(Bild: CC0 Public Domain )
WordPress hat gestern das Release 4.7.4 ausgerollt. Es handelt sich um ein Wartungsrelease. Die Rede ist von 47 behobenen Fehlern. Der eklatanteste dürfte dabei der Fix eines Problems im Zusammenspiel Chrome-Browser – Editor sein.
Wer die automatische Update-Routine in WordPress nicht deaktiviert hat, wird bereits Mails vom System erhalten haben, dass ein Update erfolgt ist. Alles anderen müssten ihre WordPress-Installation nun selbst kurz aktualisieren. Wie immer empfehlen wir, ein Backup herzustellen, und zwar von der Datenbank (PHPMyAdmin reicht dafür meistens) als auch von den WordPress-Dateien und den Mediainhalten (unter dem wp-contents-Verzeichnis). Dies ist mit SFTP oder auch SSH möglich (mit WinSCP kann man recht bequem ein gzip-Datei oder einen Tarball herstellen, sofern das gewählte Hostingpaket SSH unterstützt). Zudem gibt es Plugins, die den Update-Job übernehmen können. Das ist zwar bequemer einerseits, andererseits erhöht es wieder die Anzahl zu beobachtender und zu pflegender Plugins. Schließlich vergeht kaum ein Tag ohne ein Plugin- oder zumindest Übersetzungsupdate.
Für Mai oder Juni 2017 wird ein +0.1-Release erwartet, wie WordPress die größeren Updates nennt, die die Versionsnummer in der zweiten Stelle, also rechts vom ersten Punkt um +1 erhöhen.
Es fällt auf, dass mit jedem Update alte, nicht mehr verwendete php-Dateien einer Vorversion von WordPress „stehenbleiben“. Diese werden nicht gelöscht. Die Regel ist offenbar, dass Dateien, die verändert werden durch ein Update überschrieben werden, gar nicht mehr verwendete bleiben jedoch unverändert. Man könnte meinen, dies sei nicht weiter schlimm. Aber angesichts der vielen Angriffsversuche auf WordPress-Installationen wäre es gut, eine Übersicht zu haben, welche Dateien vorhanden sind bzw. vorhanden sein müssen, so dass eingeschleuste und potentiell schadhafte Dateien besser auffallen. Einige Sicherheitstools verwenden solche Vergleiche.
Bei dieser Gelegenheit möchten wir nochmal auf unseren Virenscanner und seine Ergebnismeldungen im goneo-Kundencenter hinweisen. Der Menüpunkt dazu befindet sich nun unter „Webserver“ > „Virus-Scan“:
Unter „Auswertung“ sollte „kein Befund“ stehen. Ist das nicht der Fall, sollten Sie die konkreten Dateien einzeln inspizieren. Die Wahrscheinlichkeit, dass es sich bei diesen Dateien im Dateien mit Schadwirkung handelt, ist groß. Allerdings kann es zu falsch-positiven Befunden kommen. Die angezeigte Datei muss nicht zwangsläufig Schadwirkung haben. Die Klassifizierung erfolgt u.a. anhand von Kriterien, die schädliche Dateien in der Regel aufweisen. Es bleibt aber ein Risiko der Fehlklassifizierung. Umgekehrt kann es sich auch um einen falsch-negativen Befund handeln: Möglicherweise hat unser Virenscanner eine Schaddatei nicht als solche erkannt. Man muss von einem Risiko von etwa zehn Prozent ausgehen.