Schock macht sich breit – was ist passiert? Kims Blog gehackt? Fremde Mächte haben sich an diesem Blog vergriffen?
Ich kann euch beruhigen. Es ist alles in bester Ordnung – nix ist passiert.
Warum ist nix passiert? Ganz einfach: Weil ich mich bemühe, mein Blog technisch auf dem aktuellsten Stand zu halten, das bedeutet für mich auch, dass (so lästig sie auch manchmal sein mögen) ich Plugins und die WordPress-Basis aktualisiere, sobald dies von Nöten scheint.
Gestern gab es die Version 2.8.4 von WordPress – ich berichtete bereits über die erfolgreichen Updateaktionen auf meinen Blogs – was in der Blogosphäre ganz schöne Wellen trieb. Auf der einen Seite kann man es ja verstehen, dass es ein wenig lästig sein kann, innerhalb von 14 Tagen gleich zwei Mal das Update-Prozedere in einem Blog durchlaufen zu müssen. Aber niemand zwingt einen dazu, die Updates durchzuführen. Wer das Risiko liebt, ein unsicheres System zu betreiben, von dem die Sicherheitslücken klar und deutlich auf der Hand liegen, weil sie im Internet veröffentlicht wurden, der soll ruhig sein Blog so weiterbetreiben.
Aus sicherheitstechnischer Sicht jedoch kann man hier nur raten, die Updates durchzuführen – oder zumindest die Korrekturen, die im Code vorgenommen worden, an den entsprechenden Stellen nachzuführen.
Wie bereits in anderen Blogs erwähnt wurde, haben viele ja auch immer wieder Angst, die Updates einzuspielen, weil immer wieder über Probleme bei den Updates berichtet wird. Dabei kann man diesen Problemen im Grunde recht einfach aus dem Weg oder der Problemquelle zumindest recht einfach auf den Grund gehen:
- Bevor man ein Update macht, sichert man die Datenbank und den aktuellen Dateibestand.
- Als aller erstes sollte man dringend alle Plugins aktualisieren!
- Vor dem WordPress-Update deaktiviert man alle Plugins, die in Verwendung sind.
- Nach dem Update aktiviert man die Plugins wieder Schritt für Schritt (mutige können hier natürlich auf einen Schlag aktivieren und hoffen, dass es problemlos läuft), um abzutesten, dass noch alles wie gewohnt läuft. Gibt es hier Probleme, kann man durch selektives deaktivieren der Plugins herausfinden, welches Plugin die Probleme verursacht.
- Wenn alles problemlos läuft, kann man sicherheitshalber nochmals die Datenbank und den aktuellen Dateibestand sichern (optional… ist nicht wirklich notwendig, aber beruhigt das Gewissen, dass man eine Kopie vom aktuellen Stand hat).
Wenn man diese Schritte für sich beherzigt, sollten eigentlich alle Probleme, die auftreten können bei einem Update, zu lösen sein, denn die WordPress-Dateibasis selbst ist in aller Regel schon ohne Probleme zu aktualisieren.
Also lasst doch bitte den Kopf nicht hängen und fahrt eure Emotionen ein wenig herunter. Seid froh, dass das WordPress-Team euch in solchen Situationen nicht hängen lässt und euch so schnell mit Updates und Fixes versorgt. Ohne Updates hättet ihr vielleicht viel schlimmere Probleme!
Tags:gehackt, lästig, Update, WordPress
Wie schätzt du das Risiko ein jetzt noch auf WP 2.7.x unterwegs zu sein?
Andy´s last blog ..Optimale Vorbereitung für den Ötztaler Radmarathon, Training im Schwarzwald
13. Aug. 2009 um 13:12 Uhr | #
@Andy:
Was den 2.7er-Zweig von WordPress angeht, traue ich mich keinerlei Aussagen zu treffen, da ich nicht weiß, inwiefern hier Sicherheitslücken noch versorgt werden…
Ich weiß, dass auf verschiedenen Systemen noch 2.7er (und älter) laufen… wer hier die Sicherheitslücken, die in den aktuellen Versionen gemeldet werden, überprüft und ggf. eigenständig fixt, der ist auf jeden Fall auf der sicheren Seite.
