Eigennütziger WordPress-Support

Ich liebe die WordPress Community. Ich habe dort viele wunderbare Menschen kennengelernt und genieße es, so viele WordCamps wie möglich in neuen Städten/Ländern zu besuchen um noch mehr tolle Mitglieder der weltweiten Community kennenzulernen.

Das ist auch einer der Gründe, weshalb ich sehr gerne Hilfe auf verschiedene Arten gebe. Ich organisiere WordCamps und Meetups, wirke in mehreren Meta-Teams mit und beantworte Fragen in einigen Facebook-Gruppen.

Anderen helfen … oder eher dir selbst?

In der Weihnachtszeit bieten viele Unternehmen WordPress Produkte und Dienstleistungen zu vergünstigten Preisen an. Gerade heute gab es aber mal wieder einen negativen Fall in einer Facebook-Gruppe. Ein Mitglied hat einen Link zu einem Angebot für ein bekanntes Premium-Theme gepostet. Toll oder? Jeder erfährt von diesem Angebot und profitiert davon. Nicht wirklich. Die Person, die am meisten davon profitiert ist das Mitglied, das den Link gepostet hat. Denn wie sich herausstellte handelte es sich um einen Affiliate-Link.

Stoppt eigennützige Hilfe!

Vielleicht bin ich ja zu altruistisch eingestellt. Aber es ärgert mich wirklich maßlos, wenn jemand anderen "hilft", nur um von dieser Hilfe selbst einen Vorteil zu haben. Ich habe kein Problem damit, wenn Freelancer oder Agenturen individuelle Hilfe anbieten und dafür eine gerechte Bezahlung erwarten. Aber das Teilen von Affiliate-Links auf Facebook ist meiner Meinung nach nicht in ordnung.

Wie ist deine Meinung?

Was denkst du? Regt euch so eine Art von Hilfe auch auf? Oder meint ihr, dass ich bei diesem Thema überreagiere?

Gutenberg Test

Vorwort

Dieser Artikel ist auf der Fahrt zum WordCamp Cologne entstanden. Ich habe dabei zum ersten Mal Gutenberg getestet und da ich nicht einfach nur sinnlosen Text tippen wollte, habe ich mich entschieden, daraus eine Geschichte zu machen. Aber lest selbst …

Eine kleine WeihnachtsGutenberg-Geschichte

Das sieht ja schon mal sehr schick aus. Was kann man denn hier alles machen? Wie wäre es zum Beispiel mit fettem oder kursivem Text?

Oder mit einem Link auf meinen Blog? Geht das vielleicht auch noch immer mit STRG + V, wie ich es mal beschrieben hatte? Ja, das klappt noch, super!

Weiterlesen →

Shortcodes in Sidebar-Widgets einfügen

Shortcodes sind wirklich praktisch, wenn man dynamischen Content in statische Seiten und Beiträge einfügen will. WordPress bringt schon einige interne shortcodes mit, wie etwa den gallery shortcode (der normalerweise im Backend gerendert wird).Standardmäßig funktionieren diese Shortcodes nur im Inhalt von Seiten und Beiträgen

Einfügen von Shortcodes mit dem Text oder HTML Widget?

Nun könnte man annehmen, dass man einfach das Text oder HTML widget verwenden kann. Aber leider funktioniert diese Lösung nur für einige Shortcodes, bei anderen führt es dazu, dass der Shortcode gar nicht ausgewertet wird. The gallery Shortcode etwa wird bei beiden nicht angezeigt und das Syntax-Highlighting-Plugin, das ich einsetzte, spuckt entweder falschen Code aus oder es funktioniert gar nicht.

Das Shortcode Widget Plugin

Wie fast immer ist dieses Problem nicht neu ein jemand anderes hat schon eine Lösung hiefür gefunden. Das Plugin Shortcode Widget wurde genau für diese eine Aufgabe geschrieben. Sobald man es installiert und aktiviert hat, findet man ein neues Widget, das ein wenig wie das alte Text-Widget aussieht und nur einen Titel und eine Textbox hat. Hier hinein kann man nun einen beliebigen Shortcode einfügen und das Widget dann in einer beliebigen Widget-Area verwenden.

Der Umgang mit geschlossenen Plugins aus dem Plugin-Verzeichnis

Ich bin mir sicher, dass ihr alle Plugins aus dem offiziellen Plugin Directory verwendet. Alle diese Plugins werden bei der Einreichung geprüft, bevor sie online gehen. Sollten sie in den letzten zwei Jahren nicht aktualisiert worden sein, kann man sie über die Suche nicht mehr finden (man kann sie aber weiterhin downloaden, sofern man den Direktlink noch kennt). Aber habt ihr euch mal gefragt was passiert, wenn ein Plugin geschlossen und aus dem Plugin-Directory entfernt wurde, aus welchem Grund auch immer?

