Peruns Weblog - Webwork und Internet

Ist das private Weblog von Vladimir Simovic mit Berichten zum Thema Webwork und Internet. Ich wohne in Köln und arbeite als freier Webworker, Blogger und Autor.

WordPress: Plugins automatisch aktualisieren

Perun am 18. April 2008 um 18:04 Uhr

Seit WordPress 2.5 wird man nicht nur, wie in der Vorgängerversion, benachrichtigt, dass es für ein Plugin ein Update gibt, sondern es wird die Möglichkeit angeboten das Plugin über das Admin-Menu zu aktualisieren. in beiden Fällen - Benachrichtigung und das Update - ist es notwendig, dass das Plugin auf der offiziellen Plattform gehostet wird.

Plugin-Benachrichtigung

Jetzt hat man drei Möglichkeiten: man ignoriert den Hinweis, man aktualisiert manuell oder man ruft den Link "aktualisiere automatisch" auf:

Automatisches Plugin-Update

In die entsprechenden Felder gibt man dann die jeweiligen Infos ein und wählt aus ob das Update durch SSL gesichert wird oder nicht. Zur Info: die Hosting-Pakete von all-inkl.com unterstützen FTP über SSL (explizite Verschlüsselung). Wenn man das ganze dann abschickt, kümmert sich Wordpress um den Rest. Ist das Plugin zu dem Zeitpunkt aktiv, dann deaktiviert WP das Plugin und aktiviert es auch nach dem Update. Sehr komfortabel.

Wie schaut es mit der Sicherheit aus?

Das ist eine wichtige Frage. Sicherlich, die Funktion ist wirklich komfortabel, aber wie schaut es hier mit der Sicherheit aus (mit und ohne SSL)? Da ich kein Server-Admin und auch kein ausgewiesener Sicherheits-Experte bin, leite ich die Frage an die entsprechenden Personen? :-)

Verwandte Beiträge

Kategorien:
WordPress
Tags:
 
Beitrag:
Trackback-Adresse und die Druckvorschau
Kommentare:
Kommentare verfolgen oder ein Kommentar abgeben

« Zum vorherigen Beitrag – Zum nächsten Beitrag »

10 Kommentare »»

  1. 1.Ghettomaster

    Kommentar vom 18. April 2008 um 18:23

    Richtig interessant ist, das der Spass bei DomainFactory sogar ohne FTP Daten funktioniert.

  2. 2.Martin Grandrath

    Kommentar vom 18. April 2008 um 18:36

    Wie schaut es mit der Sicherheit aus?

    Nun, bei purem FTP (also ohne Verschlüsselung) hast du immer das Problem, dass dein Passwort im Klartext durchs Netz übertragen wird. Insofern sollte man dieses Protokoll sowieso nicht verwenden.

    Ein anderer Punkt ist, dass die Plugins nicht signiert sind (z.B. mit GPG). Wenn es einem Angreifer nun z.B. gelingt, den DNS-Eintrag für wordpress.org zu manipulieren und auf seinen eigenen Server umzuleiten, könnte ein schädliches Plugin installiert werden. Das Problem betrifft aber nicht direkt das automatische Update.

    Ich habe aber ehrlich gesagt noch nicht verstanden, warum WP für die Plugin-Installation einen FTP-Zugang haben möchte. So wie ich es sehe, könnte sich WP doch das Plugin per HTTP von wordpress.org herunterladen, in das Plugin-Verzeichnis entpacken und gut ist. Aber vielleicht kann mich hier jemand erhellen.

  3. 3.Boris

    Kommentar vom 18. April 2008 um 23:14

    Ich halte gar nichts von dieser Möglichkeit, müsste auch, wenn ich sie nutzen wollte, erheblich Sicherheit aufgeben. Auf dem Server, auf dem ich meine Blogs betreibe, habe ich lediglich den Zugriff per SSH (SFTP) ermöglicht, und zwar per Key plus Passphrase, nicht per Username und Passwort.

    Und diese Sicherheit würde ich keinesfalls aufgeben wollen, schon gar nicht, wenn ich per Logfile beobachten kann, dass es völlig normal ist, dass ein Webserver nahezu unablässig mit FTP- und SSH-Zugriffsversuchen mittels Usernamen- und Passwortlisten bombardiert wird.

    Komfortable Automatismen sind nach wie vor kaum ohne Sicherheitseinbußen zu haben. :cry:

  4. 4.Stefan

    Kommentar vom 18. April 2008 um 23:37

    Ich habe mir durch eine fehlerhafte Update-Information und das automatische Update das Plugin WP-PostViews zerschossen:

    Vorsicht vor automatischem Plugin-Update

  5. 5.Stefan

    Kommentar vom 18. April 2008 um 23:39

    Tschuldigung, dass mein Link einen Scroll-Balken produziert. Ich empfehle zur Abhilfe das Plugin "Chunk Urls for WordPress".

  6. 6.Perun

    Kommentar vom 19. April 2008 um 04:02

    Hallo Stefan,

    Tschuldigung, dass mein Link einen Scroll-Balken produziert. Ich empfehle zur Abhilfe das Plugin "Chunk Urls for WordPress".

    deswegen sind Scrollbalken ja auch da. Sie sind nicht böse sondern hilfreich und aus diesem Grund habe ich das horizontale scrollen innerhalb des Kommentarbereiches explizit erlaubt, wenn der Inhalt zu breit ist.

  7. 7.Frank

    Kommentar vom 19. April 2008 um 09:30

    Grundsätzlich begrüße ich die Möglichkeit solcher Updates. Aber mir gefällt nicht, dass ich meinen FTP-Zugang eingeben muss und dieser, wie Martin sagt, durchs Netz übertragen wird. Für mich überwiegt das Sicherheitsrisiko die Bequemlichkeit, so dass ich auf automatische Updates verzichten werde. Bei anderer Software wie beispielsweise SimplesMachines, das automatische Updates schon lange kennt, ist kein FTP nötig - kein gutes Zeichen für die WP-Entwickler…

  8. 8.Matt

    Kommentar vom 21. April 2008 um 08:43

    Bei mir funktioniert das Auto-Update nicht. WP kann nicht in den Ordner schreiben und das entpacken. Von daher mache ich es manuell - oder gar nicht :D

  9. 9.Christopher

    Kommentar vom 22. April 2008 um 19:09

    Nach diesem Beitrag war ich mal so neugierig und habe das Auto-Update probiert - und es hat für alle Plugins tadellos funktioniert (hoste ebenfalls bei all-inkl). Eine super Funktion, da das manuelle Updaten immer Zeit und manchmal auch Nerven gekostet hat.

    @Frank: wenn man die SSL verschlüsselt, sollte das Risiko doch zumindest minimiert sein?

  10. 10.WP-Plugin Central LuNes Blog

    Pingback vom 24. April 2008 um 17:09

    [...] Ich habe gerade die Diskussion zu Fragen der Sicherheit in Verbindung mit diesem Plugin im perun-Blog gelesen udn möchte das nicht vorenthalten. [...]

Einen Kommentar hinterlassen

XHTML (folgende Tags sind erlaubt): <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> . Kommentar-Vorschau ist aktiviert (Javascript wird benötigt).

Code-Beispiele: damit die Code-Beispiele richtig angezeigt werden müssen die Sonderzeichen maskiert werden (z. B. < zu &lt;).

Live-Vorschau: