Das Update 5.6 für WordPress wurde am 9.12.20 veröffentlicht.
Was ist zu beachten? Es geht hier um mögliche Sicherheitslücken, Quellcode und Kompatibilität zu bestehenden WordPress-Installationen.
Wir veröffentlichen hier einen übersetzten Beitrag von Wordfence, welcher gut auf die Problematik eingeht.
Zitat von: https://www.wordfence.com/blog/2020/12/wordpress-5-6-introduces-a-new-risk-to-your-site-what-to-do/?utm_campaign=Wordfence%20Blog%20Emails&utm_medium=email&_hsmi=102293667&_hsenc=p2ANqtz-_thdOznZ1OnlwNbxdieD32vGMCgLOpSTqA0LqCoqlrWnzP6WP97Tfl3Tj8URU45boB6Q80qYrk3AO6fLBwwhcZwFS0KTPsF9uzftmZpv43FLVnJcw&utm_content=102293667&utm_source=hs_email
WordPress 5.6 stellt ein neues Risiko für Ihre Website dar: Was ist zu tun?
Dieser Eintrag wurde in WordPress Security am 8. Dezember 2020 von Ram Gall 7 Replies veröffentlicht.
WordPress 5.6, die letzte große Veröffentlichung, die für 2020 geplant ist, erscheint heute, am 8. Dezember 2020. Sie enthält einige Hauptfunktionen und Updates sowie eine große Anzahl kleinerer Verbesserungen und Fehlerbehebungen. Einige wenige Änderungen haben unmittelbare Auswirkungen auf Sicherheit und Kompatibilität, die wir in diesem Beitrag für WordPress-Benutzer hervorgehoben haben.
Anwendungskennwörter fügen Funktionalität und Risiko hinzu
WordPress 5.6 wird mit einer neuen Funktion ausgestattet sein, die es externen Anwendungen ermöglicht, die Erlaubnis zu beantragen, sich mit einer Website zu verbinden und ein für diese Anwendung spezifisches Passwort zu generieren. Sobald die Anwendung Zugang erhalten hat, kann sie über die WordPress REST API Aktionen im Namen eines Benutzers ausführen.
Leider ist es trivial, einen Site-Administrator so zu manipulieren, dass er Anwendungspasswörter für eine bösartige Anwendung vergibt. Ein Angreifer könnte einen Website-Besitzer austricksen, indem er auf einen Link klickt, der ein Anwendungspasswort anfordert, und seine bösartige Anwendung so benennt, wie er es möchte:
Trotz des Risikos werden Anwendungskennwörter in Zukunft wahrscheinlich einen gewissen Nutzen bieten. Einige Beispiele dafür, wie sie verwendet werden könnten, sind die Veröffentlichung von Beiträgen auf einer WordPress-Site von anderen Schnittstellen aus, der Zugriff auf oder die Aktualisierung von Daten in der WordPress-Datenbank oder sogar das Anlegen von Benutzern.
Diese Funktionalität ist oberflächlich betrachtet ähnlich wie XML-RPC, aber die REST-API bietet wesentlich breitere Möglichkeiten. Darüber hinaus werden Anwendungskennwörter sicher generiert und sind 24 Zeichen lang, so dass Brute-Force- und Credential-Füllungsangriffe wahrscheinlich nicht erfolgreich sein werden.
Wenn Sie sich für die Verwendung von Anwendungskennwörtern entscheiden, empfehlen wir dringend, einen Benutzer mit minimalen Berechtigungen einzurichten, idealerweise nur mit den erforderlichen Fähigkeiten speziell für die Anwendung, mit der Sie sich verbinden möchten.
Das jQuery-Update geht weiter
WordPress 5.5, veröffentlicht im August 2020, entfernte das jQuery Migrations-Skript. Dies führte bei vielen Sites, die Plugins verwenden, die von älteren Versionen von jQuery abhängen, zu Problemen.
Wenn Ihre Website betroffen war und Sie derzeit das Plugin Enable jQuery Migrate Helper verwenden, um diese Probleme zu umgehen, sollten Sie sicherstellen, dass Ihre Website auch ohne jQuery funktioniert, bevor Sie auf WordPress 5.6 aktualisieren.
Der Grund dafür ist, dass WordPress 5.6 auf die neueste Version von jQuery aktualisiert wird und jQuery Migrate 3.3.2 hinzufügt, was zu Konflikten mit der durch das Enable jQuery Migrate Helper-Plugin wieder aktivierten Version führen kann, nämlich jQuery Migrate 1.4.1.
WordPress verwendet bereits seit mehreren Jahren veraltete Versionen der jQuery-Bibliothek.
WordPress 5.6 ist Schritt 2 eines 3-Schritte-Plans, um WordPress auf eine aktuelle Version von jQuery zu bringen. Dieser Plan wurde bereits umgesetzt:
WordPress 5.5: Entfernen des jQuery Migrate 1.x-Skripts. (August 2020)
WordPress 5.6: Update auf die neuesten jQuery-, jQuery UI- und jQuery Migrate-Skripte. (Dezember 2020)
WordPress 5.7: Entfernen Sie das jQuery Migrations-Skript. (März 2021)
Aufgrund dieses Zeitrahmens ist die jQuery-Kompatibilität tatsächlich wesentlich dringlicher als die PHP 8.0-Kompatibilität. Plugin- und Themenentwickler sollten die nächsten Monate vor der Veröffentlichung von WordPress 5.7 nutzen, um ihren Code ohne die Hilfe von jQuery Migrate vollständig auf die neueste Version von jQuery umzustellen.
Obwohl Sicherheitskorrekturen in die von früheren Versionen von WordPress verwendeten Versionen von jQuery rückportiert wurden, haben viele Tools, wie z.B. Googles Lighthouse, berichtet, dass WordPress-Sites aufgrund der Ausführung einer älteren Version von jQuery anfällig waren. Eine gute Nachricht ist, dass diese Site-Auditing-Tools WordPress 5.6-Sites nicht mehr als anfällig anzeigen sollten.
WPTavern hat einen ausgezeichneten Artikel, in dem die Situation ausführlicher beschrieben wird.
PHP 8-Kompatibilität
WordPress 5.6 soll mit PHP 8 “beta-kompatibel" sein. Das bedeutet, dass bei normaler Nutzung einer Website, auf der WordPress 5.6 unter PHP 8 mit einem Standard-Theme und ohne Plugins läuft, wahrscheinlich keine Probleme auftreten werden. Unser vorheriger Artikel geht auf einige der Herausforderungen ein, denen sich Plugin-Autoren stellen müssen, wenn es um die Kompatibilität mit PHP 8 geht.
Wenn Sie ein typischer WordPress-Site-Besitzer sind, der eine beträchtliche Anzahl von Plugins verwendet, kann es einige Zeit dauern, bis ein Update auf PHP 8 sicher ist. Wenn Sie andererseits eine brandneue Website von Grund auf neu erstellen, können Sie vielen Problemen vorgreifen, indem Sie mit der neuesten Version von PHP und WordPress beginnen.
Automatische Hauptversions-Updates
Wir haben in der Vergangenheit über automatische Aktualisierungen diskutiert und darüber, wie sie für einige Anwendungsfälle wesentlich und für andere potenziell katastrophal sein können. Derzeit wendet der WordPress-Kern automatisch kleinere Aktualisierungen an, die aufgrund umfangreicher Tests in der Regel viel sicherer sind als automatische Plugin-Aktualisierungen.
Ab WordPress 5.6 werden alle neuen WordPress-Installationen automatische Aktualisierungen für Hauptversionen erhalten. Das heißt, wenn Sie eine neue WordPress-Seite mit WordPress 5.6 erstellen, wird diese automatisch auf WordPress 5.7 aktualisiert, sobald sie veröffentlicht wird. Auch wenn dies eine höhere Wahrscheinlichkeit hat, Probleme zu verursachen, sollten Sie bedenken, dass die wahrscheinlichsten Probleme mit inkompatiblen Plugins auftreten werden, die auf brandneuen Sites viel seltener vorkommen werden.
Bestehende Sites, die von früheren Versionen auf WordPress 5.6 aktualisiert wurden, werden das derzeitige Verhalten beibehalten, bei dem nur kleinere Versionen und Sicherheitspatches automatisch aktualisiert werden, so dass sich die derzeitigen Site-Besitzer darüber keine Sorgen machen müssen. Falls gewünscht, kann ein aktueller Website-Eigentümer jetzt automatische Aktualisierungen für Hauptversionen und sogar Beta- und RC-Versionen wählen.
Ein brandneues Thema
Da 5.6 die endgültige Hauptversion von WordPress für das Jahr 2020 ist, enthält sie ein neues Standardthema für das kommende Jahr mit dem Titel Twenty Twenty-One. Wie frühere WordPress-Standardthemen basiert es auf einem bestehenden Thema, Seedlet, und ist ziemlich minimal, obwohl es Unterstützung für den Dark Mode enthält.
Schlussfolgerung
WordPress 5.6 enthält eine Reihe von Änderungen, Verbesserungen und Fehlerbehebungen, darunter viele, die wir noch nicht abgedeckt haben. Wir haben uns auf die Punkte konzentriert, die unserer Meinung nach für unsere Benutzer am relevantesten sind und am ehesten Probleme verursachen könnten. Wie bei allen größeren Aktualisierungen von WordPress hängt es von Ihrem Anwendungsfall ab, ob Sie sofort aktualisieren möchten oder nicht. Es gibt eine Reihe vielversprechender neuer Funktionen sowie ein gewisses Potential für Wachstumsschwierigkeiten, aber diese werden eher für Entwickler als für Benutzer anwendbar sein.
Übersetzt mit www.DeepL.com/Translator
Falls Sie Hilfe bei WordPress benötigen fragen Sie uns. Senden Sie uns einfach eine Anfrage: https://blog.virtulogix.com/kontakt-anfragen/