Was bei veralteten Versionen wirklich passiert
Du kennst das: „LĂ€uft doch noch, warum updaten?“
Klingt pragmatisch. Ist aber gefÀhrlich.
Denn jede veraltete WordPress-Version enthÀlt bekannte Schwachstellen.
Und jeder Bot da drauĂen kennt sie.
Angriffe laufen automatisiert.
Nicht gezielt, sondern breit gestreut.
Deine Seite ist nur ein weiteres Ziel.
Was genau veraltet?
- Core-Funktionen (z. B.
wp_get_current_user(),rest_api_init()) - Sicherheits-Filter (
sanitize_*, Nonces, Auth-Checks) - Datenbank-Abfragen (
prepare()ohne Escaping) - JS-Bibliotheken (z. B. jQuery, Underscore)
- REST-Endpunkte
Nicht aktualisierte Version = AngriffsflÀche. Punkt.
Beispiel: Auth-Bypass durch alte REST-Routen
In WP 4.7 gab es einen Fehler in der REST API:
register_rest_route('wp/v2', '/posts/(?P<id>[\d]+)', [
'methods' => WP_REST_Server::EDITABLE,
'callback' => 'update_post',
'permission_callback' => '__return_true', // đ€Š
]);
Folge: Jeder konnte Posts manipulieren. Ohne Auth.
Gefixt ab 4.7.2. Aber viele Sites blieben angreifbar. Wochenlang.
PHP-InkompatibilitÀt
Alte WP-Versionen laufen auf neuen PHP-Versionen nicht sauber.
Und alte PHP-Versionen laufen bei modernen Hostern nicht mehr.
Du brauchst also:
- aktuellen WP-Core
- kompatibles Theme
- saubere Plugins
Sonst kracht’s irgendwann bei einem Update oder Deployment.
Update-Automatisierung: Beispiel per Hook
add_filter('auto_update_core', '__return_true');
add_filter('auto_update_plugin', '__return_true');
add_filter('auto_update_theme', '__return_true');
Wenn Du keine Zeit hast, alles manuell zu prĂŒfen:
Besser automatisiert aktuell halten, als gar nicht.
Code zum PrĂŒfen der Version im Dashboard
function ds_wp_version_warnung() {
global $wp_version;
if (version_compare($wp_version, '6.0', '<')) {
echo '<div class="notice notice-error"><p>â Deine WordPress-Version ist zu alt. Update dringend empfohlen.</p></div>';
}
}
add_action('admin_notices', 'ds_wp_version_warnung');
Risiken bei alten Versionen
| Risiko | Folge |
|---|---|
| SQL Injection | Datenbank-Zugriff von auĂen |
| XSS | Code-Einschleusung im Browser |
| Admin-Bypass | komplette SeitenĂŒbernahme |
| Backdoors | Spam-Versand, Malware, Blacklist |
| Plugin-InkompatibilitÀt | White Screen, Fehler 500 |
Argumente aus dem Alltag – und meine Antworten
„Ich hab keine Zeit fĂŒr Updates.“
Du hast auch keine Zeit fĂŒr Notfall-Wiederherstellung.
„Die Seite lĂ€uft doch.“
Bis sie kompromittiert wird – dann lĂ€uft sie plötzlich ganz woanders.
„Die Agentur ist nicht mehr erreichbar.“
Dann wird’s höchste Zeit, das Ding zu ĂŒbernehmen und zu aktualisieren.
Mein Fazit
Updates sind keine Option. Sie sind Pflicht.
WordPress ist stabil – wenn Du es pflegst.
Wenn Du willst, schau ich mir Deine Seite an.
Und sag Dir ehrlich, wie schlimm’s ist. Norddeutsch direkt. Versprochen.