Tag: Update

WordPress website storing Afbeelding van Mohamed Hassan via Pixabay

Update WordPress 6.2.1. breekt WordPress websites

De recente update voor WordPress, WordPress 6.2.1, kan er toe leiden dat websites niet goed meer werken. Maak voor u een update doet van de WordPress software altijd een backup!

WordPress website storing Afbeelding van Mohamed Hassan via Pixabay
Afbeelding: Mohamed Hassan via Pixabay

Update WordPress 6.2.2 uitgebracht

Afgelopen nacht is de update versie 6.2.2. uitgebracht die het probleem door WordPress 6.2.1 ontstaan oplost:

WordPress v621 Breaks the Shortcode Block in Templates

 

Kwetsbaarheden in WordPress

De nieuwe versie van WordPress was bedoeld om kwetsbaarheden in WordPress op te lossen. Het verwijderen van de functionaliteit in WordPress 6.2.1 heeft tot grote problemen geleid voor veel websites.

Het Core Team van WP had ondersteuning voor shortcodes in templates (thema’s of themes) verwijderd om een kwetsbaarheid in WordPress op te lossen. Veel plugins en websites zijn na updaten naar WordPress 6.2.1. gecorrumpeerd hierdoor. Voorbeeld van probleemmeldingen is dat een plugin als Smart Slider niet meer werkt. De fout is inmiddels al door verschillende gebruikers bevestigd.

Het probleem lijkt voornamelijk een issue te zijn voor gebruikers van de ‘block editor’:

“Ondersteuning voor shortcodes op bloksjablonen is verwijderd om een beveiligingsprobleem op te lossen en om te voorkomen dat er een zero-day-kwetsbaarheid op WordPress-websites ontstaat.” (audrasjb)

Er is voor het probleem een workaround, echter daarmee brengt u de potentiele kwetsbaarheid terug in de website. WordPress 6.2.2 lost het probleem definitief op.

Controleer uw website, als u shortcodes gebruikt, dus extra goed op de werking na een update naar WordPress 6.2.1 en, zoals altijd, maak vooraf een backup!

roundcube email bevestigen

RoundCube Email Update en verstoring Microsoft email

roundcube email bevestigenAfgelopen week is er een wijziging doorgevoerd in de RoundCube email op een aantal servers. De RoundCube email update heeft tot een vragen geleid van een aantal cliënten.

Daarnaast was er een probleem met email adressen gehost bij Microsoft waardoor de indruk ontstond, bij een klein aantal cliënten, dat dit aan elkaar gerelateerd was. Dit was niet het geval, zo blijkt.

RoundCube email update

De update van de webmail van RoundCube heeft er toe geleid dat een aantal (hele oude) “skins”, oftwel de layout van de webmail client, niet meer beschikbaar zijn. We zijn nog aan het onderzoeken of we deze weer beschikbaar kunnen stellen. RoundCube geeft hier geen standaard ondersteuning meer voor. De vraag is dus of wij dit nog wel moeten of willen doen.

Verstoring Microsoft email

Eén van onze servers leek sinds vrijdag te zijn geblokkeerd door Microsoft. Clienten die via de RoundCube webmail email verstuurden naar adressen van @live, @hotmail of @outlook.com kregen de emails per omgaande retour. Wij hebben direct een onderzoek gestart en contact gezocht met Microsoft hierover.

De betreffende webserver stond op geen énkele zwarte lijst als ‘spam-server’ en er werd bij Microsoft ook geen verkeer gelogd als zodanig. Afgelopen zaterdag kregen we van Microsoft de bevestiging dat de mail inderdaad geblokkeerd werd en zij een onderzoek zouden starten.

Vanochtend constateerden clienten dat het probleem “spontaan” was opgelost. Wij hebben nog geen afmelding ontvangen van het incident van Microsoft maar gaan er vanuit dat zij aktie hebben ondernomen.

 

wordpress gratis open source CMS

WordPress 6.0 nu beschikbaar

wordpress gratis open source CMSWordPress 6.0 is deze week uitgebracht en beschikbaar voor installatie. Een aantal belangrijke verbeteringen zijn doorgevoerd, erop gericht je ervaring met het maken van inhoud met behulp van Gutenberg, en het bouwen van sites in WordPress nog rijker aan functies en intuïtiever te maken.

In de WordPress 6.0 releaselog is meer informatie over de opgenomen verbeteringen alsmede opgeloste problemen, installatie informatie, ontwikkelaarsnotities en bronnen, bijdragers aan de release, en de lijst van bestandswijzigingen in deze release te vinden. Zie hiervoor https://wordpress.org/support/wordpress-version/version-6-0/

Performance WordPress 6.0

Het WordPress team laat weten “Deze release bevat verschillende updates gericht op het verbeteren van de prestaties van WordPress. Deze verbeteringen bestrijken een reeks prestatiegebieden, waaronder het verbeteren van de pagina- en post-load-snelheid, het verminderen van de uitvoeringstijd van verschillende querytypes, caching, navigatiemenu’s en nog veel meer.”

We hebben bij testen (vergelijking voor/na) met Google’s PageSpeed geen significante verbeteringen kunnen constateren met WordPress 6.0 maar ook geen verminderde performance.

Updaten naar WordPress 6.0

We hebben een aantal websites inmiddels van een update naar WordPress 6.0 voorzien. De gebruikservaring ermee is goed, tot nu toe hebben wij geen problemen geconstateerd met bestaande plugins. Dat is natuurlijk géén garantie (onzerzijds)! Zorg vóór u een update uitvoert áltijd voor een backup!

Thuiswerken, Laptop, Wordpress

Miljoenen WordPress websites kwetsbaar sinds 2021

Rudy Brinkman - Brinkman.IT
Rudy Brinkman – Brinkman.IT

Naar schatting tot wel 45 miljoen WordPress websites zijn potentieel kwetsbaar voor aanvallers doordat plugins niet meer bijgewerkt worden in WordPress. Eigenaren van websites zijn zich hier niet van bewust omdat ze geen melding meer krijgen dat de plugin een update nodig heeft.

Het probleem wordt veroorzaakt doordat het WordPress update mechanisme ‘by design’ zo ontworpen is dat updates niet standaard geport worden naar oudere versies (dat is ondoenlijk) en ontwikkelaars van plugins vaak alleen de nieuwste versie ondersteunen.

In dit artikel de oorzaak en de mogelijk ernstige gevolgen hiervan voor veel websites, wereldwijd, die WordPress en ClassicPress gebruiken. Mogelijk ook úw website!

Wat zijn WordPress plugins?

WordPress is een populair systeem voor het beheren van je website, een “content management” programma. Oorspronkelijk begonnen als “blog software” is WordPress uitgegroeid tot een programma uitermate geschikt als CMS voor websites.

wordpress gratis open source CMSBinnen WordPress bestaat de mogelijkheid functionaliteit aan het programma toe te voegen middels stukjes extra software, “plugins”. Plugins vormen sowieso al een beveiligingsrisico. De afgelopen jaren is dit meerdere malen gebleken. Ze worden bijvoorbeeld niet meer door ontwikkelaars onderhouden (“abandoned” plugins) of ze worden doorverkocht aan kwaadaardige ontwikkelaars die zo de websites waar deze plugins gebruikt worden kunnen infecteren zonder dat de eigenaren het door hebben.

Naar nu gebleken is, is er echter een nieuw en nog véél groter probleem met plugins. Dit wordt veroorzaakt door de overgang van WordPress versie 4.9 naar versie 5. WordPress versie 5 is voorzien van Gutenberg. Gutenberg is niet alleen een wijziging in de ‘editor’ (de tekstverwerker waarmee je berichten maakt voor je website) maar grijpt ook diep in op andere onderdelen van de software. Dit blijkt alleen al uit het feit dat de code van het pakket bijna verdubbeld is door de implementatie van Gutenberg.

Wat is het probleem met WordPress plugins?

Als beta-tester van ClassicPress, gebaseerd op de WordPress 4.9-branch, constateerde ik een “tekortkoming” bij het updaten van plugins. Namelijk: dat plugins niet tonen dat er een update is zodra de plugin is gestopt met ondersteuning voor de WordPress 4.9-branch.

Normaliter wordt er in het WordPress dashboard, waar je de website beheert, namelijk een melding gedaan dat er een update beschikbaar is voor een plugin en bij de plugin zelf zie je dat ook.

wordpress-udpates-plugins

(afb. meldingen update plugins in WordPress)

Veel mensen zijn hier laks in overigens. Maar in elk geval wordt je gewaarschuwd. Zodra echter ontwikkelaars van WordPress plugins overgaan naar het ondersteunen van alleen nog maar WordPress 5+ wordt er dus géén melding meer gedaan van updates. Immers: die zijn er ook niet (meer) voor de 4.9.x en oudere versies? Je hebt daardoor effectief een “abandoned” (een “verstoten” of “weeskind”) plugin in je WordPress website.

