Es dürfte sich mittlerweile herumgesprochen haben, dass es in diversen Jetpack-Version eine Sicherheitslücke im Embed-Shortcode gibt. Die aktuelle Version 7.9.1 behebt diese Lücke. So weit, so gut
Allerdings ist mir aufgefallen, dass bei einigen neuen Wartungskunden, die in letzter Zeit hinzukamen, die Updates für Jetpack nicht angeboten werden. Ich habe mehrere dieser Installationen verglichen: Die Jetpack-Versionen sind unterschiedlich, aber auf allen läuft die gleiche WordPress-Version.
Es scheint wohl so, dass für den 4.9er Zweig von WordPress keine Jetpack-Updates im Backend angeboten werden, wie man am folgenden Screenshot gut erkennen kann:
Obwohl es sich bei Jetpack 6.9 um eine ältere Version handelt, wird kein Update angeboten oder angezeigt. Weder auf die aktuellste Version 7.9.1 noch auf das Sicherheitsupdate 6.9.1.
Um das Problem zu lösen, ist es notwendig manuell zu steuern. Da die aktuelle Version 7.9.1 von Jetpack aber als nicht kompatibel mit WordPress 4.9.12 klassifiziert wird, ist es nicht sinnvoll diese Version manuell einzuspielen. Am besten schaust du, welche Hauptversion du hast und schaust auf der Jetpack-Seite, ob es dafür einen Sicherheitsupdate gibt.
Für die 6.9er-Version aus dem oberen Beispiel gibt es auf GitHub die Version 6.9.1, die die Sicherheitslücke schließt. Du musst einfach die folgende URL anpassen:
https://github.com/Automattic/jetpack/releases/tag/6.9.1
Wenn du zum Beispiel für deine 7.1.1-Version die aktualisierte Fassung brauchst, dann musst du aus 6.9.1 in der oberen URL entsprechend 7.1.2 machen. Willst du von 7.0.1 auf 7.0.2 aktualisieren, dann änderst du die Zahl in der URL von 6.9.1 auf 7.0.2 um und so weiter und so fort.
Auf der passenden GitHub-Seite lädst du das zip-Paket herunter und überschreibst via FTP damit die alte Jetpack-Version. Das war’s dann. Falls du Fragen hast einfach einen Kommentar hinterlassen.
Eigentlich dürfte so etwas nicht der Fall sein. Es müsste auf jeden Fall angezeigt werden, dass es zwar für ein Plugin Updates gibt, aber dass man diese nicht einspielen kann, weil die WordPress-Version nicht kompatibel ist.
So könnte man dann verhindern, dass sich unnötigerweise Sicherheitslücken anhäufen und die Website gefährden. WordPress ist das populärste CMS und daher ein lohnenswertes Ziel für Angriffe.
Image(s) licensed by Ingram Image/adpic.
Wir arbeiten seit 20 Jahren mit WordPress und bieten diverse Dienstleistungen rund um das System an. Kontaktiere uns für weitere Informationen oder für ein Angebot.
