WBCE CMS 1.6.5 verfügbar/available

florian · 07.12.2025 09:11:07

English translation follows

WBCE CMS 1.6.5 steht ab jetzt zur Verfügung. Bei dieser Version handelt es sich um ein wichtiges Sicherheits- und Wartungsrelease. Ein Update wird empfohlen.

Das Installations-/Update-Paket kann wie üblich auf GitHub heruntergeladen werden. Man kann es sich aber auch deutlich einfacher machen:

Installation bzw. Update

Die Installation/Aktualisierung kann mittels der auf wbce.org verlinkten Zipdateien in der Installations- bzw. Updateanleitung und Aufruf des entsprechenden Unzip-Scripts (letzteres zusammen mit dem Zip hochladen und zurück in *.php umbenennen) erfolgen.

Was ist neu?

CAPTCHA für Anmeldemaske
Die Anmeldung am CMS ist nun zusätzlich mit einem CAPTCHA geschützt (es wird das CAPTCHA verwendet, was im Backend bei Admin-Tools > CAPTCHA und Advanced Spam Protection eingestellt ist). Dies dient dem stärkeren Schutz gegen Brute-Force-Attacken.

Wenn das Loginbox-Droplet verwendet wird, muss es manuell aktualisiert werden. Die aktualisierte Version kann im AOR heruntergeladen werden.
Ebenfalls muss das Fraggy-Backend-Theme geupdated werden. Falls es das nicht von selbst macht, steht der aktualisierte Download auf Github zur Verfügung.

Es gibt die Möglichkeit, diesen zusätzlichen Schutz zu deaktivieren, zum Beispiel, weil die Instanz bereits anderweitig geschützt ist oder den Nutzer:innen das Lösen eines CAPTCHAs nicht zuzumuten wäre. In diesem Falle ist ein neuer Eintrag in der config.php vorzunehmen:

define('NO_LOGIN_CAPTCHA',true);

Weiterhin ist der CAPTCHA-Schutz nicht aktiv, wenn durch den entsprechenden Eintrag in der config.php auf das Sitzungscookie verzichtet wird.
Siehe dazu die Erläuterungen in der Doku.

Änderungen bei der Zuordnung von Nutzys zu Gruppen
Unter bestimmten Umständen und mit entsprechender krimineller Energie war es möglich, dass bestehende Nutzys sich unberechtigt in die Systemgruppe "Administrators" hinzufügen konnten und/oder böswillig manipulierte Anfragen an den Server senden konnten. Dies ist jetzt (hoffentlich) nicht mehr möglich.
Um diesen Schutzmechanismus zu realisieren, war es unumgänglich, Einschränkungen bei den Berechtigungen vorzunehmen. Sofern ein Nutzy Berechtigungen für das Anlegen/bearbeiten von Nutzyaccounts hat, aber nicht selbst Mitglied der Gruppe "Administrators" ist, kann es andere Nutzys (und damit implizit sich selbst) nur noch den Gruppen zuweisen, in denen es bereits Mitglied ist.
Sprich, wenn "Alfred" Mitglied der Gruppe "Rot", aber nicht "Blau" ist, kann er "Berta" auch nur der Gruppe "Rot" zuweisen, "Blau" wird ihm nicht angezeigt.

Minimale Passwortlänge
Die minimale Passwortlänge wurde auf 12 Zeichen erhöht.

Updates von inkludierten Modulen und Bbliotheken
News with Images wurde auf Version 5.0.29 aktualisiert, hier konnte bei der Benutzung von Tags unter Umständen ein Sicherheitsproblem auftreten.

Update wbstats
wbstats wurde auf Version 0.2.5.8 aktualisiert - damit wird ein Fehler behoben, der auftrat, wenn bestimmte Zeichen im Otrsnamen vorkamen.

Update jQuery
Update auf Version 3.7.1.

Update PHPMailer
Aktualisiert auf Version 7.0.1.

Systemvoraussetzungen

PHP 8.1. x - PHP 8.4.x. PHP 7.4.x wird nicht mehr, PHP 8.5.x noch nicht unterstützt.

Auch wenn das ganze eher lästig ist, wird empfohlen, ein Update durchzuführen. Wer das längere Zeit nicht getan hat und noch mit 1.5.x oder noch älter am Start ist, sollte vorher die Releasenotes zu 1.6.0 lesen.

Vielen Dank an alle, die mit Ideen und Beiträgen an dieser Version mitgewirkt haben.

Last edited by florian (09.12.2025 11:27:52)

mk70, byteworker, jean, giz, creatore

florian · 07.12.2025 09:22:44

WBCE CMS 1.6.5 is now available.
This version is an important security and maintenance release. Updating is strongly recommended.
The installation/update package can be downloaded as usual from GitHub. However, there’s also an easier way:

Installation or Update

Installation or update can be done using the ZIP files linked on wbce.org in the installation guide or the update guide, by uploading the ZIP file together with the corresponding unzip script (rename the latter back to *.php after upload).

What’s new?

CAPTCHA for login screen
The CMS login is now protected with a CAPTCHA (using the one configured under Admin-Tools > CAPTCHA and Advanced Spam Protection). This strengthens protection against brute-force attacks.

If the Loginbox Droplet is used, it must be updated manually. The updated version can be downloaded in the AOR.
The Fraggy Backend Theme also needs updating. If it doesn’t update automatically, the new download is available on GitHub.

It’s possible to disable this extra protection, for example if your instance is already secured by other means or if entering a CAPTCHA would be unreasonable for users. In this case, add the following new entry in config.php:

define('NO_LOGIN_CAPTCHA', true);

The CAPTCHA protection is also inactive if the session cookie usage has been disabled in config.php. See the documentation notes for details.

Changes in user-to-group assignment

Under certain conditions—and with sufficient malicious intent—it was previously possible for existing users to add themselves unlawfully to the system group “Administrators” and/or send manipulated requests to the server. This should now (hopefully) no longer be possible.

To implement this protection mechanism, it was necessary to restrict permissions:
If users have permission to create/edit user accounts but are not members of the “Administrators” group, they can now only assign other users (and thus implicitly themselves) to groups they already belong to.

For example, if “Alfred” is a member of the “Red” group but not “Blue”, he can only assign “Berta” to “Red”; “Blue” won’t be displayed as an option.

Minimum password length

The minimum password length has been increased to 12 characters.

Updates to included modules and libraries

News with Images updated to version 5.0.29 – this fixes a potential security issue when using tags.
wbstats updated to version 0.2.5.8 – fixes an error occurring when certain characters appeared in host names.
jQuery updated to version 3.7.1.
PHPMailer updated to version 7.0.1.

System requirements

Supported versions: PHP 8.1.x – PHP 8.4.x
PHP 7.4.x is no longer supported, and PHP 8.5.x is not yet supported.

Although updates can be bothersome, upgrading is strongly recommended.
Anyone still running version 1.5.x or older should first read the release notes for 1.6.0.

Many thanks to everyone who contributed ideas and work to this version.

Last edited by florian (09.12.2025 11:28:03)

WBCE CMS Forum

#1 07.12.2025 09:11:07