182013sep

WordPress updates uitvoeren

wpupdate

Dit heeft u vast wel eens gezien tijdens het onderhouden van uw website. Een nieuwe versie van WordPress of een van de gebruikte plugins is beschikbaar. Waarom zou u uw website updaten naar de nieuwste versie? Waarschijnlijk functioneert uw website naar behoren (ook al zou u best wat meer bezoekers willen op uw website). In dit artikel geef ik graag wat meer inzicht in de noodzaak van het uitvoeren van updates.

WordPress updaten

De WordPress updates voert u grofweg uit om twee redenen: veiligheid en nieuwe features. Hoe leuk en handig nieuwe features ook zijn, veiligheid gaat bij Pixion voorop. Kijkende naar de frequentie van het verschijnen van WordPress updates, delen wij deze filosofie met de ontwikkelaars van WordPress (link). 

Ter illustratie een aantal voorbeelden van fixes uitgevoerd in een drietal recente WordPress updates:

WordPress 3.5.1 – 24 januari 2013 (link)

  • Editor: Prevent certain HTML elements from being unexpectedly removed or modified in rare cases.
  • Media: Fix a collection of minor workflow and compatibility issues in the new media manager.
  • Networks: Suggest proper rewrite rules when creating a new network.
  • Prevent scheduled posts from being stripped of certain HTML, such as video embeds, when they are published.
  • Work around some misconfigurations that may have caused some JavaScript in the WordPress admin area to fail.
  • Suppress some warnings that could occur when a plugin misused the database or user APIs.
  • Server-side request forgery (SSRF) and remote port scanning via pingbacks. Fixed by the WordPress security team. CVE-2013-0235.
  • Cross-site scripting (XSS) via shortcodes and post content. Discovered by Jon Cave of the WordPress security team. CVE-2013-0236.
  • Cross-site scripting (XSS) in the external library Plupload. Plupload 1.5.5 was released to address this issue. CVE-2013-0237.

WordPress 3.5.2 – 21 juni 2013 (link)

  • Server-Side Request Forgery (SSRF) via the HTTP API. CVE-2013-2199.
  • Privilege Escalation: Contributors can publish posts, and users can reassign authorship. CVE-2013-2200.
  • Cross-Site Scripting (XSS) in SWFUpload. CVE-2013-2205.
  • Denial of Service (DoS) via Post Password Cookies. CVE-2013-2173.
  • Content Spoofing via Flash Applet in TinyMCE Media Plugin. CVE-2013-2204.
  • Cross-Site Scripting (XSS) when Uploading Media. CVE-2013-2201.
  • Full Path Disclosure (FPD) during File Upload. CVE-2013-2203.
  • Cross-Site Scripting (XSS) (Low Severity) when Editing Media. CVE-2013-2201.
  • Cross-Site Scripting (XSS) (Low Severity) when Installing/Updating Plugins/Themes. CVE-2013-2201.
  • XML External Entity Injection (XXE) via oEmbed. CVE-2013-2202.

WordPress 3.6.1 – 11 september 2013 (link)

  • Remote Code Execution: Block unsafe PHP de-serialization that could occur in limited situations and setups, which can lead to remote code execution. Reported by Tom Van Goethem. CVE-2013-4338.
  • Link Injection / Open Redirect: Fix insufficient input validation that could result in redirecting or leading a user to another website. Reported by Dave Cummo, a Northrup Grumman subcontractor for the U.S. Centers for Disease Control and Prevention. CVE-2013-4339.
  • Privilege Escalation: Prevent a user with an Author role, using a specially crafted request, from being able to create a post “written by” another user. Reported by Anakorn Kyavatanakij. CVE-2013-4340.

Er wordt dus nogal eens iets gefixt. Sommige problemen zullen minder kwaad kunnen dan de ander, maar voorkomen blijft beter dan genezen.

Nieuwe features komen vaak uit in belangrijke releases. Deze zijn te herkennen aan een versienummer. De update van 3.6.1 naar 3.6.2 zal niet direct zichtbare verandering tot gevolg hebben. Deze minor-updates zorgen vaak voor security fixes en bug fixes.

Major releases (3.6.2 naar 3.7) (meer info over de meest recente major release: WordPress 3.6) zorgen over het algemeen voor het beschikbaar komen van zichtbare verbeteringen in gebruiksvriendelijkheid, nieuwe functionaliteiten of een nieuwe basis-template. De laatste update had de volgende nieuwe eigenschappen:

  • Nieuw basistemplate: Twenty Thirteen – geinspireerd door moderne kunst, een moderne en responsive template.
  • Verbeterd revisie-beheer – eenvoudiger vergelijken van verschillende versies van een pagina of bericht.
  • Blokkeren van posts wanneer in gebruik door andere gebruiker – handig wanneer u met meerdere mensen aan de website werkt.
  • Ingebouwde HTML5 media player – voor het afspelen van media met de in de browser ingebouwde mediaplayer.
  • Menu-editor is vereenvoudigd – ter verbetering van het gebruiksgemak en klaar voor meer menu’s,

Plugins

plugin-updateOm te voorzien in de vraag naar functionaliteiten is WordPress vrijwel altijd uitgebreid met plugins. Deze kunnen variëren van een formulieren module tot een fotogallery en van een zoekmachine optimalisatietool tot een webshop. Ook plugins worden vaak geupdatet. Dit wordt in WordPress kenbaar gemaakt. Ook hierbij adviseren wij direct te updaten wanneer er updates beshcikbaar zijn. 

Pixion is selectief in het installeren van plugins. Sommige plugins werken niet goed samen met andere plugins. De plugins die Pixion ontwikkelt, sluiten naadloos aan op WordPress en conflicteren niet met andere plugins in de website. 

Backup

Backup maken in DirectAdminGaat u zelf de updates uitvoeren, zorg er dan voor dat u complete backups heeft van uw website. Met het hosting dashboard waar u toegang toe heeft wanneer u hosting afneemt van Pixion, kunt u eenvoudig een volledige backup maken van uw website. U kunt ook handmatig een backup maken van uw website. Zorg dat u alle bestanden download en een kopie van de database maakt via PHPMyAdmin.

Wanneer Pixion updates voor u uitvoert, zorgen we altijd voor een backup. We brengen u altijd op de hoogte van de werkzaamheden zodat u geen data mist als u toevallig tijdens het updaten aan het werk bent in uw website.

Voorbeelden van risico’s

Via het hosting dashboard werd een waarschuwing verstuurd naar een van onze klanten. Vanuit zijn hosting account waren die dag meer dan 1000 mail berichten verstuurd. Onze klant wist van niets. De verouderde WordPress versie stond open voor een kwaadaardig botnet die de mailserver gebruikte om mail berichten te kunnen verzenden. Na het updaten van de WordPress installatie was het probleem direct verholpen.

Een website die wordt gehost op onze server resulteerde in een foutmelding over malware. De virusscanner sloeg alarm en later gaf ook Google aan dat de site niet meer bereikbaar was door de besmetting. Het bleek mogelijk om bestanden in het template aan te passen en te voorzien van ongewenste code. We hebben de code handmatig verwijderd en WordPress geüpdatet naar de nieuwste versie. Het probleem heeft zich daarna niet meer voor gedaan.

Laat een reactie achter

Uw e-mailadrse wordt niet gepubliceerd. Verplichte venden zijn gemarkeerd *