WordPress gaat verouderde versies geforceerd automatisch updaten

WordPress werkt aan een plan om oude versies gedwongen en automatisch te updaten naar recentere releases. Het opensource content management systeem (CMS) wil zo de beveiliging van het WordPress-ecosysteem en het internet als geheel verbeteren.

Maar liefst 34 procent van alle internetwebsites draait op WordPress volgens ZDnet. Het is dan ook niet zo vreemd dat WordPress momenteel het meest aangevallen CMS is, zeker ook vanwege zijn enorme attack surface. Het verkleinen hiervan is een eenvoudige manier om malware-botnets te bestrijden. Deze nemen websites over ten gunste van malware, het hosten van SEO-spam of het lanceren van DDoS-aanvallen.

Versie 3.7

Versies die momenteel officieel ondersteund worden door WordPress betreffen de laatste zes belangrijke releases tussen v4.7 en v5.2. Het plan is dan ook om oude WordPress-sites vanaf v3.7 in kleine stappen automatisch bij te werken naar de huidige minimaal ondersteunde v4.7. Versies voorafgaand aan v3.7 worden niet automatisch bijgewerkt, omdat het mechanisme voor automatische updates pas in v3.7 is opgenomen. Versies ouder dan v3.7 dienen handmatig te worden bijgewerkt, goed voor amper één procent van alle WordPress-sites.

Zo’n 11,7 procent van alle WordPress-sites gebruikt een extreem oude versie tussen v3.7 en v4.7. Dat is goed voor tientallen miljoenen websites en ongeveer 3 procent van alle internetsites. Om maar aan te geven hoe oud deze versies zijn: WordPress 3.7 is uitgebracht op 23 oktober 2013, terwijl de huidige minimale en dus veilige versie v4.7 stamt uit december 2016.

Compatibiliteitsproblemen

Een eerder voorstel om alles in één keer gedwongen over te zetten naar v4.7 leverde veel negatieve reacties op. Zo waren WordPress-site-eigenaren bang dat miljoenen websites uit zouden vallen met een WSOD (white screen of death) of dat er compatibiliteitsproblemen zouden ontstaan tussen thema’s, plugins en de nieuwe WordPress core-versie. 

WordPress wil daarom binnen een jaar stapsgewijs deze oudere, onveilige versies automatisch en geforceerd op de volgende manier bijwerken:

  • 2 procent van alle WP 3.7-sites wordt automatisch bijgewerkt naar WP 3.8
  • een week later wordt nog eens 18 procent automatisch bijgewerkt naar WP 3.8
  • twee weken later wordt 80 procent van de WP 3.7-sites automatisch bijgewerkt naar WP 3.8.

Vervolgens worden bovenstaande stappen herhaald, door sites te migreren van WP 3.8 naar WP 3.9, WP 3.9 naar WP 4.0, enzovoorts.

Het gelaagde geforceerde auto-updateproces geeft de mogelijkheid te controleren op fouten en site breakage. Mocht er iets mis gaan, kan de automatische update  worden gestopt en in individuele gevallen wordt zelfs een voorgaande versie teruggeplaatst. WordPress informeert in deze de eigenaar van de website per e-mail.

Opt-out-instructies

“De e-mail moet een krachtig geformuleerde waarschuwing zijn. Een die laat weten dat hun site niet kan worden geüpgraded naar een veilige versie en dat ze onmiddellijk handmatig moeten updaten. Als ze niet updaten, is het bijna gegarandeerd dat hun site uiteindelijk wordt gehackt”, zegt Ian Dunn, lid van het WordPress dev-team.

WordPress is van plan site-eigenaren toe te staan ​​zich af te melden voor het gedwongen updateproces. Naast het sturen van een e-mail wordt er een strenge waarschuwing op het dashboard weergegeven. Deze waarschuwingen bevatten ook opt-out-instructies en worden minstens zes weken getoond, voordat een site automatisch wordt bijgewerkt.

Mankracht

Naast veiligheid speelt ook mankracht een rol bij het update-plan. De afgelopen zes jaar hielden ontwikkelaars zich bezig met het backporteren van beveiligingspatches voor versies die teruggaan tot WP 3.7.

Een tijdrovende klus, gezien WordPress-ontwikkelaars nieuwere PHP-code moesten converteren naar een code die compatibel is met de oudere WordPress-codebase. “Als beveiligingsteam zijn we daar niet blij mee, maar het is absoluut het beste voor onze gebruikers. Omdat we daar de maat voor succes bepalen, doen we dat dus ook”, aldus Aaron Campbell, leider van WordPress Security Team.

 

Lees ook: Clipsa-malware aast op cryptomunten en kraakt WordPress-sites