Im Verlauf vergangener Woche wurde ein Sicherheit- und Wartungsrelease für WordPress veröffentlicht. Die Sicherheitsprobleme sind ab WordPress 3.9 behoben worden. Das Wartungsrelease wurde nur für 5.1 veröffentlicht.
Die Sicherheitslücke hat mit Cross-Site-Scripting (XSS) zu tun und konnte über die Kommentarfunktion ausgenutzt werden. Die Art und Weise wie Kommenare gefiltert und in der Datenbank gespeichert werden wurde hierbei überarbeitet. Wie immer gilt, man sollte schnellstmöglich das passende Sicherheitsupdate einspielen.
In den meisten Fällen wird dies bereits automatisch passiert sein. Eine manuelle Kontrolle ist trotzdem empfehlenswert. Alle vorgenommenen Änderungen sind im Codex (Release-Notes) zu finden. Ansonsten abschließend die offiziellen Meldungen:
Ich weiß, zum großen Release von WordPress 5.0 bzw. mittlerweile sogar schon zu WordPress 5.1 (wo sich nicht so viel neues ergeben hat) habe ich bislang noch keine Meldung geschrieben. Ich habe weiterhin zur großen Neuerung – dem neuen Editor Gutenberg – noch keine eigene (abschließende) Meinung. Sehe weiterhin Nachteile, die man zugleich mit dem Hinweis auf ein zusätzliches Plugin – Classic Editor – wieder umgeht. Der neue Editor ist dann inaktiv und das widerspricht sich für mich etwas. Die Anzahl der Plugins mit Problemen aufgrund von Gutenberg ist mittlerweile geringer geworden, jedoch weiterhin vorhanden. Gravierender ist für mich die Art und Weise wie Gutenberg arbeitet. Weiterhin empfehle ich bei WordPress 4.9.x zu bleiben.