13. Aug. 2009 um 13:30 Uhr | #
Wo du das hier gerade so schön schreibst, ich muss mir unbedingt in den nächsten Tagen mal wieder ein Update meiner Datenbanken ziehen. Das ist das wichtigste, Bilder kann man notfalls ersetzen
Lieben Gruß
Sven
Sven´s last blog ..Definitionsbereich verschiedener Funktionen
13. Aug. 2009 um 14:07 Uhr | #
2.7 halte ich für ein minderes risiko, aber sicherlich ein größeres als mit der aktuellen 2.8.x(4).. das bzw. die updates sind doch in der regel nicht so umfassend und schnell geschehen, außer es gibt theme änderungen oder sachen in der wp-config / wp settings, welche einige doch manuell angepasst haben.. ich versteh den streß nicht, den viele aufgrund von einem wp update haben sollen.
Oben hier im Artikel liest man ja gut wie man vorgehen sollte, wenn mans wirklich safe machen möchte
lg
Chris
Lazy´s last blog ..WordPressQI – Projekt vereinfacht WordPress Installation
13. Aug. 2009 um 14:55 Uhr | #
@Lazy:
Hallo auch hier, Chris
Eben… ich meine, ist klar, dass ich nicht jedes Update mit dieser Penibilität abfahre *grins*, warum sollte ich auch, schließlich fahre ich persönlich nachts per Cron Datensicherungen der Datenbank und des Filebase, also kann ich im Grunde drauflos hauen, wie ein Wilder – wird schon schief gehen
Die Anleitung war aber, wie du schon erkannt hast, unter dem Blickwinkel verfasst, dass wirklich nix passieren kann… wer sich daran hält, wird immer wieder auf ein funktionierendes System kommen. Es sei denn, der Server brennt ab.
13. Aug. 2009 um 14:59 Uhr | #
seh ich genauso und es gibt nichts besseres als ein backup per cron
naja wenn ich alles so penibel machen würd.. oh gott.. dann müsste ich bei > 12 wp blogs wohl einen tag damit verbringen..deshalb bin ich vor einer weile schon dazu übergegangen, täglich die paar änderungen des wordpress trunks zu installieren / hochzuladen, vereinfacht dann einiges und man weiß genau, was passiert ist oder was geändert wurde im detail – natürlich weiß man dann auch, welches file einen fehler verursachen könnte
server brennt ab.. ja.. bei meinem war 2 wochen lang der lüfter (cpu) im eimer und keiner im servercenter hat es bemerkt.. ich wunderte mich immer nur über die aufhänger bei etwas CPU Last.. backups gingen dann auch nicht mehr.. naja.. das alltägliche grauen
lg
chris
Lazy´s last blog ..WordPressQI – Projekt vereinfacht WordPress Installation
13. Aug. 2009 um 15:03 Uhr | #
@Lazy: Ich glaub ich lass das bei meinen Blogs dich machen
Andy´s last blog ..Optimale Vorbereitung für den Ötztaler Radmarathon, Training im Schwarzwald
13. Aug. 2009 um 15:06 Uhr | #
@Andy
lach ahja? sicher? -g- das wär 2.7 auf letzte final ? na.. das kannst du schon
wenn es ernst gemeint ist.. wäre es auch kein problem, nur fremde irgendwo drauf lassen ist immer so ne sache 
Lazy´s last blog ..WordPressQI – Projekt vereinfacht WordPress Installation
13. Aug. 2009 um 16:20 Uhr | #
@Lazy: Da reden wir dann nochmals darüber
Aber dein Angbot hab ich notiert …
Andy´s last blog ..Gefahren im Verkehr erkennen und vorbeugen
13. Aug. 2009 um 16:29 Uhr | #
@Andy
geht klar, gerne.. ein groooßes problem sollte es ja, so hoff ich, eigentlich nicht darstellen
Lazy´s last blog ..Vanessa Hudgens im Interview bei Moviefone
13. Aug. 2009 um 16:40 Uhr | #
Es gibt gute WordPress Plugins, die das Backup der Datenbank ganz einfach und automatisch im Hintergrund machen. Auf Wunsch wird das noch gepackt und sogar per Mail versendet. Ich habe z.B. seit über 2 Jahren “WordPress Database Backup” laufen.
