Vor einigen Tagen erschien ein Sicherheitsrelease von WordPress mit der Versionsnummer 4.7.2. Dies ist nun auch die Version, die auf dem goneo-Webspace installiert wird, wenn man als Kunde clickStart verwendet. Mit clickStart lassen sich viele beliebte Content Management Systeme und andere Webanwendungen einfach und schnell aufsetzen und in Betrieb nehmen (mehr zu clickStart hier). Die Verwendung der jeweils aktuellen WordPress-Version ist sehr wichtig.
Im Normalfall – sollte man das als Administrator nicht abgeschaltet haben – spielt WordPress automatisch dank der eingebauten Update-Routine die jeweils neuste Version ein. Das gilt für die eigentlichen WordPress-Dateien, nicht aber für die Plugins und Themes. Die Updates dafür muss man über das Dahsboard selbst anstoßen.
Im Regelfall sendet das WordPress-System eine Mail an den oder die Administratoren der Site, um über ein automatisch eingespieltes Update zu informieren. Man sollte dann die Website aufrufen, um zu kontrollieren, ob alles noch so funktioniert wie es gedacht wird. In seltenen Fällen kommt es zu Inkompatibilitäten mit Plugins oder Themes. Meist schafft ein Update der betreffenden Elemente Abhilfe. Wenn nicht, bliebt die (vorübergehende) Deaktivierung des nicht verträglichen Elements. Ein Plugin oder Theme, das nicht mit den aktuellsten stabilen WordPress-Versionen funktioniert, sollte kein Grund sein, eine alte Version von WordPress weiter zu verwenden. Es bleiben einfach zuviele Sicherheitslücken offen.
Andere Content Management Systeme verfahren hier etwas anders. Oft gibt es mehrere Zweige mit Hauptversionen der Entwicklung, von denen jeweils diverse Unterversionen als „noch unterstützt“ („supported„) bezeichnet werden (Long Term Support bei TYPO3). Für diese Versionen gibt es dann bei Bedarf Sicherheitsupdates. Bei WordPress ist immer die neuste Version maßgeblich, wie es auf der Archivseite heißt. Vorversionen werden teilweise gepatcht und mit Sicherheitsupdates versehen. Darauf weist dieser Blogbeitrag hin. Man muss allerdings die entsprechende Version vorher inspizieren, ob diese mit aktuellen Updates ausgestattet worden ist. Das kann hilfreich sein, wenn Plugins oder andere Anpassungen den Dienst unter der neusten Version versagen.
Die nun vorliegende Version 4.7.2 schließt drei Lücken und nicht, wie von WordPress ursprünglich kommuniziert, zwei. Die weitere, dritte Lücke war ebenfalls kritisch und betraf die REST-API. Auch dieses Problem ist gelöst. Diese Kommunikationspolitik hat WordPress den Vorwurf eingebracht, kritische Sicherheitslücken zu verschweigen. Die besagte API wird zum Beispiel eingesetzt, um externe Anwendungen wie die Mobile App von WordPress.com oder die WordPress-eigene Pluginsammlung Jetpack mit der WordPress-Installation zu verknüpfen.