Na, heute war aber ordentlich was los in WordPress Updatehausen.

Kurz nachdem gestern das WP 5.5.2 Security Update erschien, wurden einige der von mir verwalteten Installationen plötzlich erneut aktualisiert, aber auf eine Alpha Version von WP 5.5.3.

Irgendwas haben die da seitens WordPress verbockt, weil sich unbemerkt ein Fehler in die frisch ausgerollte WP 5.5.2 eingeschlichen hatte, der nur ganz neue Installationen betrifft. Daher musste die WP 5.5.3 nachgeschoben werden, hat aber zwischenzeitlich dazu geführt, dass einige Sites auf die Alphaversion aktualisiert wurden.

Das ganze lässt sich im Ticket nachlesen, es gibt aber auch einige Informationen im WordPress-Blog dazu.

Naja und schliesslich wurde dann gestern Nacht das 'richtige' WP 5.5.3 hinterher geschickt.

This maintenance release fixes an issue introduced in WordPress 5.5.2 which makes it impossible to install WordPress on a brand new website that does not have a database connection configured. This release does not affect sites where a database connection is already configured, for example, via one-click installers or an existing wp-config.php file.

So bequem das mit den Auto-Updates auch ist: Hier zeigt sich mal, welchen Vertrauensvorschuss man den WP Entwicklern gibt und wie schnell da auch mal was richtig derb in die Hose gehen kann, auch wenn es hier zum Glück harmlos ablief (ausser den eventuell nicht verwendeten default twenty-* Themes und dem Akskimet Plugin ist nichts mitinstalliert worden durch die Alphaversion).

This particular accidental update has betrayed for many developers what was already a somewhat fragile trust in the auto-update system. It doesn’t shore up more confidence for selling the idea of core updates when 5.6 is released, but it doesn’t mean that auto-updates are not a good idea.

Mein Alptraum ist ja, dass es jemand mal gelingt, eine gehackte Version dem Updatemechanismus unterzuschieben.

So gesehen ist ein Deaktivieren des Autoupdate sicher keine so schlechte Idee.

Nachtrag:

Andererseits, wie nun mehrfach auch in der Twitter-Reaktion auf den Beitrag hier hingewiesen wurde: Für die meisten ist das Auto Update sehr sinnvoll und das effektivste Mittel um die Seiten sicher(er) zu halten. Nicht ohne Grund wollen andere FOSS CMS ähnliche Mechanismen.

Dort fiel auch der Hinweis auf eine Initiative, die daran arbeitet, ein sicheres Auto-Update Framework zu definieren:
theupdateframework.io

Nachtrag Nachtrag:

Der kurzzeitige und unfreiwillige Ausflug in die Alpha-Version hat doch Spuren hinterlassen: ALLE twenty-* Themes, von -Ten bis -Twenty, sind installiert worden und müssen, falls nicht benötigt, von Hand vom Server gelöscht werden.

Sammlung von Theme-Previews in meinem Backend