Die Filesysteme sollte man natürlich nicht vergessen, aber das Herzstück ist sicher das Wichtigste. Schliesslich schlummern darin alle Artikel und Kommentare.
Wer mit älteren und ungepatchten Versionen (sei es nun von WordPress oder XP oder Joomla oder wasauchimmer sein) unterwegs ist, begibt sich in Gefahr. Es muss jeder für sich abschätzen, welches Risiko er bereit ist einzugehen.
(Selbiges gilt übrigens auch für das gerne vergessene Backup des Heimrechners, gell
)
Dirk´s last blog ..C8H10N4O2
13. Aug. 2009 um 16:46 Uhr | #
Hallo zusammen,
auch ich benutze das Plugin “WordPress Database Backup” erfolgreich. Durch den Automatismus muss man sich keine Gedanke machen, “Wann habe ich das letzte Mal die Datenbank gesichert?”. Das macht vieles einfacher! Und auch dem Update sehe gelassen entgegen, dass einzige was ich noch zusätzlich machen, gegenüber Kim, ich lade alles noch auf mein XAMPP System, um eventuelle Fehler direkt beheben zu können.
Das mache ich aber nur weil ich ein alter Schisser bin!
Gruß
Matthias
Mac_BetH´s last blog ..Userfreundlichkeit erhöhen durch sitemap plugin als clean archiv reloaded
13. Aug. 2009 um 19:02 Uhr | #
Ich habe für spezielle Fälle und im Grunde für jedes Update auch meine “Sandbox”, in der ich teste, nur befindet die sich eben auch auf dem Produktivserver – hat den Vorteil, dass ich Updates direkt in der identischen Umgebung testen kann, wie das Produktivsystem. Hat auch keinerlei Einfluss aufeinander, weil zwar gleicher Server aber dennoch voneinander getrennt
13. Aug. 2009 um 19:17 Uhr | #
Das stimmt aber so nicht ganz. Denn ich habe bei allen drei Updates die jetzt bei mir in die Hose gingen genau deine Punkte (bis auf Punkt 5) angearbeitet, und alle drei Updates gingen voll in die Hose. Komischerweise habe ich nie Probleme gehabt mit Updates, nur seit der 2.8 klappt einfach nichts mehr.
Sogar mein jetziges Blog, was ich ja komplett neu installierte, UND OHNE INSTALLIERTE PLUGINS updatete, ist nicht Bugfrei.
Rio´s last blog ..Doppelbambi für 150 kg leichter
13. Aug. 2009 um 21:24 Uhr | #
Hi Rio,
darf ich fragen, welche bugs du hast? vielleicht kann man ja helfen ?
lg
Chris
Lazy´s last blog ..Hayden Panettiere: Paparazzi ruinieren meine Beziehungen!
13. Aug. 2009 um 21:31 Uhr | #
Als ich gestern den Tweet gesehen habe dachte ich nur warum sowas gerade Kim passiert wo er doch ein Spezialist für WordPress ist. Ein Besuch hier im Artikel gab aber glücklicherweise Entwarnung.
Neue Updates in kurzer Zeit, ja das ist schon eine Herausforderung, aber es nervt mich nicht. Ich bin froh das ein kostenloses Produkt so gut supportet wird. Da kann so manches kostenpflichtige Script nicht mithalten. Also an dieser Stelle dickes Lob an die WP Entwickler von mir.
Gezittert wird aber trotzdem wenn ein Update ansteht. Ich habe bei den letzten Updates auch immer die vielen Klagelieder von Bloggern mitbekommen die sich irgendwas zerschossen haben. Wenn sowas passiert ist das ärgerlich, selbst wenn man Backups hat. Bislang ist bei mir alle glatt gegangen, toi toi toi. Aber mit 18-30 aktiven Plugins habe ich bei jedem Update das Gefühl russisches Roulette zu spielen. Die Möglichkeit einer Sandbox hätte ich auch, evtl. nutze ich das mal in Zukunft.
Piet´s last blog ..Lob mich! Ist Anerkennung für Blogger ein Risiko?
14. Aug. 2009 um 6:31 Uhr | #
@Rio:
Dann muss es doch am verwendeten Theme liegen, wenn es Probleme gibt, denke ich mal.
