Das mal zur Faulheit, WP zu aktualisieren..

Dieses Thema im Forum 'Server Security & technische Diskussionen' wurde von wpler gestartet, 25 November 2014.

  1. wpler - Premium Member -

    Mitglied seit:
    7 Juni 2012
    Erstellte Beiträge:
    135
    Zustimmungen:
    95
    Labla gefällt dies.
  2. MrAffiliate - Premium Member -

    Mitglied seit:
    4 April 2013
    Erstellte Beiträge:
    717
    Zustimmungen:
    255
    WordPress aktualisiert sich, wenn möglich doch eh selber.
  3. Rotlicht-MV - Premium Member -

    Mitglied seit:
    30 November 2009
    Erstellte Beiträge:
    38
    Zustimmungen:
    3
    das und bei den Plugins schau ich öfters nach, aber ausschliessen kann man das nie, siehe auch die langjährigen Sicherheitslücken bei Windows
  4. Labla - Premium Member -

    Mitglied seit:
    15 Juli 2011
    Erstellte Beiträge:
    271
    Zustimmungen:
    197
    Hallo Miteinander,

    oh ja - ich kann den Ärger schon wieder förmlich riechen.

    Darauf würde ich mich NICHT verlassen. Denn wie wir selbst an unzähligen Beispielen feststellen durften, funktioniert dieses automatische Update auch bei gut administrierten Systemen nicht immer reibungslos.

    Auch sind es oft alte - deaktivierte - Plugins / Themes, über die ein Server kompromittiert wird. Denn leider vergessen viele WMs diese nicht genutzten Plugins / Themes, zu denen es seit Monaten / Jahren keine Updates mehr gibt, vom Server zu entfernen.

    Labla
  5. MrAffiliate - Premium Member -

    Mitglied seit:
    4 April 2013
    Erstellte Beiträge:
    717
    Zustimmungen:
    255
    Fresh gefällt dies.
  6. wpler - Premium Member -

    Mitglied seit:
    7 Juni 2012
    Erstellte Beiträge:
    135
    Zustimmungen:
    95
    Man glaub gar nicht, wie viele sogar noch auf 3.2 rumeiern bzw. sogar noch ältere Versionen verwenden. Meistens liegt das aber daran, dass die Auto Update Mechanismen auf diesen Servern nicht funktionieren, da es schlicht der Installation nicht erlaubt ist, selbst Dateien zu schreiben.

    Wenn man dann natürlich zig Blogs immer per FTP auf den neusten Stand halten muss, ist das logischerweise heftig Zeitaufwendig, vor allem wenn man dann auch noch diverse Plugins im Einsatz hat. Macht man das aber regelmäßig entsteht auch hier eine Routine, mit der man dann zumindest schnellstmöglich auch mit der Aktualisierung durch ist.

    Das fetteste Problem dabei ist dann aber auch, dass wenn man dann z.B. von einer 3.2 Version auf die aktuellste 4 updated, plötzlich der Blog nicht mehr funktioniert oder gar nur noch eine weiße Seite bekommt. Natürlich ist WP dann total scheiße und kaputt, eben total voller Bugs :D (anstatt einfach mal die Systemvoraussetzungen sich anzuschauen um dann festzustellen, dass WP 4 nicht mehr mit PHP 5.0 arbeitet ;) ), anstatt das mal von Brofies machen zu lassen. Aber das werden dann wohl auch Leute sein, die dann selbst am Auto nachgucken und mal kurz unwissend das Kabel von hier nach dort überbrücken, damit der Morgens besser anspringt.

    Naja, letztendlich haben genau diese Leute es auch verdient, mal durch diese Scriptkiddies auf die Fresse zu bekommen, denn sonst lernen die es nie.
  7. Labla - Premium Member -

    Mitglied seit:
    15 Juli 2011
    Erstellte Beiträge:
    271
    Zustimmungen:
    197
    Eine stabile Internet-Verbindung zu allen Servern voraus gesetzt ist das Tool ein super Ansatz - wenn die zentrale InfiniteWP-Installation sich im LAN befindet und um nichts in der Welt über das Internet erreichbar ist.

    Labla
  8. royalTS - Premium Member -

    Mitglied seit:
    12 September 2011
    Erstellte Beiträge:
    1.371
    Zustimmungen:
    500
    Was man dabei auch nicht vergessen sollte ... und was auch die Sorge und innere Unruhe vor einem Update schürt ...

    Selbst wenn das Update funzt ... kann es passieren, dass man ein Plugin, was bisher wunderbar gepasst hat, aber das schon ein wenig älter ist und welches nicht mehr gepflegt wird... einfach nicht mehr funktioniert ...

