WPSE 5

Av Thord Hedengren Nyhetsbrevet18 maj, 2017

Betaversionen av WordPress 4.8 är släppt

Betan av WordPress 4.8 må vara släppt men desto viktigare är säkerhetsuppdateringen till 4.7.5. Sex säkerhetshål täpps till samt tre mindre fixar så den här ska du installera omedelbart. Troligen har det skett automatiskt men logga in och dubbelkolla (och tryck på uppdatera-knappen om det behövs). Det här brevet går ingenstans.

Klar? Välkommen tillbaka!

WordPress, med tillhörande projekt som bbPress, WP-CLI med flera, finns nu på HackerOne. Det betyder att det är lättare att rapportera säkerhetshål samt få betalt för att fixa buggar framöver. Läs mer i bloggposten samt i veckans intervju med säkerhetsexperten Jonas Lejon.

Anpassa-läget kommer troligen få variabel bredd för vänsterkolumnen, där du gör dina ändringar, framöver. Ett feature-tillägg, vilket används för att testa funktionen innan den läggs in i WordPress-kärnan, har släppts. En post om saken finns förstås också, om du är intresserad av anledningen till förändringen.

Idag (torsdag den 18 maj) är det WooCommerce-meetup i Malmö. Vi har skrivit om den tidigare men det finns fortfarande en chans för dig som vill gå, 17:00 börjar det. Apropå WordPress-tillställningar så är schemat för Contributor Day på WordCamp Europe 2017 släppt. Glöm inte att anmäla dig om du ska dit, platserna är begränsade.

WPSE handlar främst om den egeninstallerade versionen av WordPress, men det kan vara intressant att ha ett öga på tjänsten wordpress.com ibland. Som nu, när de gör TV-reklam exempelvis, eller börjar tillåta egna tillägg i företagspaketet. Det senare kommer nog ställa till det en del eftersom en av de tydliga skillnaderna mellan egeninstallerade WordPress och wordpress.com är just att teman och tillägg inte kan installeras på tjänsten. Det är tydligen ett test än så länge men jämte TV-reklamen så blir det nog alltmer komplicerat för de av oss som jobbar med WordPress professionellt att förklara skillnaden på de två alternativen.

Vi ägnar för övrigt lite extra utrymme åt WordPress 4.8-betan, dels genom att gå igenom nyheterna och dels genom att visa hur du kan testa betan själv. Det betyder att det inte blir något tematips det här numret, 4.8-nyheterna får ta den platsen istället. Låt oss kasta oss på dem direkt!

Nyheterna i WordPress 4.8

WordPress 4.8 är en ny huvudversion av WordPress som är tänkt att släppas den 8 juni. Nyheterna är dock av det mindre slaget, men likväl trevliga eftersom det gör det lite lättare att göra vad du vill med din sajt.

Nya widgets tycker många är kul. En widget för att visa en bild har efterfrågats länge och nu finns en sådan, men den är tämligen begränsad eftersom den verkligen bara visar rubrik och bild. Du kan alltså inte länka bilden någonstans, ett konstigt val som tveklöst kommer lösas i tillägg framöver.

Det finns även widgets för att spela upp video samt ljud. Framför allt video-widgeten kommer uppskattas eftersom den gör det extra lätt att bädda in Youtube-filmer exempelvis, men den stödjer även filmklipp du laddat upp till ditt mediabibliotek.

Även textwidgeten har uppdaterats. Nu kan du välja mellan att skriva innehållet i råtext, som tidigare, eller i en nedbantad visuell textredigerare. Dessvärre stödjer den bara fet- och kursiv stil, punkt- samt nummerlistor, och länkar – ingen bildinfogning där således. Ytterligare en sak som tillägg säkerligen fixar framöver.

TinyMCE är namnet på den visuella redigeraren du använder när du skriver. I väntan på Gutenberg, som nämndes i förra numret, så kommer det troligen inte hända så hemskt mycket på redigerarfronten. Små förbättringar är dock att vänta, som den uppiffade hanteringen av länkar. Nu är det tydligare att – och hur! – du kan interagera med en länk du lagt in.

