WordPress 2.6, ohne XML-RPC & Atom

bueltge.de [by:ltge.de] wird von Frank Bültge geführt, administriert und gestaltet. Alle Inhalte sind persönlich von mir ausgewählt und erstellt, nach bestem Gewissen und Können, was die Möglichkeit von Fehlern nicht ausschließt.

Kommentare

  
  1. Benni sagt:

    Hm. Ob das so schlau ist zwei so wichtige Sachen zu deaktivieren?

    Klar, Sicherheit ist enorm wichtig, aber ich wette, dass es nach der Veröffentlichung von WordPress 2.6 hunderte, wenn nicht tausende, Jammermäuler gibt, die von dieser Änderung nichts wissen.

  2. Patrick sagt:

    Das ist eigentlich gar nicht so schlecht, die meisten werden wahrscheinlich sowieso die Web-Oberflaeche von WordPress nutzen und diejenigen, die 'nen Client benutzen wollen, kennen sich dann wahrscheinlich gut genug aus um die Option dann auch zu finden… 😉

    Sind aber gleich mal 2 Sicherheitsluecken weniger. Sehr loeblich von den Jungs.

  3. Mathias sagt:

    Ich habe heute auch schon an der Übersetzung geknobelt. Ich überlege, ob ich für "Remote Publishing" den Begriff "Fernschreiber" nehmen soll. Wäre ein schönes Wortspiel. 😉

  4. Robert sagt:

    Eine Bankrott-Erklärung, meiner Meinung nach.

  5. Jan sagt:

    Also ich find es auch ganz gut, ich nutze zwar selbst die RPC Schnittstelle, aber grundsätzlich erstmal alles sicher machen ist gut.

  6. Lazy sagt:

    Guten Morgen,

    habs gestern Abend auch noch halbwegs mitbekommen.. auch eingespielt, aber überzeugen kann mit dieser "Lösungsansatz" nicht ganz; es ist aber sicherlich "sicherer" im Moment mit/bei diesen Schnittstellen in WordPress.

    Wünsche ein schönes Wochenende. 😉

    Chris

  7. Ich sehe es definitiv als Notbremse, ganz klar. Man bekommt die Schnittstelle nicht sicher, was ich für meinen Teil auch nie erwate, dafür sind die Spamer einfach zu schnell und gut bezahlt. Sicher ist das nicht die beste Lösung, aber es ist erst mal eine und eine ganze Reihe von Anwendungen mit WP benötigen diese Schnittstelle nicht, denke da nur an die vielen CMS-Anwendungen im Businessumfeld. Alle anderen können die Schnittstellen wieder aktiv setzen, so krass wir Robert würde ich es nicht sehen, auch wenn seine Ideen/Darstellungen sicher nicht aus der Luft gegriffen sind. Allerdingg kenne ich auch kein System, was dieses Problem der XMLRPC sauber gelöst hat und nur annähernd die gleiche Popularität wie WP und Open Source ist. Klar ist es leicht zu kritisieren, aber im Vorfeld haben viele Leute gemeckert, dass immer alles aktiv ist und man keine Funktionen deaktivieren kann; auch im Umfeld XMLRPC kursieren genügend Tutorials im Netz, wie man diese Schnittstelle aushebelt. Scheinbar gibt es also bedarf. Und wer per Desktop-Client kommt, der schaltet es eben aktiv. Beim Einbauen von Plugins sind die Nutzer auch nie zimperlich, da nimmt man fast alles in kauf, bis hin zu Lücken per CSS und SQL-Injektion.

  8. Ich verstehe ehrlich gesagt nicht den ganzen Tummult un die Aufregung zu diesen kleinen Schritt.

    Es ist doch eigentlich ne ganz einfache Kiste...

    Die Entwickler können die Sicherheits Probleme derzeit nicht in den Griff bekommen, was bei dem wachsenen Spam Aufkommen etc. sicherlich verständlich ist, und bietet daher eine Option für alle Nutzer, es für sich SELBST zu endscheiden ob man diese Funktion nutzen möchte oder ob man sie nicht braucht.

    Ich für meine Verhältnisse nutze werder FlickR noch ein Desktop-Blog-Clienten. Für mich als WordPress nutzer macht es also eigentlich nur einen Sinnvollen Eindruck, dieses Sicherheits risiko abzuwenden, da ich diese Funktion deaktiveren kann.

    Änhlich wünschte ich es mir mit anderen Funktionen.

