Das WordPress-Sicherheitsteam hat gestern über seinen Entschluss informiert, ab dem 1. Dezember 2022 keine Sicherheitsupdates mehr für die WordPress-Versionen 3.7 bis 4.0 bereitzustellen.
Offiziell bietet WordPress nur Support für die neueste Version der Software. Das Sicherheitsteam hat in der Vergangenheit Sicherheitsupdates aus Kulanz für Websites mit älteren Versionen zurück portiert, in der Erwartung, dass die Websites automatisch aktualisiert werden. Bis jetzt haben diese Backports alle Versionen von WordPress enthalten, die automatische Updates unterstützen. Die Versionen WordPress 3.7 – 4.0 betragen heute weniger als 1 % der Gesamtinstallationen.
Hintergrund
Websites, auf denen WordPress 3.7 – 4.0 ausgeführt wird, machen einen sehr geringen Prozentsatz aller WordPress-Installationen aus. Im Gegenzug nimmt das Zurückportieren von Sicherheitsupdates auf ältere WordPress-Versionen viel Zeit in Anspruch; dieser Effekt verstärkt sich mit jeder neuen veröffentlichten Hauptversion.
Dadurch verbringt das Sicherheitsteam die meiste Zeit damit, Backports für die überwiegende Minderheit der WordPress-Installationen vorzubereiten. Indem die Unterstützung für diese älteren Versionen eingestellt wird, werden die neueren Versionen von WordPress sicherer, da mehr Zeit auf ihre Bedürfnisse konzentriert werden kann. Die Entscheidung, für welche Versionen die Unterstützung eingestellt werden sollte, basierte auf dem Prozentsatz der Websites, die auf der Statistikseite gemeldet wurden.
Ablauf
Eine veraltete Version von WordPress zeigt im Dashboard einen Warnhinweis an, der die Admins darüber informiert, dass ein Update verfügbar ist. In den letzten Updates für diese WordPress-Versionen, in diesem Fall die Versionen 4.0.* und älter, werden diese Hinweise deutlicher hervorgehoben und informieren Admins darüber, dass die WordPress-Version keine Sicherheitsupdates mehr erhält.
