Support » Allgemeine Fragen » Plugin wurde ungefragt aktualisiert

  • Gelöst dajanas

    (@dajanas)


    Hi,

    ich habe heute überraschenderweise eine E-Mail von meiner WordPress-Installation erhalten, dass ein Plugin (Ninja Forms) von Version 3.6.10 auf 3.6.11 automatisch aktualisiert wurde. Ich betreibe meine Webseite seit vielen Jahren und führe Aktualisierungen grundsätzlich immer manuell aus, weswegen in der Plugin-Übersicht auch nirgendwo die „Automatische Aktualisierung“ aktiviert ist. Ich habe gerade auch überprüft: Bei Ninja Forms ist die automatische Aktivierung ebenfalls deaktiviert.

    Die Mail:

    Hallo! Einige Plugins auf deiner Website XXXXXXXXXXXX wurden automatisch auf ihre neueste Version aktualisiert. Es ist keine weitere Aktion deinerseits erforderlich.
      
    Diese Plugins sind jetzt auf dem neuesten Stand:
    - Ninja Forms (von Version 3.6.10 auf 3.6.11)
     
    Wenn du irgendwelche Fehler feststellst oder Unterstützung benötigst, steht dir das WordPress.org-Supportforum mit seinen freiwilligen Helfern zur Verfügung.
    https://de.wordpress.org/support/forums/
     
    Das WordPress-Team

    Wie kann das also sein?

Ansicht von 5 Antworten - 1 bis 5 (von insgesamt 5)
  • Bei Sicherheitsproblemen weicht WordPress unter bestimmten Voraussetzungen von den User-Vorgaben ab, um die Sicherheit der Website nicht zu gefährden. Vgl. Automatic Plugin Security Updates

    Ninja Forms 3.6.11 war ein Sicherheits-Update.

    Thread-Ersteller dajanas

    (@dajanas)

    Ah, okay, das wusste ich gar nicht. Ich habe sogar die Option deaktiviert, dass WordPress sicherheitsrelevante Updates automatisch durchführt (also für WordPress selbst). Daher wundert es mich… Ist seit über 10 Jahren somit das erste Mal bei mir passiert. Muss dann ja wohl eine gravierende Sicherheitslücke gewesen sein.

    Es gibt Datenbanken mit allen bekannten Sicherheitslücken von WordPress und Plugins und (mindestens) ein Skript, das WordPress auf bekannte Sicherheitslücken prüft. Selbst die Ausnutzung der Sicherheitslücke läuft mit Hilfe weiterer Skripte halbwegs automatisch. Ein Angreifer braucht also bei gravierenden Sicherheitslücken nicht viel mehr zu tun, als ein Skript mit der URL deiner Website auszuführen. – Ich halte es deshalb für keine gute Idee, automatische Sicherheitsupdates des Core zu deaktivieren.

    Ob es sich um eine gravierende Sicherheitslücke handelt, kann ich nicht einmal mit Gewissheit sagen. Im Entwicklungs-Log steht nur, dass es in den Versionen 3.6.9, 3.6.10 und 3.6.12 „Security Enhancements“ gegeben hat.

    Wenn deine Frage ausreichend beantwortet wurde, sei bitte noch so nett und markiere den thread als „gelöst“.

    Thread-Ersteller dajanas

    (@dajanas)

    Thanks

    PSA: Critical Vulnerability Patched in Ninja Forms WordPress Plugin

    This flaw has been fully patched in versions 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4, and 3.6.11. WordPress appears to have performed a forced automatic update for this plugin, so your site may already be using one of the patched version.

Ansicht von 5 Antworten - 1 bis 5 (von insgesamt 5)