Seit WordPress 3.7 gibt es ja eine neue Funktion die eine automatische Aktualisierung des WordPress Core durchführt. Das heisst, eigentlich gibt es keine Update-Sessions mehr bei euren WordPress Blogs, alles wird automatisch gemacht. Apple hat das mit dem iOS 7 angefangen und WordPress hat das nun nachgemacht.

Diese Funktion wird als grosser Meilenstein von allen Seiten angepriesen. Ich persönlich nenn sowas ein Sicherheitsrisiko und ein #EpicFail.

Mit dieser Änderung hat man eigentlich allen Hackern ein grosses Tor zum eigenen Blog geöffnet. Anstatt, dass Hacker jede WordPress installation einzeln hacken müssen, damit sie uns Schaden können. Müssen sie nur den WordPress.org Server hacken und dann haben sie Zugriff auf Millionen von WP Installationen. (Denkt daran WP dominiert zur Zeit den CMS Markt weltweit).

Ich persönlich rate davon ab.

Nun wie könnt ihr euch vor diesem Sicherheitsrisiko schützen? Ganz einfach – in dem ihr diese Funktion deaktiviert.

Wie deaktivier ich die automatische Aktualisierung?

  • Öffne das wp-config.php file
  • Füge folgende Zeile hinzu:
    define( ‘AUTOMATIC_UPDATER_DISABLED’, true );
  • Lade wp-config.php wieder auf den Server.

Damit ist diese Funktion deaktiviert !

Über

Eric-Oliver Mächler

Seit 2005 bin ich ein aktiver Blogger. Ich kenne die Kniffe und die Tricks um einen Blog erfolgreich zu machen. Hier gebe ich diese kleinen Tricks gerne weiter und freue mich, wenn ich euch helfen kann. Hier erfährt man mehr über mich.

4 Kommentare

  • Da gebe ich dir absolut recht. Paypal wird gehackt, Twitter wird gehackt, richtige Big Companies mit ausgesuchten Leuten im IT-Bereich. Wenn ich mir ansehe, wie lax da nun die Texaner drauf sind, was Code-Qualität angeht (denen geht’s mehr so um’s cooool sein), dann weiß ich nicht, warum die meinen, ausgerechnet sie würde dieses Schicksal nicht treffen. Da Automattic nicht gegen die vorgeschreibene amerikanische Gesetztestreue verstößt, ist dieses potentielle Einfallstor umso brisanter.

    Dann haben wir Millionen Dronen im Umlauf. Und das ist dann „sicher“. Schon das bisherige Ein-Klick-Update ist ohne Code-Review eigentlich russisches Roulette.

Hinterlass einen Kommentar