    Und diese Ausreden, von wegen man schiebt die Verantwortung auf die Unwissenden User ab, halt ich ein wenig für zu hoch gegriffen. Gerade die WordPress-Gemeinschaft ist doch eine sehr eng vernknüpfte Community und Tausende von WordPress nutzern Schreiben über neue Versionen, Funktionen und sonstige News betreffend dieser Software.
    Aber andersrum... Meckern ist immer Leichter, als selbst was zu ändern, nicht wahr?

  9. Torsten sagt:

    Meiner Meinung nach ist das die einzig richtige Entscheidung. Die Gefahr wird durch die Möglichkeit der Deaktivierung deutlich minimiert. Da ein Großteil der Nutzer die Schnittstelle eh nicht nutzt, kann man das nur als konsequent bezeichnen.

  10. Ryo sagt:

    Ich finde XMLRPC ist die wichtigste Funktion überhaupt.
    Schließlich wird diese Funktion nicht nur von Blogging-Clients genutzt, sondern auch von anderen Diensten, die ziemlich verbreitet sind. Flickr, Digg etc.

    Da werden viele Nutzer probleme haben.
    Kann ich nicht nachvollziehen, das man eine der wichtigsten Schnittstellen standardmäßig deaktiviert, zumal es auch suggeriert, das es ein sicherheitsproblem ist, diese zu aktivieren.
    Dann sollte lieber die Funktion überarbeitet weren, falls es ein Problem gibt.

    Das kommt mir vor wie die Geschwindigkeitsbgrenzungen mit dem Vermerk "Straßenschäden". Statt die Straße zu reparieren wird einfach die Geschwindigkeit gesenkt...Toll.

  11. Lazy sagt:

    Wie ich heute gelesen habe, wurden die Schnittstellen von (nur) ca. 5% aller WordPress User mit WordPress Stats genutzt.. also viel weniger als ich vermutet hätte, wobei sich hier die Frage stellt, wieviele wordpress stats nutzen.

  12. Ich kann icht beurteilen, was gut, was schlecht, was notwendig, was überflüssig, was böse, was nett ist.

    Aber vorteilhaft daran finde ich, dass es in der neuen Version die Möglichkeit gibt, Funktionen ein- oder auszuschalten; was bislang nicht ging und von daher ist es eine Bereicherung. Und es ist demnach auch nur konsequent - beinahe logisch - dass der Auslieferungszustand die Deaktivierung enthält; anders herum macht es ja gar keinen Sinn.
    Hersteller von Plugins oder Applikationen werden Wege finden, die Nutzer darauf hinzuweisen, was sie wo in WordPress aktivieren müssen oder auch einen Hinweis geben, wenn die Schnittstelle nicht erreichbar ist.

  13. Tanisha sagt:

    Ein bischen komisch finde ich es auch, dass die das aus Sicherheitsgründen abstellen. Und wenn man es aktiviert ist man dem Sicherheitsrisiko wieder ausgesetzt?
    Da aber die wenigsten es nutzten, finde ich es nicht verkehrt, so eine Funktion abzustellen.

  14. Alex sagt:

    Also ich hab nur durch diesen Beitrag bemerkt, dass WordPress diese Schnittstelle by default deaktiviert hat. Sinnvoll finde ich es allemal, denn, die die es nutzen, können es wieder einschalten. Ich bin nur drauf gestoßen, weil ich demnächst diese Schnittstelle selber nutzen will. Und bei dem Sprung von WP 2.6 auf WP 2.8.2 mittels Auto-Upgrade hab ich die Deaktivierung gar nicht bemerkt, da da nicht nochmal nachgefragt wird.

  15. Birgit sagt:

    Da es viele User gibt, die diese ST nicht nuten finde ich es gut, das sie dann auch standardmäßig abgeschaltet ist...

Trackbacks

  1. [...] nicht so gehackt kriegen, dass sie kein Sicherheitsproblem aufwirft? Na, ist doch ganz klar. Einfach diese Funktionalität aus der Software rausnehmen. Das ist mal wieder WordPress vom feinsten, so, wie ich es in den letzten Monaten hassen gelernt [...]

  2. [...] via Frank Bültge Category: About this Blog | Trackback | Kommentar RSS [...]

  3. [...] entscheiden, ob sein Blog einem grossen oder kleinen Sicherheitsrisiko ausgesetzt werden soll.Beitrag von bueltge.de Beitrag von [...]

  4. [...] Verbesserungen wie das Auslagern von wp-content/wp-config oder die deaktivierte XML-RPC Schnittstelle nicht mein Blogger-Herz. Aber vielleicht schafft es ja die Unterstützung der Browser Extension [...]

  5. [...] der XML-RPC-Schnittstelle im Standard … mehr und eine kritische [...]

© 2016, since 2005 bueltge.de [by:ltge.de] · Theme is built by ThemeShift