WordPress 4.7.2 – War da was, oder warum die Aufregung?

Vor 10 Tagen gab es mal wieder ein Update von WordPress. Es war die Version 4.7.2, die ausgeliefert wurde. Selbstverständlich hab ich sie installiert. Das Ganze war als Sicherheitsupdate deklariert. Es gab also keinen Grund, irgendwie zu zögern. Nachdem meine Backups regelmäßig in den Nachtstunden durchgeführt werden und ich die Funktionsfähigkeit von Zeit zu Zeit teste, habe ich das Update automatisiert installieren lassen. Aber seit ein paar Tagen gibt es übles Geschrei um dieses Update. Ich muss daher ein paar Takte dazu erzählen.

Erst jetzt wurde öffentlich, dass statt der 3 Sicherheitslücken noch eine weitere, als hoch kritisch eingestufte, Sicherheitslücke behoben wurde. Diese Lücke betrifft die seit der WordPress-Version 4.7.0 integrierte REST-API und somit sind nur die WordPress-Versionen 4.7.0 und 4.7.1 davon betroffen.

So steht es bei WordPress geschrieben. Unzählige Blogs mit WordPress haben keine automatische Aktualisierung aktiv. Und komischerweise legen diese Blogger auch oftmals keinen großen Wert darauf, ihre Installation aktuell zu halten. Wieso ist das so? Wie dem auch sei, ich habe oft genug darüber schwadroniert, ich lasse das einfach mal. Denn wer partout nicht aktualisieren will, dem ist nicht zu helfen. Reden wir über etwas anderes. Reden wir über diese ominöse REST-API. Was ist das?

Es ist schon wichtig, dass man weiß, wovon da erzählt wird. Schließlich haben die Entwickler von WordPress einen Programmierfehler fabriziert. Ja, auch denen kann das mal passieren, sie sind ja auch nur Menschen. Jedenfalls ist es durch dieses Programmierfehler möglich gewesen, Schadcode in die WordPress-Installation hinein zu tragen. Damit war es eben auch möglich, dass die Inhalte im Blog verändert werden. Wer auch immer mit WordPress zu tun hat, wird das sicherlich die Woche über mitbekommen haben.

Über die Sicherheitsexperten von Sucuri wurden die WordPress-Entwickler darauf aufmerksam gemacht, dass sie eine schlimme Sicherheitslücke haben. Das war am 20. Januar. Sucuri hatte da entsprechendes Verhalten an ihrer „Web Application Firewall“ festgestellt und diese Erkenntnisse WordPress mitgeteilt. Die Entwickler kontaktierten daraufhin andere Dienste – unter anderem CloudFlare. Die sollten Regeln in die Firewall einbauen, um die Nutzer zu schützen..

Ab dem 23. Januar arbeitete das WordPress Security Team eng mit WordPress-Hosts zusammen, die vertraulich mit Informationen zu der Sicherheitslücke kontaktiert wurden. Diese führten Sicherheitsmechanismen in Zusammenarbeit mit dem Security Team ein und überprüften auf mögliche Eindringlinge. Am 25. Januar konnte festgestellt werden, dass mit all den Maßnahmen kein Angriff festgestellt werden konnte. Und so entschloss man sich zum Ausrollen eines Updates, bevor die Sicherheitslücke bekannt gemacht wurde. Millionen von Webseiten wurden so geschützt.

Das liest sich alles wie ein ausgewachsener Krimi. Aber das ist schon alles sehr diffizil, was da festgestellt wurde. Die REST-API ist sozusagen eine Programmierschnittstelle, mit der man Webanwendungen bauen kann, die WordPress als Datenquelle hernehmen. Über die Sicherheitslücke in eben jener REST-API wäre es sehr einfach möglich gewesen, Ransomware einzuschleusen, mit der man dann Nutzer der Webseite, Betreiber der Webseite oder unbeteiligte Internet-Nutzer und wen auch immer hätte bedrohen und erpressen können.

Die WordPress-Entwickler und das Sicherheitsteam haben die Informationen zu diesem Update bis vor ein paar Tagen zurück gehalten, weil auch sie wissen, dass nicht alle Nutzer von WordPress das automatische Update aktiv haben. Außerdem ist es so, dass das automatische Update etappenweise abläuft und nicht jeder gleichzeitig dieses Update erhält. Das Alles sorgte dafür, dass zwar am 26. Januar das Update herausgebracht wurde, aber die Informationen dazu erst am 01. Februar verkündet wurden. Im Nachhinein ist das verständlich, oder?

Die REST-API wurde mit WordPress 4.4 eingeführt und die Integration in den WordPress-Kern mit WordPress 4.7.0 abgeschlossen. Die Integration hatte die Vorteile, dass neue Funktionen eingeführt werden können, dass die API mit JavaScript arbeitet, die Leistungsfähigkeit von WordPress gesteigert und die Entwicklung von neuen Anwendungen für Desktop und Mobilgeräte vorangetrieben wurde. Nun hatte man diese Lücke, was ja schon den JetPack Reader betreffen könnte, den Millionen von Bloggern nutzen. Hier musste also gehandelt werden.

Und das ist es, wieso ich das ehrlich nicht als Spaß oder als lustigen Zeitvertreib ansehe, WordPress aktuell zu halten. Ich kenne nach wie vor Blogger, die es gar nicht einsehen, ihren Blog aktuell zu halten oder wenigstens die automatischen Updates aktiv zu haben. Das geht nicht, das kann man nicht bringen. Und wie wir sehen, werden auch oftmals richtig ernste Probleme behoben. WordPress hat seine Lücken und Schwächen, es ist aber immernoch sicherer als alle anderen Content Management Systeme. Und das soll so bleiben, weshalb die Update nötig sind.

3 Replies to “WordPress 4.7.2 – War da was, oder warum die Aufregung?”

  1. Wow, ich wusste das alles auch nicht. Und, wenn ich nun als Administrator in meiner Seite suche, wo man die Updates einstellt, finde ich es nicht. Im Netz finde ich nur solche komischen Befehle, wie define(‚WP_AUTO_UPDATE_CORE‘, true);
    die mir partout nichts sagen, weil ich gar nicht weiß, wo man sowas hin macht (wo kopiert man das ein, damit was passiert? Ich bin echte Befehle nicht gewohnt, mache alles über Fenster)! Gibt es denn kein Schalter in einem der Untermenüs von WordPress, wo ich das einstellen kann?
    Herzlich Giorgio

    1. Hallo Giorgio,

      der Befehle macht genau das was da steht. Wenn wir den Befehl einfach mal „auflösen“ steht da: WP Auto Update Core True. Sprich: WordPress Auto Updates Ja. :)

      Diesen Befehl packst du einfach in die wp-config.php deines Hauptverzeichnisses. So ungefähr in Zeile 60. Das sorgt dafür, dass deinem WordPress gesagt wird, er soll zukünftig die Updates automatisch machen.

      MFG
      Pelix

    2. Hallo Giorgio, das stimmt schon, die Zeile ist richtig. Ich musste die bei mir auch erst einpflegen, weil mein Blog so alt ist, dass das nie in der Konfiguration gelandet ist. Also muss das entsprechend in die „wp-config.php“ eingetragen sein.
      Wahrscheinlicher ist allerdings, dass ein Sicherheitsplugin dir in die Suppe spuckt. Schau mal in diesen Artikel.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert