Kommentare zu: WordPress: Plugins automatisch aktualisieren http://www.perun.net/2008/04/18/wordpress-plugins-automatisch-aktualisieren/ Webwork, WordPress und Internet Fri, 29 Aug 2008 23:39:40 +0000 http://wordpress.org/?v=2.6.1 Von: Wenn ein Plugin automatisch aktualisiert wird, warum dann nicht wordpress selber http://www.perun.net/2008/04/18/wordpress-plugins-automatisch-aktualisieren/#comment-51665 Wenn ein Plugin automatisch aktualisiert wird, warum dann nicht wordpress selber Wed, 21 May 2008 13:47:20 +0000 http://www.perun.net/?p=1120#comment-51665 [...] http://www.perun.net/2008/04/18/wordpress-plugins-automatisch-aktualisieren/ und [...] [...] http://www.perun.net/2008/04/18/wordpress-plugins-automatisch-aktualisieren/ und [...]

]]> Von: WP-Plugin Central LuNes Blog http://www.perun.net/2008/04/18/wordpress-plugins-automatisch-aktualisieren/#comment-51377 WP-Plugin Central LuNes Blog Thu, 24 Apr 2008 15:09:24 +0000 http://www.perun.net/?p=1120#comment-51377 [...] Ich habe gerade die Diskussion zu Fragen der Sicherheit in Verbindung mit diesem Plugin im perun-Blog gelesen udn möchte das nicht vorenthalten. [...] [...] Ich habe gerade die Diskussion zu Fragen der Sicherheit in Verbindung mit diesem Plugin im perun-Blog gelesen udn möchte das nicht vorenthalten. [...]

]]> Von: Christopher http://www.perun.net/2008/04/18/wordpress-plugins-automatisch-aktualisieren/#comment-51326 Christopher Tue, 22 Apr 2008 17:09:29 +0000 http://www.perun.net/?p=1120#comment-51326 Nach diesem Beitrag war ich mal so neugierig und habe das Auto-Update probiert - und es hat für alle Plugins tadellos funktioniert (hoste ebenfalls bei all-inkl). Eine super Funktion, da das manuelle Updaten immer Zeit und manchmal auch Nerven gekostet hat. @Frank: wenn man die SSL verschlüsselt, sollte das Risiko doch zumindest minimiert sein? Nach diesem Beitrag war ich mal so neugierig und habe das Auto-Update probiert - und es hat für alle Plugins tadellos funktioniert (hoste ebenfalls bei all-inkl). Eine super Funktion, da das manuelle Updaten immer Zeit und manchmal auch Nerven gekostet hat.

@Frank: wenn man die SSL verschlüsselt, sollte das Risiko doch zumindest minimiert sein?

]]> Von: Matt http://www.perun.net/2008/04/18/wordpress-plugins-automatisch-aktualisieren/#comment-51287 Matt Mon, 21 Apr 2008 06:43:36 +0000 http://www.perun.net/?p=1120#comment-51287 Bei mir funktioniert das Auto-Update nicht. WP kann nicht in den Ordner schreiben und das entpacken. Von daher mache ich es manuell - oder gar nicht :D Bei mir funktioniert das Auto-Update nicht. WP kann nicht in den Ordner schreiben und das entpacken. Von daher mache ich es manuell - oder gar nicht :D