Slutligen så har panelen fått en uppdaterad nyhetswidget med tydligare länkar till lokala evenemang. Översättningen är inte klar där i skrivande stund så ha överseende med hur den ser ut, det är trots allt en beta.

Vill du hjälpa till att mosa 4.8-buggar? Här kan du läsa om bug scrubs inför Release Candidate 1.

Tillägg: WordPress Beta Tester

Så här i betatider känns det väl helt rätt att prata lite om tillägget WordPress Beta Tester? Det är nämligen inte svårare att hoppa på betatestandet än att installera det här tillägget, aktivera och börja betatesta. Gå till Verktyg > Beta Testing efter att du aktiverat tillägget så kan du köra igång.

Men stopp och belägg! Först och främst, kom ihåg att det här är mjukvara i beta. Det betyder att den inte är färdig, det kommer finnas buggar och saker kan gå åt pipan. Betatesta inte på livesajter, gör det lokalt eller på testinstallationer. Det är inte bara att stänga av tillägget och kliva ur betatesten, vilket annars kanske hade varit lätt att tro. Nej, då måste du installera den senaste stabila versionen av WordPress och risken finns att betaversionen har ändrat databasupplägget något. Det kan bli struligt värre. Summan av kardemumman: betatesta inte live.

Med allt det sagt, det är klart du ska testa WordPress-betorna! Sätt upp en ny installation, installera och aktivera WordPress Beta Tester-tillägget, gå till Verktyg > Beta Testing och välj vad du vill testa. Det finns två alternativ: punkt-releaser (någorlunda säkert) eller bleeding (kan krascha totalt). Den senare innehåller nästa stora version medan den tidigare håller sig inom befintlig version. Med andra ord, vill du betatesta 4.8 så är det bleeding du ska välja.

Hittat något konstigt? Berätta i betaforumet, men kolla så att det inte är ett känt problem först. Mycket nöje!

👉 Ladda ner WordPress Beta Tester

Intervju: Jonas Lejon

  • Namn: Jonas Lejon
  • Jobbar med: Konsult inom cybersäkerhet
  • Hemsida: https://triop.se
  • Twitter: @jonasl
  • Använt WordPress sedan: 2.2

På vilket sätt arbetar du med WordPress?
Jag hjälper organisationer med det mesta som är säkerhetsrelaterat till WordPress. Det kan röra sig om säkerhetshöjande åtgärder, oberoende granskning av installation (penetrationstest) eller forensisk utredning efter intrång.

Vad tycker du är bra respektive dåligt med WordPress?
Det jag gillar bäst med WordPress är att man tar säkerhet seriöst och åtgärdar sårbarheter som uppdagats samt att projektet självt arbetar proaktivt med säkerhet. En standardinstallation är också relativt säker och uppdaterar sig själv.

Nackdelarna är att kvalitén när det gäller säkerhet i plugins har en hel del att önska. Många lägger bara till plugins utan att förstå eventuella konsekvenser. Samtidigt förstår jag också att alla inte har möjlighet att granska alla plugins de installerar.

Spårbarhet (loggning) är också en sak som jag önskar vore bättre i WordPress. Core bör ha funktioner för att se vem som loggat in när, exempelvis.

WordPress finns numera på HackerOne, vad betyder det för plattformens säkerhet och hur ser du på den överlag?
Jag ser Bug Bountys som en positiv utveckling och att detta ökar incitamentet för fler att granska WordPress och att fler sårbarheter identifieras och således höjer säkerheten för alla som använder WordPress.

Önskar att fler projekt och företag kopplade till Sverige ser fördelarna med Bug Bountys.

Missa ingenting, teckna en prenumeration på nyhetsbrevet WPSE! Utkommer en gång i veckan, garanterat spamfritt. 💙

Genom att teckna en prenumeration godkänner du att vi får skicka vårt nyhetsbrev till dig i enlighet med vår integritetspolicy. Var inte orolig, du kan avsluta prenumerationen närhelst du vill och vi spammar eller säljer inte din adress vidare.