Letztes Update am
Nach dem Update auf WordPress 4.7.1 funktioniert der aufwändig zusammengeschusterte SVG-Upload nicht mehr. SVG-Dateien, die bereits hochgeladen wurden, werden weiterhin angezeigt.
Um den SVG-Upload in WordPress überhaupt in Gang zu bringen, sind zusätzliche Hooks in der functions.php nötig, dazu kommt eine Reihe von CSS-Eigenschaften, die dafür sorgen müssen, dass ein SVG auch tatsächlich angezeigt wird. Bis zum Update auf WordPress 4.7.1 ging alles gut.
WordPress 4.7.1 prüft jetzt den wirklichen Mime-Type von hochgeladenen Dateien und setzt den Upload für SVG außer Kraft.
Aus Sicherheitsgründen ist dieser Dateityp nicht erlaubt.
Bis WordPress 4.7.2 (?) den Fehler korrigiert:
add_filter( 'wp_check_filetype_and_ext', function($data, $file, $filename, $mimes) { global $wp_version; if ( $wp_version !== '4.7.1' ) { return $data; } $filetype = wp_check_filetype( $filename, $mimes ); return [ 'ext' => $filetype['ext'], 'type' => $filetype['type'], 'proper_filename' => $data['proper_filename'] ]; }, 10, 4 );
entweder als Plugin oder in der functions.php des Themes.
Gefunden auf (nein … nicht da … ) stackexchange
WordPress und die Sicherheit
WordPress leidet an allen Ecken und Kanten an Sicherheitsmängeln. Hacker konnten Benutzernamen erschnüffeln, so dass das Password zur letzten Bastion wird. Die XMLRPC-Schnittstelle lässt sich in den Einstellungen nicht mehr deaktivieren, so dass WordPress ein neues Angriffsziel aufgedeckt hat. Plugins geraten in die falschen Hände und überraschen uns von einem auf den anderen Tag als Virus.
Aber SVG ist zu gefährlich, obwohl die Browser inzwischen Javascript in externen SVG-Dateien nicht mehr ausführen.
Aber man soll die Hoffnung ja nie aufgeben …