Zum Inhalt springen

WordPress Autoupdate

Heute hatte ich folgende E-Mail in meiner Inbox:

Hallo! 

Deine Website unter https://blog.brockha.us wurde automatisch auf WordPress 6.0 aktualisiert.

Es sind keine weiteren Aktionen deinerseits notwendig. Um mehr über Version 6.0 zu erfahren, schau dir die Seite „Über WordPress“ an.

Wenn du irgendwelche Fehler feststellst oder Unterstützung benötigst, steht dir das WordPress.org-Supportforum mit seinen freiwilligen Helfern zur Verfügung.
https://de.wordpress.org/support/forums/

Es stehen auch Aktualisierungen für einige deiner Plugins oder Themes zur Verfügung. Aktualisiere sie jetzt.

Das WordPress-Team

Uha.. Das ist natürlich schon ein wenig spooky.. Will man, dass ein selbstgehostetes Blog von sich aus einfach Änderungen auf seinem Server vornimmt? Stellen wir uns vor, dass irgendein Maintainer „durchdreht“ oder gehackt wird und dadurch dann ein Update geschickt wird, das als Update ein „drop database“ ausführt?

Interessanter Weise kann man das Autoupdate offenbar nur limitieren, also einstellen, dass nur Minor Updates eingespielt werden. Ein automatischer Wechsel von 5.9 auf 6.0 wie oben wäre damit unterbunden. Aber ganz ausschalten kann man das automatische Update mit Bordmitteln offenbar nicht.

Das hinterlässt bei mir echt ein mulmiges Gefühl. Auch das Wissen darum, dass ein „bösartiges WordPress“ natürlich auch einfach diese Einstellungen ignorieren und trotzdem alles löschen könnte. Hier sind also (sowieso immer wichtige) Backups durchaus angebracht.

Update: Robert wies mich gerade darauf hin, dass man das Autoupdate doch komplett abschalten kann. Das geht dann aber nicht über die Oberfläche, sondern nur direkt in der wp-config.php Datei. Einfach folgenden Eintrag hinzufügen und das Autoupdate soll komplett ausgeschaltet sein:

// ** Disable ALL automatic updates ** //
define( 'AUTOMATIC_UPDATER_DISABLED', true );

2 Kommentare

  1. Ja. Es ist zweischneidig. Einerseits macht es ein einfaches updaten bequem und Bugfixes landen schnell im eigenen System.
    Andererseits muss ich hoffen, dass Automattic nichts falsch macht.

    Ein Kompromiss wäre, Updates per Hand anstarten zu können. Dann kann ich mal abwarten, was die Community zum Update sagt und dann erst klicken.

    • Ja, Updates per Hand starten ist genau das, was ich suchte. Das geht dann ja jetzt mit der Einstellung in wp-config.
      Dadurch passiert nichts mehr automatisch, aber neue Updates werden einem weiterhin in der Admin Konsole notifiziert. So kann man erst mal schauen, was da genau warum erneuert werden soll und dann manuell updaten.

Schreibe einen Kommentar zu Robert Lender Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.