WordPress kondigde onlangs aan dat ze oudere versies automatisch en gedwongen willen updaten, zo lazen we op Emerce. WordPress wil daarmee het internet en het WordPress-ecosysteem veiliger maken. Admins hebben de mogelijkheid om auto-updates uit te zetten. Daarnaast komt WordPress met een implementatieplan. We zochten voor je uit hoe het nou precies zit.
Bekijk ook WordPress Hosting
Wat gaat WordPress doen?
WordPress wil onveilige sites binnenkort automatisch en gedwongen updaten. Het gaat met name om WordPress-websites die een oudere versie gebruiken (vanaf versie 3.7). Met de automatische updates wil WordPress het hele WordPress-ecosysteem en internet als geheel beter beveiligen.
Geschat draait zo’n 34 procent van alle websites op het internet op WordPress. Dit is gelijk ook een risico, want daardoor wordt is het voor kwaadwillenden aantrekkelijk om verouderde WordPress-websites aan te vallen. Kwaadwillenden gebruiken tools die automatisch het web afstruinen naar verouderde WordPress-versies, om die vervolgens te infecteren met malware of malafide code.
Wat betekent dit voor jouw WordPress website?
Als jij netjes je WordPress hebt geüpdatet naar de nieuwste versie (huidige versie: 5.2.2) dan is er niets aan de hand. Het gaat met name om websites die op zeer oude versies van WordPress draaien, vanaf 3.7.
Deze versies zijn zeer kwetsbaar en lopen het risico om gehackt te worden (als dat nog niet gebeurd is).
Maar ook voor als je website nu up-to-date is moet je even opletten. WordPress wil dit in de toekomst ook voor nieuwe major updates doen. Dit gaat nog wel even duren, want ze zullen stap voor stap de auto-updates doorvoeren.
Wanneer vinden de automatische updates plaats?
WordPress beschouwt automatisch updaten als een veilig proces, omdat er diverse safety-checks zijn ingebouwd en het mogelijk is om terug te vallen op een oudere versie zonder verlies van data.
Het plan is om gecontroleerd en versie voor versie de auto-updates door te voeren. Desondanks kunnen er fouten ontstaan. Daarom heeft WordPress een implementatieplan ontwikkeld.
Dit is het plan van WordPress:
Ze maken de auto-update eerst bekend
WordPress zal eerst publiceren op wordpress.org/news wanneer de eerste auto-update (versie 3.7) plaatsvindt. Een specifieke datum zal dan nog niet bekend zijn, maar het zal wel 6 weken in de toekomst liggen zodat admins ruim de tijd hebben om voor te bereiden. De verwachting is dat ze binnenkort de eerste aankondiging zullen doen.
Dan heb je de optie om het te weigeren
WordPress-admins hebben de mogelijkheid om de auto-update niet door te voeren. Hier hoeven ze slechts op een knopje te drukken. Zij worden via mail benaderd maar ook via het dashboard in WordPress zelf. WordPress zal in ieder geval een aantal keer mailen voordat de update eraan komt.
Het Core-handboek krijgt een update
In het Core-handboek zullen instructies staan hoe je als admin / verantwoordelijke voor updates om kunt gaan met major updates.
Support policy wordt aangepast
Op WordPress.org vind je helder uitgelegd welke versies wel en niet support krijgen zoals security updates en patches. WordPress doet niet aan LTS (Long Term Support) versies en adviseert dat iedereen de nieuwste versie neemt voor support. Ze doen daarnaast hun best om securityfixes te leveren voor de 5 major releases, maar geven hier geen garanties voor.
WordPress automatisch updaten in fasen
Eerst zal WordPress 2% van alle 3.7 versies updaten, na 7 dagen 18% en na 14 dagen 80%. Tussen de updates door controleert WordPress of er dingen fout kunnen gaan. Pas als alle 3.7 zijn geüpdatet gaat WordPress verder naa 3.4.
Video: 10 veelvoorkomende fouten in WordPress-beveiliging
Vlogger Bjorn van WPLearninglab heeft een video gepost over 10 fouten in WordPress beveiliging, waar (gebrek aan) updaten er een van is.
Updaten maar?
Updaten naar een nieuwere versie als je nog een oudere versie gebruikt is altijd aan te raden, al is het maar om de kans op hackers te minimaliseren. Versie 3.7 is in ieder geval heel erg oud en loopt veel risico.
Maar ook in nieuwere versies van WordPress bevatten soms lekken. Updaten is daarom altijd het advies. Ook als je al een iets nieuwere versie gebruikt. Het is daarom ook beter om de auto-updates niet af te wachten en om zelf je WordPress-omgeving up-to-date te houden.
Lees ook: 5 tips die jouw WordPress-website veiliger houden
Is jouw WordPress up-to-date maar ben je toch benieuwd of deze veilig genoeg is? Laat hem checken door een van onze security-engineers in een security audit of bekijk de tools die we kunnen leveren voor website security.
