WordPress & Webwork

WordPress: Plugins automatisch aktualisieren

Seit WordPress 2.5 wird man nicht nur, wie in der Vorgängerversion, benachrichtigt, dass es für ein Plugin ein Update gibt, sondern es wird die Möglichkeit angeboten das Plugin über das Admin-Menu zu aktualisieren. in beiden Fällen – Benachrichtigung und das Update – ist es notwendig, dass das Plugin auf der offiziellen Plattform gehostet wird.

Plugin-Benachrichtigung

Jetzt hat man drei Möglichkeiten: man ignoriert den Hinweis, man aktualisiert manuell oder man ruft den Link "aktualisiere automatisch" auf:

Automatisches Plugin-Update

In die entsprechenden Felder gibt man dann die jeweiligen Infos ein und wählt aus ob das Update durch SSL gesichert wird oder nicht. Zur Info: die Hosting-Pakete von all-inkl.com unterstützen FTP über SSL (explizite Verschlüsselung). Wenn man das ganze dann abschickt, kümmert sich WordPress um den Rest. Ist das Plugin zu dem Zeitpunkt aktiv, dann deaktiviert WP das Plugin und aktiviert es auch nach dem Update. Sehr komfortabel.

Wie schaut es mit der Sicherheit aus?

Das ist eine wichtige Frage. Sicherlich, die Funktion ist wirklich komfortabel, aber wie schaut es hier mit der Sicherheit aus (mit und ohne SSL)? Da ich kein Server-Admin und auch kein ausgewiesener Sicherheits-Experte bin, leite ich die Frage an die entsprechenden Personen? 🙂

12 Reaktion(en)

  1. Martin Grandrath

    Wie schaut es mit der Sicherheit aus?

    Nun, bei purem FTP (also ohne Verschlüsselung) hast du immer das Problem, dass dein Passwort im Klartext durchs Netz übertragen wird. Insofern sollte man dieses Protokoll sowieso nicht verwenden.

    Ein anderer Punkt ist, dass die Plugins nicht signiert sind (z.B. mit GPG). Wenn es einem Angreifer nun z.B. gelingt, den DNS-Eintrag für wordpress.org zu manipulieren und auf seinen eigenen Server umzuleiten, könnte ein schädliches Plugin installiert werden. Das Problem betrifft aber nicht direkt das automatische Update.

    Ich habe aber ehrlich gesagt noch nicht verstanden, warum WP für die Plugin-Installation einen FTP-Zugang haben möchte. So wie ich es sehe, könnte sich WP doch das Plugin per HTTP von wordpress.org herunterladen, in das Plugin-Verzeichnis entpacken und gut ist. Aber vielleicht kann mich hier jemand erhellen.

  2. Boris

    Ich halte gar nichts von dieser Möglichkeit, müsste auch, wenn ich sie nutzen wollte, erheblich Sicherheit aufgeben. Auf dem Server, auf dem ich meine Blogs betreibe, habe ich lediglich den Zugriff per SSH (SFTP) ermöglicht, und zwar per Key plus Passphrase, nicht per Username und Passwort.

    Und diese Sicherheit würde ich keinesfalls aufgeben wollen, schon gar nicht, wenn ich per Logfile beobachten kann, dass es völlig normal ist, dass ein Webserver nahezu unablässig mit FTP- und SSH-Zugriffsversuchen mittels Usernamen- und Passwortlisten bombardiert wird.

    Komfortable Automatismen sind nach wie vor kaum ohne Sicherheitseinbußen zu haben. 😥

  3. Perun

    Hallo Stefan,

    Tschuldigung, dass mein Link einen Scroll-Balken produziert. Ich empfehle zur Abhilfe das Plugin "Chunk Urls for WordPress".

    deswegen sind Scrollbalken ja auch da. Sie sind nicht böse sondern hilfreich und aus diesem Grund habe ich das horizontale scrollen innerhalb des Kommentarbereiches explizit erlaubt, wenn der Inhalt zu breit ist.

  4. Frank

    Grundsätzlich begrüße ich die Möglichkeit solcher Updates. Aber mir gefällt nicht, dass ich meinen FTP-Zugang eingeben muss und dieser, wie Martin sagt, durchs Netz übertragen wird. Für mich überwiegt das Sicherheitsrisiko die Bequemlichkeit, so dass ich auf automatische Updates verzichten werde. Bei anderer Software wie beispielsweise SimplesMachines, das automatische Updates schon lange kennt, ist kein FTP nötig – kein gutes Zeichen für die WP-Entwickler…

  5. Matt

    Bei mir funktioniert das Auto-Update nicht. WP kann nicht in den Ordner schreiben und das entpacken. Von daher mache ich es manuell – oder gar nicht 😀

  6. Christopher

    Nach diesem Beitrag war ich mal so neugierig und habe das Auto-Update probiert – und es hat für alle Plugins tadellos funktioniert (hoste ebenfalls bei all-inkl). Eine super Funktion, da das manuelle Updaten immer Zeit und manchmal auch Nerven gekostet hat.

    @Frank: wenn man die SSL verschlüsselt, sollte das Risiko doch zumindest minimiert sein?

  7. Pingback: WP-Plugin Central LuNes Blog

  8. Pingback: Wenn ein Plugin automatisch aktualisiert wird, warum dann nicht wordpress selber

  9. Pingback: Wordpress Autoupdate | The Oakyard Connection

Die Kommentare in diesem Beitrag sind geschlossen.