WordPress 4.2.4 wunderbar, doch in der WP Entwicklung fehlt etwas

Von
Jazzie
-
4944
wp-4-2-4update
wp-4-2-4update

Köln- Ein erfreulicher Tag in Sachen WordPress Sicherheit. Die Version 4.2.4 des Content-Management-Systems WordPress behebt unter anderem eine SQL-Injection-Lücke, durch die Angreifer die Installation übernehmen können.
Doch nach meiner Meinung fehlt neben der Sicherheit in der Entwicklung des CMS ein kleiner, aber wesentlicher Baustein.

Zuerst einmal beseitigt das Update auf WordPress 4.2.4 sechs Schwachstellen, durch die ein Angreifer das CMS schlimmstenfalls kompromittieren konnte.

Eine der Lücke ermöglicht potenziell das Einschleusen von Datenbankbefehlen (SQL-Injection), durch drei kann ein Angreifer beliebigen Code in die Site einschleusen (Cross-Site-Scripting, XSS). Zudem vereitelt das Update einen Side-Channel-Angriff und beseitigt einen Bug, durch den Angreifern verhindern konnten, dass ein Beitrag bearbeitet werden kann.

Vier weitere nicht sicherheitsrelevante Fehler gehören nach dem Update ebenfalls der Vergangenheit an. Ist WordPress so konfiguriert, dass es sich automatisch auf den aktuellen Stand bringt, ist das Update automatisch installiert.

Und genau da liegt die Krux.

Der automatische Update macht das CMS unter Umständen unbrauchbar

WordPress gibt es inzwischen in vielen Hosting Paketen mit Knopfdruck Installer. Das bedeutet, das ein nicht der Programiersprache PHP mächtiger User, sich ein WordPress CMS in seinem Webpaket installieren kann.
Plugins und Templates und backup lassen sich eben so mit Klick installieren. Alles wunderbar.

Jedoch nicht alle Templates und Plugins vertragen die aktuelle Update Version. Wer zum Beispiel ein Envanto Themeforest Theme und den Fusion Pagebuilder benutzt, der mußte realisieren, das sein CMs „out of order“ war.
Wenn er dann kein backup eingerichtet hat, steht harte Arbeit ins Haus.
Na klar gibt es eine PHP Anweisung in der config.php Datei define( 'AUTOMATIC_UPDATER_DISABLED', true );
Doch wer der Sprache PHP nicht mächtig ist, keinen FTP Client eingerichtet hat und keinen PHP Editor auf seinem PC hat, der kriegt das nicht hin. So wäre es überaus hilfreich, wenn neben dem Schalter und Button für den Update, eine Option zum abschalten im Dashboard vorhanden wäre.
Das wäre ein Fortschritt bei WordPress und ein guter Service der Entwickler, für die Benutzer, die das beliebte CMS benutzen und keine Webmaster sind. 🙂

Vorheriger ArtikelFord Focus RS bei Gamescom Köln mit „Top Gear“ Driver „The Stig“
Nächster Artikel1FC Köln – Es wird ernst – Im DFB Pokal zum SV Meppen
Jazzie
https://packeisen.de
Jazzie ist mein Nickname als Jazzmusiker. COLOZINE Magazin ist mein Blog. Beruflich bin ich Inhaber einer Internetagentur in Köln und Ostfriesland. Hier fröne ich meinen Hobbys. Ich liebe Smooth Jazz und die USA Jazz Musik Szene. Als Jazz Fan sehe ich Harmonie, nicht nur in der Musik, als unser allerhöchstes Gut an. Jazz-, Pop-, Hardrock- und Bluesmusik hat die Welt verändert und ist für mich unverzichtbar. Grund genug, durch die Welt zu surfen und Ausschau nach guten Music Acts und Musikern zu halten. Ich bin Fan des 1. FC Köln. Weitere Faibles gelten dem Motorsport, Tennis und Motorrad fahren. Ich bin ein Honda Freak und lasse mir gerne den Wind um die Nase wehen. Inzwischen habe ich meinen Lebensort an die Nordsee in Ostfriesland verlagert, weil ich mein Herz an ein Denkmal von Anno 1746 verloren habe. Bei Fragen oder Fehlangaben auf den Colozine Köln News Seiten hier die Kontaktmöglichkeit Jazzie (Reinhold Packeisen) oder Mail an info@koeln-news.com :-) Tel.+49 170 90 08 08 74
Facebook

Verwandte ArtikelMehr vom Autor