[Wordpress] File-upload für plugins und themes

julian ausserhofer julian at mur.at
Thu Oct 20 17:43:14 CEST 2011 

Hallo Jogi,

ich spreche aus Anwenderperspektive, beim Sicherheitsaspekt kenne ich
mich zuwenig aus. Mir ist das händische Updaten jedes einzelnen
Plugins zu jeder neuen Version zu mühsam. Der Effekt ist, dass sowohl
meine Wordpress-Version als auch meine Plugins und Themes permanent
veraltet sind. Und da bin ich wohl kein Einzelfall. Ist das nicht eine
viel größere Sicherheitslücke?

Ich verwende Wordpress auch auf anderen Seiten abseits von mur.at und
überall funktioniert das automatische Update per Admin-Interface. Mir
ist klar, dass ihr hohe Anforderungen an Sicherheit habt, aber es
müsste doch auch auf mur.at funktionieren, wenn es auf
hunderttausenden anderen Wordpress-Plattformen geht. Du hast die
technischen Gründe erläutert, dennoch möchte ich noch einmal bitten:
Es wäre toll, wenn sich in diesem Bereich etwas tun würde. Es würde
die "mur.at-Wordpress-Experience" signifikant sehr verbessern.

Beste Grüße,
Julian



2011/10/20 Jogi Hofmüller <jogi at mur.at>:
> Hallo wordpress-community,
>
> Immer wieder mal taucht die Frage auf, wie es mit File-upload über das
> Admin-Interface für plugins und/oder themes im Wordpress aussieht.  Die
> kurze Antwort lautet:  schlecht!  Aus derzeitiger Sicht werden wir diese
> Methode nicht anbieten.
>
> Dafür gibt es hauptsächlich zwei Gründe:
>
> 1.)  Sämtliche Methoden, die wordpress für diese Aufgabe zur Verfügung
> stellt, genügen unseren Sicherheitsansprüchen nicht.  Entweder werden
> dabei sensible Passwörter unverschlüsselt über das Netz geschickt, oder
> es sind Verbiegungen der Schreibrechte im Dateisystem notwendig, die
> potentiell alle Instanzen von Wordpress kompromitieren.
>
> 2.)  Die Skripte für FTPS/SSH2 File-upload sind schlicht kaputt!
> Zumindest haben das unsere Tests hier in den letzten Tagen ergeben.
>
> Auch ohne die Verwendung des Admin-Interfaces zum File-upload ist die
> Installation von neuen/weiteren Plugins/Themes keine grosse Hexerei.
> Eine (frisch überarbeitete) Anleitung dazu findest Du im Wiki [1].
>
> [1]  https://wiki.mur.at/WordPress#Installieren_von_Themes.2BAC8-Plugins
>
> LGj.
> --
> j.hofmüller                                http://users.mur.at/thesix/
>
> _______________________________________________
> Wordpress mailing list
> Wordpress at mur.at
> http://lists.mur.at/mailman/listinfo/wordpress
>
>

More information about the Wordpress mailing list