaltung) mit den neuen Verschlüsselungsmethoden kompatibel sind.
Mitgliederverwaltung
In WordPress 6.7 werden Änderungen in der Tabellenansicht der Registerkarte Felder im Backend nicht gespeichert (im Gegensatz zur Einzelansicht der Felder). Das Klicken auf die Schaltfläche Übernehmen zum Speichern der Änderungen bleibt ohne Wirkung. Die Problematik konnte auf eine spezifische Änderung in der Klasse des Listentabellenobjekts zurückverfolgt werden. Der Hersteller arbeitet an einer dauerhaften Lösung für dieses Problem, die dann in das Plugin integriert wird. Bis diese verfügbar ist, kann ein Patch 2 anwendet werden.
Details zum Patch
Das Plugin nutzt (wie viele andere) Listentabellenobjektklassen zur Darstellung von Tabellen, etwa auf der Registerkarte Felder. Eine Änderung in der neusten Version von WordPress betrifft inzwischen die Schaltfläche Übernehmen für Massenaktionen, die im Objekt fest codiert ist und nicht gefiltert werden kann. Zudem wurde eine Änderung vorgenommen, die verhindert, dass die Schaltfläche betätigt werden kann, bevor ein Element ausgewählt wurde.
Für das Plugin liegt das Problem jetzt darin, dass es nicht das Kontrollkästchen (die unbeschriftete Spalte mit Kontrollkästchen in der ersten linken Spalte) verwendet, um die zu speichernden Zeilen zu identifizieren. Dieses Kontrollkästchen wird lediglich zum Löschen verwendet. WordPress hat diese Änderung eingeführt, um zu verhindern, dass die Schaltfläche im Bildschirm Beiträge (dort: alle Beiträge) betätigt werden kann, wenn keine Zeilen ausgewählt sind. Diese Änderung führt letztendlich zur oben beschriebenen Problematik.
Bis zum nächsten Release wird empfohlen den Patch auf die aktuelle Version (3.4.9.x) anzuwenden, der dann in die nächste Produktionsversion (derzeit für Ende Januar bzw. Anfang Februar 2025 geplant) voll integriert wird. Mehr Informationen zum zwischenzeitlich veröffentlichten Update hier.
1 Darüber hinaus werden Anwendungskennwörter und Sicherheitsschlüssel nun mit dem schnellen BLAKE2b-Algorithmus über Sodium gehasht. Anders als bei einer Verschlüsselung ist die Umwandlung nicht dafür vorgesehen, wieder umgekehrt zu werden.
Vgl. make.wordpress.org/core/2025/02/17/.
2 Quelle: rocketgeek.com/release-announcements/fields-tab-in-the-admin-does-not-save-in-wp-6-7/. Ersetzen Sie dazu die Datei wp-members/includes/admin/tabs/class-wp-members-admin-tab-fields.php durch die Version im folgenden Gist: gist.github.com/rocketgeek/2bb08a8649cf1f273c6354b12ed93e1a.