Een bekend voorbeeld hiervan is het ontzettend populaire ContactForm7, een plugin waarmee je contactformulieren op je website kunt toevoegen. Deze ondersteund alleen nog WordPress 5.x-versies.

Ik dacht in eerste instantie dat de constatering die ik deed bij het testen het een tekortkoming in ClassicPress was. Dit bleek niet het geval te zijn!

Voor de meeste ClassicPress-gebruikers is het niet zo’n probleem want ze gebruiken veelal alternatieve plugins of plugins speciaal voor ClassicPress. Maar voor gebruikers van verouderde WordPress installaties, en die zijn er heel veel, is het een enorm probleem zonder dat ze het weten en er wordt ook helemaal niets aan gedaan door de ontwikkelaars van de plugins en WordPress zelf.

Niljoenen kwetsbare WordPress websites

Op het forum van ClassicPress deed ik hier daarom een melding over, met als gevolg dat er een interessante discussie ontstond hierover want eerder was het ook gezien als potentieel probleem ‘voor de toekomst’ en nog niets aan gedaan. Eén van de deelnemers heeft het vervolgens ook gemeld op de WordPress Slack. De respons er op was nogal lauw.”I see no reason to backport it” geeft overduidelijk aan dat men het gevaar van dit probleem totaal niet ziet en ernstig onderschat.

wordpress security issue plugins

(afbeelding wp slack)

Binnen de ClassicPress community is het meteen opgepakt en is sinds ClassicPress versie 1.3 een plugin, gemaakt door een ClassicPress gebruiker, opgenomen in de core installatie. Deze plugin waarschuwt wanneer gebruik wordt gemaakt van verouderde, niet meer ondersteunde, plugins.

Oudere versies van WordPress worden nog steeds actief aangeboden (via WordPress) en WordPress wordt gebruikt op meer dan 42% van alle websites wereldwijd. In totaal, volgens Google, 455 miljoen websites gebruiken WordPress. Daarvan is meer dan 10% een versie <5.x (bron).

Dat betekent dat er zo’n 45 miljoen websites op oude, 4.x of nog oudere, versies van WordPress draaien. Deze websites ontvangen géén updates meer van plugins die zijn overgegaan naar WordPress 5.x en dit vormt daarmee een ernstig beveiligingsprobleem. Een probleem dat “by design” voorkomt in WordPress. Zoals één van de mensen op de WordPress slack zegt: “none of the current WordPress versions expect that, they only expect to recieve updates compatible with that particular WP version”.

Een oplossing zou kunnen zijn dat de WordPress ontwikkelaars een notificatie zouden geven als “deze plugin is verouderd en wordt niet meer bijgewerkt”. Maar helaas krijg je de handjes niet op elkaar voor zo’n kleine fix. Die echter wel héél belangrijk zou kunnen zijn.

Het is niet de vraag óf maar wannéér er een kwetsbaarheid wordt ontdekt in een dergelijke verouderde plugin en daar opeens (grootschalig) misbruik van gemaakt wordt. Zoals bijvoorbeeld de bekende kwetsbaarheden in ContactForm 7. De makers van ContactForm7 hebben direct een update gemaakt. Maar,.. níet voor de oudere versies die nog volop in omloop zijn. En dat is precies de kern van het probleem!

Hoe los je het probleem met WordPress op?

Uiteraard is het bekend dat je een website moet onderhouden en regelmatig van updates moet voorzien. En als je zelf geen tijd, kennis of kunde hiervan of -voor hebt dan kun je het uitbesteden natuurlijk. Maar anderzijds is er soms geen andere mogelijkheid dan oudere versies van WordPress te gebruiken wegens bijvoorbeeld maatwerk-oplossingen die nog niet beschikbaar zijn voor een nieuwe WordPress versie.

Daarnaast wordt er voor WordPress 4.8.x en 4.9.x nog steeds onderhoud gedaan door Automattic, de makers van WordPress, en updates en patches voor uitgebracht. Als een software product nog steeds ondersteund wordt is het, mijns inziens, dan ook van het grootste belang dat Automattic er voor zorgt dat de gebruikers geattendeerd worden op potentiële security problemen!

Vooralsnog ligt de bal bij u. Controleer regelmatig of u nog wel de laatste WordPress versie gebruikt, of de plugins up to date zijn (en vertrouw daarbij bij WordPress-versies kleiner dan versie 5 niet op de meldingen in het dashboard) en zorg dat ze bijgewerkt zijn en blijven.

