Was bei veralteten Versionen wirklich passiert
Du kennst das: „Läuft doch noch, warum updaten?“
Klingt pragmatisch. Ist aber gefährlich.
Denn jede veraltete WordPress-Version enthält bekannte Schwachstellen.
Und jeder Bot da draußen kennt sie.
Angriffe laufen automatisiert.
Nicht gezielt, sondern breit gestreut.
Deine Seite ist nur ein weiteres Ziel.
Was genau veraltet?
- Core-Funktionen (z. B.
wp_get_current_user(),rest_api_init()) - Sicherheits-Filter (
sanitize_*, Nonces, Auth-Checks) - Datenbank-Abfragen (
prepare()ohne Escaping) - JS-Bibliotheken (z. B. jQuery, Underscore)
- REST-Endpunkte
Nicht aktualisierte Version = Angriffsfläche. Punkt.
Beispiel: Auth-Bypass durch alte REST-Routen
In WP 4.7 gab es einen Fehler in der REST API:
register_rest_route('wp/v2', '/posts/(?P<id>[\d]+)', [
'methods' => WP_REST_Server::EDITABLE,
'callback' => 'update_post',
'permission_callback' => '__return_true', // 🤦
]);
Folge: Jeder konnte Posts manipulieren. Ohne Auth.
Gefixt ab 4.7.2. Aber viele Sites blieben angreifbar. Wochenlang.
PHP-Inkompatibilität
Alte WP-Versionen laufen auf neuen PHP-Versionen nicht sauber.
Und alte PHP-Versionen laufen bei modernen Hostern nicht mehr.
Du brauchst also:
- aktuellen WP-Core
- kompatibles Theme
- saubere Plugins
Sonst kracht’s irgendwann bei einem Update oder Deployment.
Update-Automatisierung: Beispiel per Hook
add_filter('auto_update_core', '__return_true');
add_filter('auto_update_plugin', '__return_true');
add_filter('auto_update_theme', '__return_true');
Wenn Du keine Zeit hast, alles manuell zu prüfen:
Besser automatisiert aktuell halten, als gar nicht.
Code zum Prüfen der Version im Dashboard
function ds_wp_version_warnung() {
global $wp_version;
if (version_compare($wp_version, '6.0', '<')) {
echo '<div class="notice notice-error"><p>⚠ Deine WordPress-Version ist zu alt. Update dringend empfohlen.</p></div>';
}
}
add_action('admin_notices', 'ds_wp_version_warnung');
Risiken bei alten Versionen
| Risiko | Folge |
|---|---|
| SQL Injection | Datenbank-Zugriff von außen |
| XSS | Code-Einschleusung im Browser |
| Admin-Bypass | komplette Seitenübernahme |
| Backdoors | Spam-Versand, Malware, Blacklist |
| Plugin-Inkompatibilität | White Screen, Fehler 500 |
Argumente aus dem Alltag – und meine Antworten
„Ich hab keine Zeit für Updates.“
Du hast auch keine Zeit für Notfall-Wiederherstellung.
„Die Seite läuft doch.“
Bis sie kompromittiert wird – dann läuft sie plötzlich ganz woanders.
„Die Agentur ist nicht mehr erreichbar.“
Dann wird’s höchste Zeit, das Ding zu übernehmen und zu aktualisieren.
Mein Fazit
Updates sind keine Option. Sie sind Pflicht.
WordPress ist stabil – wenn Du es pflegst.
Wenn Du willst, schau ich mir Deine Seite an.
Und sag Dir ehrlich, wie schlimm’s ist. Norddeutsch direkt. Versprochen.
No responses yet