]]> Von: Frank http://www.perun.net/2008/04/18/wordpress-plugins-automatisch-aktualisieren/#comment-51277 Frank Sat, 19 Apr 2008 07:30:24 +0000 http://www.perun.net/?p=1120#comment-51277 Grundsätzlich begrüße ich die Möglichkeit solcher Updates. Aber mir gefällt nicht, dass ich meinen FTP-Zugang eingeben muss und dieser, wie Martin sagt, durchs Netz übertragen wird. Für mich überwiegt das Sicherheitsrisiko die Bequemlichkeit, so dass ich auf automatische Updates verzichten werde. Bei anderer Software wie beispielsweise SimplesMachines, das automatische Updates schon lange kennt, ist kein FTP nötig - kein gutes Zeichen für die WP-Entwickler... Grundsätzlich begrüße ich die Möglichkeit solcher Updates. Aber mir gefällt nicht, dass ich meinen FTP-Zugang eingeben muss und dieser, wie Martin sagt, durchs Netz übertragen wird. Für mich überwiegt das Sicherheitsrisiko die Bequemlichkeit, so dass ich auf automatische Updates verzichten werde. Bei anderer Software wie beispielsweise SimplesMachines, das automatische Updates schon lange kennt, ist kein FTP nötig - kein gutes Zeichen für die WP-Entwickler…

]]> Von: Perun http://www.perun.net/2008/04/18/wordpress-plugins-automatisch-aktualisieren/#comment-51274 Perun Sat, 19 Apr 2008 02:02:59 +0000 http://www.perun.net/?p=1120#comment-51274 Hallo Stefan, <blockquote>Tschuldigung, dass mein Link einen Scroll-Balken produziert. Ich empfehle zur Abhilfe das Plugin "Chunk Urls for WordPress".</blockquote> deswegen sind Scrollbalken ja auch da. Sie sind nicht böse sondern hilfreich und aus diesem Grund habe ich das horizontale scrollen innerhalb des Kommentarbereiches explizit erlaubt, wenn der Inhalt zu breit ist. Hallo Stefan,

Tschuldigung, dass mein Link einen Scroll-Balken produziert. Ich empfehle zur Abhilfe das Plugin "Chunk Urls for WordPress".

deswegen sind Scrollbalken ja auch da. Sie sind nicht böse sondern hilfreich und aus diesem Grund habe ich das horizontale scrollen innerhalb des Kommentarbereiches explizit erlaubt, wenn der Inhalt zu breit ist.

]]> Von: Stefan http://www.perun.net/2008/04/18/wordpress-plugins-automatisch-aktualisieren/#comment-51270 Stefan Fri, 18 Apr 2008 21:39:31 +0000 http://www.perun.net/?p=1120#comment-51270 Tschuldigung, dass mein Link einen Scroll-Balken produziert. Ich empfehle zur Abhilfe das Plugin "Chunk Urls for WordPress". Tschuldigung, dass mein Link einen Scroll-Balken produziert. Ich empfehle zur Abhilfe das Plugin "Chunk Urls for WordPress".

]]> Von: Stefan http://www.perun.net/2008/04/18/wordpress-plugins-automatisch-aktualisieren/#comment-51269 Stefan Fri, 18 Apr 2008 21:37:44 +0000 http://www.perun.net/?p=1120#comment-51269 Ich habe mir durch eine fehlerhafte Update-Information und das automatische Update das Plugin WP-PostViews zerschossen: <a href="http://www.alterfalter.de/2008/04/14/wordpress-25-vorsicht-vor-automatischem-plugin-update/">Vorsicht vor automatischem Plugin-Update</a> Ich habe mir durch eine fehlerhafte Update-Information und das automatische Update das Plugin WP-PostViews zerschossen:

Vorsicht vor automatischem Plugin-Update

]]> Von: Boris http://www.perun.net/2008/04/18/wordpress-plugins-automatisch-aktualisieren/#comment-51268 Boris Fri, 18 Apr 2008 21:14:44 +0000 http://www.perun.net/?p=1120#comment-51268 Ich halte gar nichts von dieser Möglichkeit, müsste auch, wenn ich sie nutzen wollte, erheblich Sicherheit aufgeben. Auf dem Server, auf dem ich meine Blogs betreibe, habe ich lediglich den Zugriff per SSH (SFTP) ermöglicht, und zwar per Key plus Passphrase, nicht per Username und Passwort. Und diese Sicherheit würde ich keinesfalls aufgeben wollen, schon gar nicht, wenn ich per Logfile beobachten kann, dass es völlig normal ist, dass ein Webserver nahezu unablässig mit FTP- und SSH-Zugriffsversuchen mittels Usernamen- und Passwortlisten bombardiert wird. Komfortable Automatismen sind nach wie vor kaum ohne Sicherheitseinbußen zu haben. :cry: Ich halte gar nichts von dieser Möglichkeit, müsste auch, wenn ich sie nutzen wollte, erheblich Sicherheit aufgeben. Auf dem Server, auf dem ich meine Blogs betreibe, habe ich lediglich den Zugriff per SSH (SFTP) ermöglicht, und zwar per Key plus Passphrase, nicht per Username und Passwort.

Und diese Sicherheit würde ich keinesfalls aufgeben wollen, schon gar nicht, wenn ich per Logfile beobachten kann, dass es völlig normal ist, dass ein Webserver nahezu unablässig mit FTP- und SSH-Zugriffsversuchen mittels Usernamen- und Passwortlisten bombardiert wird.

Komfortable Automatismen sind nach wie vor kaum ohne Sicherheitseinbußen zu haben. :cry:

]]> Von: Martin Grandrath http://www.perun.net/2008/04/18/wordpress-plugins-automatisch-aktualisieren/#comment-51264 Martin Grandrath Fri, 18 Apr 2008 16:36:49 +0000 http://www.perun.net/?p=1120#comment-51264 <blockquote>Wie schaut es mit der Sicherheit aus?</blockquote> Nun, bei purem FTP (also ohne Verschlüsselung) hast du immer das Problem, dass dein Passwort im Klartext durchs Netz übertragen wird. Insofern sollte man dieses Protokoll sowieso nicht verwenden. Ein anderer Punkt ist, dass die Plugins nicht signiert sind (z.B. mit GPG). Wenn es einem Angreifer nun z.B. gelingt, den DNS-Eintrag für wordpress.org zu manipulieren und auf seinen eigenen Server umzuleiten, könnte ein schädliches Plugin installiert werden. Das Problem betrifft aber nicht direkt das automatische Update. Ich habe aber ehrlich gesagt noch nicht verstanden, warum WP für die Plugin-Installation einen FTP-Zugang haben möchte. So wie ich es sehe, könnte sich WP doch das Plugin per HTTP von wordpress.org herunterladen, in das Plugin-Verzeichnis entpacken und gut ist. Aber vielleicht kann mich hier jemand erhellen.

Wie schaut es mit der Sicherheit aus?

Nun, bei purem FTP (also ohne Verschlüsselung) hast du immer das Problem, dass dein Passwort im Klartext durchs Netz übertragen wird. Insofern sollte man dieses Protokoll sowieso nicht verwenden.

Ein anderer Punkt ist, dass die Plugins nicht signiert sind (z.B. mit GPG). Wenn es einem Angreifer nun z.B. gelingt, den DNS-Eintrag für wordpress.org zu manipulieren und auf seinen eigenen Server umzuleiten, könnte ein schädliches Plugin installiert werden. Das Problem betrifft aber nicht direkt das automatische Update.

Ich habe aber ehrlich gesagt noch nicht verstanden, warum WP für die Plugin-Installation einen FTP-Zugang haben möchte. So wie ich es sehe, könnte sich WP doch das Plugin per HTTP von wordpress.org herunterladen, in das Plugin-Verzeichnis entpacken und gut ist. Aber vielleicht kann mich hier jemand erhellen.

]]> Von: Ghettomaster http://www.perun.net/2008/04/18/wordpress-plugins-automatisch-aktualisieren/#comment-51263 Ghettomaster Fri, 18 Apr 2008 16:23:57 +0000 http://www.perun.net/?p=1120#comment-51263 Richtig interessant ist, das der Spass bei DomainFactory sogar ohne FTP Daten funktioniert. Richtig interessant ist, das der Spass bei DomainFactory sogar ohne FTP Daten funktioniert.

]]>