Seit WordPress 2.5 wird man nicht nur, wie in der Vorgängerversion, benachrichtigt, dass es für ein Plugin ein Update gibt, sondern es wird die Möglichkeit angeboten das Plugin über das Admin-Menu zu aktualisieren. in beiden Fällen – Benachrichtigung und das Update – ist es notwendig, dass das Plugin auf der offiziellen Plattform gehostet wird.
Jetzt hat man drei Möglichkeiten: man ignoriert den Hinweis, man aktualisiert manuell oder man ruft den Link “aktualisiere automatisch” auf:
In die entsprechenden Felder gibt man dann die jeweiligen Infos ein und wählt aus ob das Update durch SSL gesichert wird oder nicht. Zur Info: die Hosting-Pakete von all-inkl.com unterstützen FTP über SSL (explizite Verschlüsselung). Wenn man das ganze dann abschickt, kümmert sich WordPress um den Rest. Ist das Plugin zu dem Zeitpunkt aktiv, dann deaktiviert WP das Plugin und aktiviert es auch nach dem Update. Sehr komfortabel.
Wie schaut es mit der Sicherheit aus?
Das ist eine wichtige Frage. Sicherlich, die Funktion ist wirklich komfortabel, aber wie schaut es hier mit der Sicherheit aus (mit und ohne SSL)? Da ich kein Server-Admin und auch kein ausgewiesener Sicherheits-Experte bin, leite ich die Frage an die entsprechenden Personen? 🙂
Wir arbeiten seit 20 Jahren mit WordPress und bieten diverse Dienstleistungen rund um das System an. Kontaktiere uns für weitere Informationen oder für ein Angebot.
Richtig interessant ist, das der Spass bei DomainFactory sogar ohne FTP Daten funktioniert.
Nun, bei purem FTP (also ohne Verschlüsselung) hast du immer das Problem, dass dein Passwort im Klartext durchs Netz übertragen wird. Insofern sollte man dieses Protokoll sowieso nicht verwenden.
Ein anderer Punkt ist, dass die Plugins nicht signiert sind (z.B. mit GPG). Wenn es einem Angreifer nun z.B. gelingt, den DNS-Eintrag für wordpress.org zu manipulieren und auf seinen eigenen Server umzuleiten, könnte ein schädliches Plugin installiert werden. Das Problem betrifft aber nicht direkt das automatische Update.
Ich habe aber ehrlich gesagt noch nicht verstanden, warum WP für die Plugin-Installation einen FTP-Zugang haben möchte. So wie ich es sehe, könnte sich WP doch das Plugin per HTTP von wordpress.org herunterladen, in das Plugin-Verzeichnis entpacken und gut ist. Aber vielleicht kann mich hier jemand erhellen.
Ich halte gar nichts von dieser Möglichkeit, müsste auch, wenn ich sie nutzen wollte, erheblich Sicherheit aufgeben. Auf dem Server, auf dem ich meine Blogs betreibe, habe ich lediglich den Zugriff per SSH (SFTP) ermöglicht, und zwar per Key plus Passphrase, nicht per Username und Passwort.
Und diese Sicherheit würde ich keinesfalls aufgeben wollen, schon gar nicht, wenn ich per Logfile beobachten kann, dass es völlig normal ist, dass ein Webserver nahezu unablässig mit FTP- und SSH-Zugriffsversuchen mittels Usernamen- und Passwortlisten bombardiert wird.
Komfortable Automatismen sind nach wie vor kaum ohne Sicherheitseinbußen zu haben. 😥
Ich habe mir durch eine fehlerhafte Update-Information und das automatische Update das Plugin WP-PostViews zerschossen:
Vorsicht vor automatischem Plugin-Update
Tschuldigung, dass mein Link einen Scroll-Balken produziert. Ich empfehle zur Abhilfe das Plugin “Chunk Urls for WordPress”.
Hallo Stefan,
deswegen sind Scrollbalken ja auch da. Sie sind nicht böse sondern hilfreich und aus diesem Grund habe ich das horizontale scrollen innerhalb des Kommentarbereiches explizit erlaubt, wenn der Inhalt zu breit ist.
Grundsätzlich begrüße ich die Möglichkeit solcher Updates. Aber mir gefällt nicht, dass ich meinen FTP-Zugang eingeben muss und dieser, wie Martin sagt, durchs Netz übertragen wird. Für mich überwiegt das Sicherheitsrisiko die Bequemlichkeit, so dass ich auf automatische Updates verzichten werde. Bei anderer Software wie beispielsweise SimplesMachines, das automatische Updates schon lange kennt, ist kein FTP nötig – kein gutes Zeichen für die WP-Entwickler…
Bei mir funktioniert das Auto-Update nicht. WP kann nicht in den Ordner schreiben und das entpacken. Von daher mache ich es manuell – oder gar nicht 😀
Nach diesem Beitrag war ich mal so neugierig und habe das Auto-Update probiert – und es hat für alle Plugins tadellos funktioniert (hoste ebenfalls bei all-inkl). Eine super Funktion, da das manuelle Updaten immer Zeit und manchmal auch Nerven gekostet hat.
@Frank: wenn man die SSL verschlüsselt, sollte das Risiko doch zumindest minimiert sein?
[…] Ich habe gerade die Diskussion zu Fragen der Sicherheit in Verbindung mit diesem Plugin im perun-Blog gelesen udn möchte das nicht vorenthalten. […]
[…] https://www.perun.net/2008/04/18/wordpress-plugins-automatisch-aktualisieren/ und […]
[…] getestet werden) eine AutoUpdate-Funktion für die WordPress-Installation (als Plugin) sowie eine automatische Updatefunktion für WordPress-Plugins (als natives Feature in der aktuellen WordPress-Version). Das ermöglicht dem WordPress-Benutzer, […]