Ein potentielles Sicherheitsrisiko

Ein Plugin kann aus verschiedenen Gründen geschlossen und/oder entfernt werden. Aktuell sind folgende Gründe denkbar:

  • Security Issue
  • Author Request
  • Guideline Violation
  • Licensing/Trademark violations
  • Merged into Core

Zwei meiner eigenen Plugins werden wohl auch bald geschlossen werden, da ihre Funktionalität entweder bereits im Core gelandet ist oder dieses in naher Zukunft passieren wird. In diesen Fällen ist es also nicht unbedingt kritisch, wenn diese weiterhin installiert und aktiviert sind, sofern sie sich nicht mit den Core-Funktionen ins Gehege kommen. Aber was ist mit Plugins, die ein Sicherheitsrisiko darstellen können? Das ist ein echtes Problem.

Keine Benachrichtigung der Nutzer

Wenn ein Plugin geschlossen wird, werden die Nutzer, die es noch installiert (und vielleicht sogar aktiviert) haben darüber nicht informiert. Selbst wenn der Pluginautor also einen Weg gefunden hat, die Sicherheitslücke zu schließen, würde kein Nutzer davon profitieren, da der einzige Weg einer Aktualisierung, der über das Plugin-Directory, nicht mehr existiert. In der Zwischenzeit sind alle Websites mit der alten Version potentiell für Hacker angreifbar.

Ein Plugin als Rettung

Da dieses Problem schon eine ganz Weile besteht und das Plugin-Team bisher noch mit keiner schnellen Lösung dienen konnte, wurde das Plugin No Longer in Directory veröffentlicht. Wenn man es installiert und auf dessen Einstellungsseite geht, bekommt man eine Liste aller Plugins angezeigt, die seit mehr als zwei Jahren nicht mehr aktualisiert wurden sowie eine Liste aller Plugins, die nicht im Plugin-Directory gefunden werden konnten.

Diese zweite Liste würde aber auch Plugins auflisten, die niemals im Plugin-Directrory veröffentlicht waren. Das sind beispielsweise Premium-Plugin oder Plugins, die man speziell für ein Kundenprojekt entwickelt hat. Die Lösung ist also auch nicht optimal.

Ein neuer Weg geschlossene Plugins hervorzuheben

Über die “Ideas” Seite auf WordPress.org wurde daher eine ganze Weile zu diesem Thema diskutiert. Gestern hat das Meta/Plugin-Team auf dem Contributor Day des WordCamp US angekündigt, dass gerade hart an einer Lösung gearbeitet wird. Sie haben hierzu ein paar Mockups im entsprechenden Trac-Ticket veröffentlicht und auch ein erstes Beispiel für die Ansicht eines geschlossenen Plugins existiert bereits. Vorher wurde beim Aufruf eines geschlossenen Plugins eine 404 Fehlerseite angezeigt ohne einen Hinweis darauf, dass dieses Plugin mal existiert hat und warum es geschlossen/entfernt wurde.

Fazit

Der Umgang mit geschlossenen und entfernen Plugins ist sehr wichtig und sollte in einer transparenten Art und Weise passieren, damit die Nutzer dieses Plugins über mögliche Sicherheitsprobleme informiert sind, und das Plugin entfernen können, bevor ihre Website gehackt wird. Ich bin mir nicht sicher, ob es zusätzlich möglich sein sollte Plugins direkt zu löschen oder den Nutzern einen Hinweis im Dashboard anzuzeigen. Aber ich hoffe, dass dieses Thema nun etwas mehr Aufmerksamkeit bekommt.

Multisite-Administratoren die Option “Zusätzliches CSS” freischalten

Dieser Blog läuft auf einer Multisite, damit ich meine Beiträge einfach mit MultilingualPress übersetzen kann. Eine weitere Seite auf dieser Multisite-Installation ist die Website des WP Meetup Berlin. Auf diese Seite gibt es weitere Nutzer mit der Adminstrator-Rolle. Mit dieser Rolle kann man die meisten Dinge tun, die man auch auf einer Singlesite tun kann. Mit einigen Ausnahmen:

  • Aktualisieren von Core, Plugins, Themes, etc.
  • Websites hinzufügen
  • Nutzer hinzufügen
  • Plugins installieren
  • Themes installieren
  • Den Editor für Plugins/Themes nuzten (was man ohnehin nie tun sollte)
  • Ungefiltertes HTML verwenden
  • Die Option “Zusätzliches CSS” im Customizer verwenden

Diese letzte Ausnahme hat mich wirklich überrascht. Ich hätte erwartet, dass dies die einzige Möglichkeit ist, mit der Adminsitratoren einer Website das Design der Seite anpassen können (da sie ja keine Themes oder Child-Theme hochladen oder deren Dateien verändern können). Aber nur Super-Administratoren können diese Option nutzen.

Die Option für Website-Administratoren freischalten

Glücklicherweise gibt es für diese Option die Berechtigung edit_css, die wir lediglich die diesen Admins zuweisen müssen. Die kann man entweder mit einem Role-Management-Plugin wie Members tun, oder aber mit dem Plugin Multisite Custom CSS, das genau diese eine Aufgabe erfüllt.

Fazit

Aus Sicherheitsgründen macht es absolut Sinn, dass Admins einer einzelnen Website einer Multisite die Dateien eines Themes nicht verändern dürfen. Ihnen aber auch die Möglichkeit zu nehmen, die Option “Zusätzliches CSS” im Customizer zu verwenden, macht für mich keinen Sinn. Zum Glück ist es mit einem der vorgestellten Plugins sehr einfach möglich, diese Option zu aktivieren.