Vielleicht schauen wir uns das wirklich mal etwas genauer an, wo genau welche Probleme auftreten, Rio… ich bin mir sicher, auch dir kann geholfen werden!
14. Aug. 2009 um 8:04 Uhr | #
ich denke auch, man kann bugs, welche nicht im core bestehen, sicherlich auch fixen..
Lazy´s last blog ..England: Diskussion um Impfstoff-Gefahren nehmen zu
14. Aug. 2009 um 8:28 Uhr | #
@Lazy:
Kann man… “technisch ist alles machbar
”. Dazu gehört aber auch, dass man Schritt für Schritt versucht, herauszufinden, WO der Fehler passiert und was ihn verursacht.
14. Aug. 2009 um 8:30 Uhr | #
Moin Kim, war gestern nicht mehr on. Ne, kann nicht am Theme liegen, da das ja beim Update noch garnicht installiert war. Bin da ja echt auf Nummer sicher gegangen. Vielen Dank für dein Angebot, nehme ich gerne an. Nur im Moment is da etwas wenig die Zeit für da.
Die Bugs sind, dass das Autoupdate nicht mehr funktioniert. Also er nimmt die FTP Daten nicht an, trotzdem sie richtig eingegeben sind. Dann funktioniert im Adminbereich die Suchfunktion nicht richtig und dann war da noch was, da muss ich nochmal schauen.
Sind halt alles Sachen zum Glück, die für den Betrieb nicht unbedingt ausschlaggebend sind, daher hab ich da garnichts dran gemacht, weil ich damals echt die Nase voll hatte.
Allerdings werde ich auch beim Fixen von einem Update absehen. Reicht für dies Jahr. Werde die Sicherheitslücke lieber manuell fixen.
Rio´s last blog ..Doppelbambi für 150 kg leichter
14. Aug. 2009 um 8:31 Uhr | #
@Rio:
Ähm… was hast du denn da für eine WordPress-Variante? Bei mir muss man keine FTP-Daten im WordPress angeben – nirgens… das Update im Admin-Bereich zieht sich die Sachen doch per HTTP… zumindest bei mir.
Also wenn du da mal wieder etwas Zeit hast, dann schauen wir uns das mal an… gerne auch mit “akkustischem Rückkanal” via Telefon oder Skype oder dergleichen
14. Aug. 2009 um 8:35 Uhr | #
Oh sorry, falsch ausgedrückt. Also die automatischen Pluginupdates gehen nicht, da nimmt er auch die Daten nicht und beim Auto-Blogupdate bekomme ich ne Meldung, dass das Update nicht möglich ist.
Jau, so können wir das dann gern mal machen. Melde mich dann mal wenn ich wieder mehr Luft habe, und dann können wir mal schauen ob du auch Zeit hast. Denke am besten ists, wenn meine Tochter mal wieder bei Oma und Opa ist, dann habe ich da auch Ruhe bei.
Rio´s last blog ..Doppelbambi für 150 kg leichter
14. Aug. 2009 um 8:41 Uhr | #
is gebongt
14. Aug. 2009 um 8:43 Uhr | #
ich bin auch gern dabei, wenn ich helfen kann
Lazy´s last blog ..Schweizer Virologe: Schweinegrippe halb so wild
14. Aug. 2009 um 8:51 Uhr | #
@ Kim und Lazy: Dann dank ich schonmal fein
@ Lazy: Sorry, hatte deinen Kommentar von gestern Abend voll übersehen
Und nu muss ich abwaschen
Rio´s last blog ..Doppelbambi für 150 kg leichter
14. Aug. 2009 um 8:55 Uhr | #
@Rio
kein problem..abwaschen? oh gott, viel “Spass”
Lazy´s last blog ..Twitter brennt: Brooke Hogan lästert über Beyonce
14. Aug. 2009 um 9:19 Uhr | #
Den Aufwand halte ich ehrlich gesagt für dieses Update von 2.8.3 auf 2.8.4 vollkommen übertrieben. Es geht genau um eine Datei (wp-login.php), die ausgewechselt werden muß. Dazu noch die versions.php, damit auch die richtige Version angezeigt wird.
Crazy Girl´s last blog ..Ich bin eine Bambi Blogstöckchen Spielverderberin
14. Aug. 2009 um 13:37 Uhr | #