Support » Allgemeine Fragen » WP 5.5 – Echtheit der zip nicht verif. / keine Signatur

  • Gelöst loveparis

    (@loveparis)


    Hallo!

    Bei einer neuen Installation wurde mir heute Morgen im Dashboard nach Hinweis auf die Version 5.5 (de) und nach dem Klicken auf „Jetzt aktualisieren“ beim Herunterladen der Aktualisierung der folgende Hinweis gezeigt (siehe Screenshot):

    Screenshot

    „Die Echtheit von wordpress-5.5.zip konnte nicht verifiziert werden, da keine Signatur gefunden wurde.“

    Entpacken und Aktualisierung wurden dann ohne weitere Komplikationen abgeschlossen.

    Da ich noch Anfänger bin, hier mal die Frage an die Erfahrenen hier: Kommt sowas in einem frühen Stadium nach der Freigabe einer Version schon mal vor, oder ist das ein Grund zur Vorsicht oder zur Neuinstallation?

    Danke schon mal!

Ansicht von 4 Antworten - 1 bis 4 (von insgesamt 4)
  • Die Fehlermeldung kann damit zusammenhängen, dass auf deinem Server (vielleicht sogar absichtlich) ein benötigtest Modul zur Berechnung der Signatur fehlt und deshalb ein Abgleich mit einem Hashwert nicht möglich ist. Solange die Installation aber sonst sauber durchläuft würde ich das ignorieren.
    Vergiss nicht, anschließend den Browser-Cache zu leeren. Da gibt’s wohl sonst einige Probleme.

    Thread-Starter loveparis

    (@loveparis)

    Vielen Dank für die Rückmeldung!
    Ich habe lokal XAMPP mit Apache installiert, aber dieser Hinweis kam bisher noch nie, deswegen scheint es mir kein generelles Problem mit einem fehlenden Modul zu sein. Aber die Aktualisierung lief ansonsten problemlos durch, daher werde ich das jetzt deinem Tipp entsprechend einfach mal ignorieren bzw. im Hinterkopf behalten. 🙂

    Wenn du mehr dazu lesen möchtest:

    https://make.wordpress.org/core/2019/05/17/security-in-5-2/

    Du könntest eine Datei phpinfo.php anlegen mit Inhalt

    
    <?php phpinfo();
    

    und die Datei dann im Browser aufrufen: http://localhost/phpinfo.php.

    In den Angaben zu deiner PHP-Version suchst du dann nach libsodium.

    Nachtrag: Scheinbar fehlen aber bei vielen Paketen einfach die Signaturen. Vgl. https://github.com/wp-cli/extension-command/issues/197#issuecomment-590132607

    • Diese Antwort wurde geändert vor 3 Jahren, 9 Monaten von Bego Mario Garde. Grund: Nachtrag
    Thread-Starter loveparis

    (@loveparis)

    Vielen Dank für die weiteren Infos!
    Das Sodium-Modul war (von Hause aus) tatsächlich nicht aktiviert, und es reichte auch nicht, in der php.ini die Zeile ;extension=sodium nur auszukommentieren; ich bin dann diesem Stackoverflow-Tipp gefolgt:

    There must be a copy of php/libsodium.dll (PHP Extension) in apache/bin/ (Apache Module). It is assumed, but not tested, that it must be same file.

    Assuming that php/libsodium.dll and php/ext/php_sodium.dll are the same build, which is the case with a new install of XAMPP 7.2.4, the install is:

    1. Add „extension=sodium“ to php.ini (no quotes) [bzw. Semikolon=Kommentarzeichen entfernen in meinem Fall]
    2. Copy php/libsodium.dll to apache/bin/
    3. Restart Server

    Jetzt ist das Sodium-Modul laut phpinfo tatsächlich aktiviert, aber als ich (nach vorheriger Cache-Löschung und Server-Neustart) auf Erneut installieren klickte, kam die besagte Meldung über die fehlende Signatur doch wieder.
    Was soll’s, einen Versuch war’s mir wert.

    Bei deinem Nachtrag-Link kann ich es ja noch verstehen, dass in der Anfangszeit der neuen Methode bei einigen Plugins die Signaturen fehlten, aber dass heutzutage bei einem CORE-Update/Upgrade die zip-Datei nicht verifiziert werden kann, verstehe ich nicht, will’s aber auch nicht überwerten. Ich werd mal weiterhin darauf achten bei Updates.

    Auf jeden Fall vielen Dank für deine Hilfe und die Infos! Das Sodium-Modul z.B. kannte ich überhaupt nicht, wieder was dazugelernt.:)

Ansicht von 4 Antworten - 1 bis 4 (von insgesamt 4)
  • Das Thema „WP 5.5 – Echtheit der zip nicht verif. / keine Signatur“ ist für neue Antworten geschlossen.