Seit WordPress 3.7 gibt es ja eine neue Funktion die eine automatische Aktualisierung des WordPress Core durchführt. Das heisst, eigentlich gibt es keine Update-Sessions mehr bei euren WordPress Blogs, alles wird automatisch gemacht. Apple hat das mit dem iOS 7 angefangen und WordPress hat das nun nachgemacht.

Diese Funktion wird als grosser Meilenstein von allen Seiten angepriesen. Ich persönlich nenn sowas ein Sicherheitsrisiko und ein #EpicFail.

Mit dieser Änderung hat man eigentlich allen Hackern ein grosses Tor zum eigenen Blog geöffnet. Anstatt, dass Hacker jede WordPress installation einzeln hacken müssen, damit sie uns Schaden können. Müssen sie nur den WordPress.org Server hacken und dann haben sie Zugriff auf Millionen von WP Installationen. (Denkt daran WP dominiert zur Zeit den CMS Markt weltweit).

Ich persönlich rate davon ab.

Nun wie könnt ihr euch vor diesem Sicherheitsrisiko schützen? Ganz einfach – in dem ihr diese Funktion deaktiviert.

Wie deaktivier ich die automatische Aktualisierung?

  • Öffne das wp-config.php file
  • Füge folgende Zeile hinzu:
    define( ‘AUTOMATIC_UPDATER_DISABLED’, true );
  • Lade wp-config.php wieder auf den Server.

Damit ist diese Funktion deaktiviert !





4 Kommentare
  1. Frank
    Frank sagte:

    Da gebe ich dir absolut recht. Paypal wird gehackt, Twitter wird gehackt, richtige Big Companies mit ausgesuchten Leuten im IT-Bereich. Wenn ich mir ansehe, wie lax da nun die Texaner drauf sind, was Code-Qualität angeht (denen geht’s mehr so um’s cooool sein), dann weiß ich nicht, warum die meinen, ausgerechnet sie würde dieses Schicksal nicht treffen. Da Automattic nicht gegen die vorgeschreibene amerikanische Gesetztestreue verstößt, ist dieses potentielle Einfallstor umso brisanter.

    Dann haben wir Millionen Dronen im Umlauf. Und das ist dann „sicher“. Schon das bisherige Ein-Klick-Update ist ohne Code-Review eigentlich russisches Roulette.

    Antworten

Trackbacks & Pingbacks

  1. […] Sicherheitsupdate sollte möglichst schnell ausgeführt werden ! Alle diejenigen die die automatische Updatefunktion deaktiviert haben, müssen das Update manuell starten, denn immerhin wird mit diesem Sicherheitsupdate ein paar […]

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.