    Trotzdem müssen natürlich Updates sein. Und wenn es nach einem Update eine weiße Seite gibt, ist das noch immer besser, als wenn sich ein Kiddi im System bequem macht und weitere Dinge anstellt ...

    beim Löschen der eigenen Inhalte einfach so mal angefangen, wenn es sich um einen Scherzbold handelt :)
  9. mesh - Premium Member -

    Mitglied seit:
    12 Juli 2009
    Erstellte Beiträge:
    2.627
    Zustimmungen:
    230
    Ich entsorge gerade die letzte WP-Installation.
    Mir ist das Gewürge mit Installationen von Fremd-Software einfach zuville und die ganzen Drecks-Spambots gehen mir auf die Eier.
  10. MisterAustria - Premium Member -

    Mitglied seit:
    29 Oktober 2009
    Erstellte Beiträge:
    2.931
    Zustimmungen:
    341
    über die updates könnte man nun streiten...
    aus meiner sicht gibt es zu viele so das sich immer wieder sicherheitslücken auftun die ausgenutzt werden..
    da könnte man schon fast dazu tendiern lieber ne version am laufn zu haben die diese hackheinis aktuell nicht als angriffsziel bevorzugen...
    mit der aktuellen version is man ja ständig ein versuchskaninchen und opfer das angreifer aufn radar haben und davon abhängig das WP zeitnahe auf probleme reagiert.. oder besser gesagt dann reagiert wenns schon tausende erwischt hat...
    ist doch wohl nicht nötig alle 3 wochen so ein pipifax update zu machen das womöglich irgendwo türn öffnet. das is ne ständige neue gefahr in kurzen zeitabständen. die sollen lieber 2 mal im jahr ein vernünftiges update rausgeben als diese ständigen doktorspiele alle paar wochn.

    MA
  11. royalTS - Premium Member -

    Mitglied seit:
    12 September 2011
    Erstellte Beiträge:
    1.371
    Zustimmungen:
    500
    Stimmt.

    Gut denkbar, dass eine stabil laufende Version die trotzdem dem Updatezyklus entzogen ist, sicherer ist als eine "aktuelle" Version, wo sich alle Lückensucher drauf stürzen

    Ich lasse meinen im Moment nicht so sehr gepflegten Zustand noch lebenden Blog auch auf einem nicht geupdateten Level...

    und mache mir keinen Kopf wegen der dauernd steigenden Zahl an gewünschten Updates :)
    HornyGuy gefällt dies.
  12. wpler - Premium Member -

    Mitglied seit:
    7 Juni 2012
    Erstellte Beiträge:
    135
    Zustimmungen:
    95
    @MisterAustria, theoretisch hast Du sogar Recht und kannst deine Blogs auch auf eine "stabile, sichere Version" belassen. Das Problem ist, dass nicht der WP Core selbst meistens unsicher wird, sondern lediglich irgendwelche Teile von Plugins oder Themes. Gerade aber bei vielen Plugins ist es aber notwendig, die aktuelle WP Version einzusetzen, da Sie sonst schlicht nicht funktionieren.

    Mit meinem Auftraggeber arbeiten wir gerade z.B. an Lösungen, wo sämtliche Plugins nicht mehr notwendig werden und praktisch alles nur mit den eigenen Theme- und Plugin- Lösungen verwirklicht werden kann. Somit - und das haben wir bereits auch mehrfach erfolgreich im Einsatz - werden keine SEO Plugins oder andere mehr gebraucht. Hat man hier eine stabile, sichere Version mal im Einsatz (z.B. 4.0.1), braucht man theoretisch nicht mehr die Folge-Updates installieren, außer es wird ein Bug festgestellt (wo man auch abwegen muss, ob es Security-Bugs oder nur visuelle / funktionale Bugs oder Security-Bugs sind).

    Insbesondere in den letzten Monaten beschäftige ich mich intensiv mit dem Thema Sicherheit mit WP und stelle dabei immer wieder fest, dass eigentlich zu 100% Plugins die Ursache für Angriffsziele waren, weil Sie z.B. bestimmte Angriffe ermöglichen (z.B. Crosssite, XML-RPC-Angriffe, Login-Übernahmen, SQL-Injections, etc.). Andererseits werden aber auch immer wieder genau dadurch Lücken festgestellt. Der WP Core ist mittlerweilen ziemlich fett geworden und man kann bei einer solchen Größe nun mal nicht zu 100% ausschließen, dass da nicht irgendwo eine Lücke entsteht.

    Wer nahezu 100%ige Sicherheit will, sollte dann eben bestenfalls nur noch reine HTML Seiten ohne irgendwelche Scripte wie vor 15 Jahren einsetzen ;)
  13. Fuyonet.com - Premium Member -

    Mitglied seit:
    5 Januar 2011
    Erstellte Beiträge:
    59
    Zustimmungen:
    6
    Ein Thema was uns bei Fuyonet immer wieder ein holt. Viele (besonders kunden aus dem OfflineBiz) kuemmern sich nicht um ihre Software. Egal ob WP, Joomla, oder what ever. Sicherheitsloecher werden immer wieder gefunden.

    in der Regel werden Scripte zum Spamversand in die Software kopiert. an zweiter stelle sind es Modifikationen am Code, der den Besuchern Trojaner unter jubelt. noch relativ harmlos, aber rechtlich gefaehrlich fuer den kunden sind landing pages mit illegalen Inhalten. Davon bekommt niemand etwas mit ausser wir, wenn wir ein Abuse bekommen.

    alles in allem ist es wichtig, seine Software aktuell zu halten. wer das nicht staendig machen will, kann das automatisieren. Im Fehlerfall (und das kann natuerlich passieren) bekommt der Seitenbetreiber erst recht spaet mit, das was nicht stimmt.

    Wer automatische Updates machen moechte, kann das auch ueber Plesk direkt machen. da ist das Wordpress toolkit drin. Ein Automatisches backup (zB via Plesk Dropbox Modul) ist in jedem fall zu emfehlen!

    nach Updates sollte man mindestens jede Woche schauen.

    Gruesse ;)

Dieses Thema weiterempfehlen: