Gestern gab es ein Update von WordPress. WordPress läuft in der Version 4.7.5. Bei dem Update handelte es sich um ein Sicherheits- und Wartungsupdate. Das Alles passierte in Vorbereitung von WordPress 4.8, was offenbar unmittelbar bevorsteht. Es gibt wie immer keinen Grund, das Update nicht zu installieren. Denn es wurden nun einmal ein paar Fehler behoben. Aus diesem Grund schlage ich vor, wenn noch nicht geschehen, das Update so schnell wie möglich zu installieren.
Das Thema Cross-Site-Scripting beschäftigte die Entwickler auch dieses Mal. Das Problem scheint die Mutter der WordPress-Sicherheitsprobleme zu sein. Informationen aus einem nicht vertrauenswürdigen Kontext werden sozusagen in einen Kontext eingefügt, in welchem sie dann vertrauenswürdig sind. Und dann werden sie für einen Angriff benutzt, um zum Beispiel an Nutzerdaten zu gelangen. In WordPress schlägt man sich schon lang damit herum und schließt nach und nach alle möglichen Lücken in dem Zusammenhang.
Weiter handelt es sich bei dem Update um Fehlerbehebungen rund um die XML-RPC-API. Also alles, was im Zusammenhang mit Pingbacks steht. Diese Schnittstelle ist unheimlich beliebt bei Angreifern. Deshalb wird sie auch mehr und mehr bei Bloggern abgeschaltet. Nichtsdestotrotz muss sich ja jemand um die entsprechenden Dateien kümmern. Es gab wohl Probleme mit den POST-Metadaten, und die wurden behoben. Sagt man.
Ein riesiges Problem sind die Entwickler allerdings noch nicht angegangen, wie ich dazu gelesen habe. Es gibt ein Problem beim Vorgang, wenn das Passwort zurückgesetzt werden muss. Das ist schon eine Weile bekannt. Behoben ist es allerdings nicht. Es soll vor allem bei einem Sicherheitsplugin auffallen. Ob das ganze Problem recht weit verbreitet ist, kann ich nicht sagen. Man sollte es aber vielleicht dennoch im Auge behalten. Es kann ja nichts schaden. Und vielleicht ist es ja demnächst behoben.
Am Ende gilt: Sichern Sie einfach einmal alles, was Ihre WordPress-Installation betrifft, und dann aktualisieren Sie Ihr WordPress. Es sei denn, das passiert automatisch. Es gibt keinen Grund, das Update auszulassen. Oder wissen Sie einen? Dann mal raus mit der Sprache: Warum sollte denn ein Update nicht durchgeführt werden?
Hi,
so geht es mir auch und solange ich diese Update-Icons und Meldungen irgendwo im Portfolio sehe, solange kann ich nicht ruhig bleiben. Es wird alles aktualisiert, was angefallen ist und WP gehört da sicherlich einfach dazu. Das Update hat mein System auf eine eigene Weise vollbracht, sodass ich mich darum nicht mehr kümmern musste. Das ist gut, denn es ist ein kleines Helferlein seitens des WP-CMS-Systems und du bist etwas entspannter :)
WordPress-Blogs werden dennoch hier und da geknackt, mache man was man will, aber gut, dann gilt es für uns User noch mehr auf die WordPress-Umgebung und die eigene Installation zu achten. Sicherheitsplugins hatten wir schon mehrmals durchgesprochen.