Natuurlijk is de beste oplossing: zorg dat uw WordPress-versie up-to-date is en blijft.

wordpress gratis open source CMS

Onderhoudsupdate WordPress 5.6.1 uitgebracht

Er is een nieuwe versie van WordPress beschikbaar. WordPress 5.6.1 is een onderhoudsupdate en bevat naast 20 bugfixes ook 7 verbeteringen in de block-editor.

Highlights nieuwe versie WordPress

  • Wordpress CMS en BlogMeer flexibiliteit in de lay-out
    Breng je verhalen tot leven met meer gereedschappen waarmee je je lay-out met of zonder code kunt bewerken. Blokken met één kolom, ontwerpen met verschillende breedtes en kolommen, headers over de volledige breedte en video’s in je cover blok—breng met hetzelfde gemak kleine wijzigingen of grote uitspraken aan!
  • Meer blokpatronen
    In geselecteerde thema’s maken voor-geconfigureerde blokpatronen het opzetten van standaardpagina’s op je site een fluitje van een cent. Ontdek de kracht van patronen om je workflow te stroomlijnen, of deel een deel van die kracht met je klanten en bespaar jezelf een paar klikken.
  • Upload videobijschriften direct in de blokeditor
    Om je te helpen ondertiteling of bijschriften toe te voegen aan je video’s, kan je ze nu uploaden in je bericht of pagina. Dit maakt het makkelijker dan ooit om video’s toegankelijk te maken voor iedereen die ondertiteling nodig heeft of hiervoor de voorkeur voor heeft.

Nieuw thema Twenty Twenty-One

Twenty Twenty-One is een leeg canvas voor je ideeën en de blok-editor is het beste penseel. Het is gebouwd voor de blok-editor en zit boordevol gloednieuwe blokpatronen die je alleen in de standaardthema’s kunt krijgen. Probeer binnen enkele seconden verschillende lay-outs uit en laat het opvallende, maar tijdloze ontwerp van het thema je werk doen stralen.

Auto-updates uitgebreid

Jarenlang konden alleen ontwikkelaars WordPress automatisch updaten. Maar nu heb je die optie, rechtstreeks in je dashboard. Daarmee kun je WordPress automatisch laten updaten maar..!! Dit heeft wel risico’s! Als een installatie mislukt of er een bug in de code zit die uitgerold wordt (en dat is in het recente verleden wel eens gebeurd) kan de kans bestaan dat je website daarmee ‘down’ gaat. Wij raden aan daarom ofwel te zorgen voor een goede backupstrategie en bij voorkeur gebruik te maken van Installatron, zie deze link voor meer informatie hierover.

helpdesk en handleidingen callcenter headset Afbeelding van Clker-Free-Vector-Images via Pixabay

Backup en update een website met Installatron

helpdesk en handleidingen callcenter headset Afbeelding van Clker-Free-Vector-Images via PixabayInstallatron is een installatieprogramma voor onder andere Joomla, WordPress, Drupal en andere programma’s waar websites mee gemaakt en onderhouden kunnen worden. Met Installatron kunnen ook backups gemaakt worden van uw website en de software kun je er ook automatisch mee updaten.

Installatron vindt u in de DirectAdmin beheerschermen. In deze (nieuwe) handleiding wordt beschreven hoe u met Installatron een update uitvoert van uw website-software en hoe uiteraard, voordat de update wordt uitgevoerd, er een automatische backup gemaakt wordt. Zodat, ingeval er iets mis gaat, u altijd terug kunt naar de oude versie.

U vindt de handleiding hiervoor, net als veel andere handleidingen, op onze helpdesk-pagina onder ‘handleidingen’.

wordpress gratis open source CMS

Zeer dringende ‘noodupdate’ WordPress 5.5.2

wordpress logoHet team van WordPress heeft een dringende ‘emergency update’ (‘noodupdate’) uitgebracht voor WordPress versie 5.5.2. Het bijwerken van uw WordPress installatie, wanneer dit niet automatisch gedaan wordt, wordt dringend aanbevolen.

Het team van Wordfence laat weten dat WordPress met de (automatische) uitrol van WordPress versie 5.5.2. een fout heeft gemaakt.

Deze noodrelease is gedaan om een probleem op te lossen dat is geïntroduceerd in WordPress 5.5.2, waardoor het onmogelijk is om WordPress op een geheel nieuwe website te installeren zonder een geconfigureerde databaseverbinding. Bij de voorbereiding op deze noodrelease zorgde een tweede probleem ervoor dat een aantal sites ten onrechte werd bijgewerkt naar versie 5.5.3-alpha. Een alpha-versie is een ’testversie’ die niet publiek moet worden gebruikt.

Volgens de release-notes heeft het automatische updatesysteem van WordPress tussen ongeveer 15.30 en 16.00 uur UTC op 30 oktober sommige sites bijgewerkt van versie 5.5.2 naar 5.5.3-alpha. Meer informatie op de website van Wordfence.

Wat moet U doen?

Wanneer wij uw WordPress website beheren

Wij updaten ‘op afstand’ uw website regelmatig wanneer u gebruik maakt van het ‘managed wordpress‘ pakket. Alle websites onder ons beheer welke gebruik maakten van WordPress 5.5.2. zijn door ons gepatched.

Wanneer u zelf uw WordPress website beheert

Log in op uw WordPress dashboard en controleer welke versie u in gebruik hebt. Is het een versie kleiner dan 5.5.2. dan is er in dit opzicht geen probleem. U kunt uiteraard, wanneer gewenst, uw WordPress installatie bijwerken. Vergeet niet om éérst een backup te maken uiteraard. U kunt ook uw website toevoegen in het Installatron panel.

Wanneer u installatron gebruikt

Als u gebruik maakt van Installatron dan wordt uw website, mits u dit zo hebt ingesteld, automatisch bijgewerkt. Controleer eventueel uw instellingen via DirectAdmin / Installatron. Weet u niet zeker of dit het geval is en komt u er niet helemaal uit? Stuur dan even een ticket naar ons, klik hier om een supportverzoek aan te maken.

wordpress gratis open source CMS

Fout WooCommerce Admin (fix)

De WooCommerce Admin software bevat (kennelijk) op dit moment een fout waardoor na updates van de software de webshop niet meer werkt. Op het forum van WordPress zijn diverse gebruikers die klachten plaatsen en ook onder onze cliënten zijn er al die hierdoor hun webshop niet meer kunnen gebruiken.

Oplossing

We hebben de oplossing op het WordPress forum geplaatst. De oorzaak is oude WooCommerce software (kleiner dan versie 4.x). De plugin WooCommerce Admin kan daar niet mee overweg.

– deactivated WC Admin;
– updated WooCommerce (it was outdated);
– re-activated WC Admin.

Maak altijd een backup

We kunnen het niet vaak genoeg (blijven) herhalen, net als de makers van WordPress zelf: maak altijd vóór een update wordt gedaan van WordPress of andere plugins zoals WooCommerce een backup van uw site. Dit kan eenvoudig als u gebruik maakt van Installatron (in de DirectAdmin module) mits u daarmee uw WordPress website hebt geïnstalleerd en/of hebt geïmporteerd daarin.

Wij maken regelmatig backups van de data van websites, maar kunnen niet voorkomen dat in gevallen als deze er sprake is van dataverlies als u zelf uw website onderhoud.

onderhoud werkzaamheden serveronderhoud

Update PHP7 shared hosting en reseller platform uitgevoerd

PHP7Alle shared hosting en reseller hosting servers zijn de afgelopen dagen voorzien van de laatst beschikbare stable version van PHP7.4.x. Voor alle servers hebben wij een uitgebreide steekproef genomen of er problemen waren met websites.

In een klein aantal gevallen bleek dat een website niet geschikt waren voor PHP7.4.x en hebben wij deze ingesteld op PHP7.2.x. Wij raden u aan wanneer uw website niet geschikt is voor de laatste PHP-versie deze zo spoedig mogelijk aan te passen of te migreren naar een nieuwe(re) versie van de CMS-sotware welke u gebruikt.

In een aantal gevallen wordt er voor websites nog gebruik gemaakt van zogeheten ‘legacy code’, met andere woorden software of plugins die totaal verouderd zijn. Zoals eerder gemeld worden deze over enige tijd niet meer ondersteund. Wij verzoeken u zeer dringend er voor te zorgen dat uw website aangepast wordt hiervoor.

Instellen PHP-versie

Er is op dit moment de keuze uit drie PHP-versies. U kunt deze instellen via uw DirectAdmin panel. Ingeval u problemen ervaart met de nieuwste PHP kunt u deze dus zelf ‘downgraden’ naar een oudere versie. Hoe u dit kunt doen kunt u vinden in de handleiding op de helpdeskpagina.