Heute ist ein WordPress Update erschienen, dass einige Sicherheitslücken stopft und auch schon per Auto-Update ausrollt.
This security and maintenance release features 14 bug fixes in addition to 10 security fixes. Because this is a security release, it is recommended that you update your sites immediately. All versions since WordPress 3.7 have also been updated.
Eine Reaktion zu “WordPress 5.5.2 Security Update”
Na, heute war aber ordentlich was los in WordPress Updatehausen.
Kurz nachdem gestern das WP 5.5.2 Security Update erschien, wurden einige der von mir verwalteten Installationen plötzlich erneut aktualisiert, aber auf eine Alpha Version von WP 5.5.3.
Irgendwas haben die da seitens WordPress verbockt, weil sich unbemerkt ein Fehler in die frisch ausgerollte WP 5.5.2 eingeschlichen hatte, der nur ganz neue Installationen betrifft. Daher musste die WP 5.5.3 nachgeschoben werden, hat aber zwischenzeitlich dazu geführt, dass einige Sites auf die Alphaversion aktualisiert wurden.
Das ganze lässt sich im Ticket nachlesen, es gibt aber auch einige Informationen im WordPress-Blog dazu.
Naja und schliesslich wurde dann gestern Nacht das 'richtige' WP 5.5.3 hinterher geschickt.
So bequem das mit den Auto-Updates auch ist: Hier zeigt sich mal, welchen Vertrauensvorschuss man den WP Entwicklern gibt und wie schnell da auch mal was richtig derb in die Hose gehen kann, auch wenn es hier zum Glück harmlos ablief (ausser den eventuell nicht verwendeten default twenty-* Themes und dem Akskimet Plugin ist nichts mitinstalliert worden durch die Alphaversion).
Mein Alptraum ist ja, dass es jemand mal gelingt, eine gehackte Version dem Updatemechanismus unterzuschieben.
So gesehen ist ein Deaktivieren des Autoupdate sicher keine so schlechte Idee.
Nachtrag:
Andererseits, wie nun mehrfach auch in der Twitter-Reaktion auf den Beitrag hier hingewiesen wurde: Für die meisten
Dort fiel auch der Hinweis auf eine Initiative, die daran arbeitet, ein sicheres Auto-Update Framework zu definieren:theupdateframework.io
Nachtrag Nachtrag:
Der kurzzeitige und unfreiwillige Ausflug in die Alpha-Version hat doch Spuren hinterlassen: ALLE twenty-* Themes, von -Ten bis -Twenty, sind installiert worden und müssen, falls nicht benötigt, von Hand vom Server gelöscht werden.
Kommentare sind geschlossen.