[Wordpress] File-upload für plugins und themes

[Jogi Hofmüller]

Hallo Julian et al,

On Thu, Oct 20, 2011 at 05:43:14PM +0200, julian ausserhofer wrote:
 
> ich spreche aus Anwenderperspektive, beim Sicherheitsaspekt kenne ich
> mich zuwenig aus.

Deswegen bringe ich den ein ;)

> Mir ist das händische Updaten jedes einzelnen Plugins zu jeder neuen
> Version zu mühsam.

Das möchte ich nicht wirklich gelten lassen, obwohl ich auch zur
Faulheit neige.  Es ist ja nicht so, dass täglich neue Updates zu
installieren sind ...

> Der Effekt ist, dass sowohl meine Wordpress-Version als auch meine
> Plugins und Themes permanent veraltet sind. Und da bin ich wohl kein
> Einzelfall. Ist das nicht eine viel größere Sicherheitslücke?

Dein Wordpress Version sollte ja eigentlich vom NOC gewartet werden.
Die Plugins sind Deine Verantwortung.  Und ja, veraltete Plugins sind
immer ein Risiko.  Wenn es jetzt um die Abschätzung der Relevanz geht,
so sehe ich ein grösseres Risiko, wenn Passwörter bekannt werden,
wodurch jemand shell-Zugang zu einem Server bekommt.  Beides zieht
wesentlich weitere Kreise, als ein wildgewordenes Plugin im Wordpress
(obwohl das auch böse sein kann).

> Ich verwende Wordpress auch auf anderen Seiten abseits von mur.at und
> überall funktioniert das automatische Update per Admin-Interface. Mir
> ist klar, dass ihr hohe Anforderungen an Sicherheit habt, aber es
> müsste doch auch auf mur.at funktionieren, wenn es auf
> hunderttausenden anderen Wordpress-Plattformen geht. Du hast die

Ah geh, die Wordpress Community hat einen etwas seltsamen Umgang mit
Security ... Beispiel?  Hier [1] wird erklärt, wie die Verzeichnisse,
die SSH-Keys beherrbergen konfiguriert sein sollen.  Ich bin mit dieser
Variante alles andere als einverstanden ... Und das ist nur ein kleines
Beispiel für unsinnige Info, die im Zusammenhang mit Wordpress und
dessen Konfiguration verbreitet wird.

> Es wäre toll, wenn sich in diesem Bereich etwas tun würde. Es würde
> die "mur.at-Wordpress-Experience" signifikant sehr verbessern.

Gib das an Wordpress bzw. die Entwickler weiter.  Die sollen sich ein
sicheres Interface einfallen lassen ;)  Am besten auch gleich eine
vernünftige Sprache verwenden ;)

Im Ernst:  Ich habe Stunden damit verbracht rauszukriegen, warum das
SSH-Interface nicht funktioniert.  Der Code der verwendet wird ist so
grausig (als hätte ich ihn selber geschrieben ;) ), dass es mühsam war
rauszukriegen, wo genau es die Software aufhaut.  Das SSH-Teil
produziert einen segfault im Webserver!  Bei Verwendung einer
Standard-PHP-Funktion!  Also wird hier von unserer Seite sicher nichts
mehr unternommen.

Das heisst nicht, dass es nie funktionieren wird.  Nur sehe ich derzeit
(also z.B. vor einem upgrade auf eine neue wordpress Version) keinen
Sinn darin, noch mehr Zeit und Energie drauf zu verschwenden.

Also bitte, Plugins/Themes vorerst und weiterhin mit 'herkömmlichen'
Mitteln updaten ;)

[1]  http://www.jonathan.vc/wordpress-install-upgrade-ssh.html

LGj.
-- 
j.hofmüller                                http://users.mur.at/thesix/
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 198 bytes
Desc: Digital signature
URL: <http://lists.mur.at/pipermail/wordpress/attachments/20111020/56420f73/attachment.pgp>