WordPress 2.5 und das automatische Update

Seit Version 2.5 von WordPress besteht die Möglichkeit ein Plugin automatisch auf den aktuellsten Stand zu bringen. Dazu ist es notwendig die FTP-Daten zu hinterlegen, die nach dem Klick auf den Link zum Updaten erscheint.

WP 2.5 FTP Daten

Man kann sich sicher streiten ob und wie sinnvoll das ist, aber es ist nun mal da und scheinbar ist es sehr beliebt. Ich für meinen Teil mache das lieber am eigenen FTP-Client. Wie sicher ist das Übertragen von FTP-Login-Daten? Trotzdem ist diese Funktion sicher in dem einen oder anderen Fall sinnvoll und erspart viel Mühe. Will man die FTP-Daten direkt hinterlegen, dann gibt es die Möglichkeiten der Definition von Konstanten.


define('FTP_HOST', 'ftp://example.de/');
define('FTP_USER', 'example_username');
define('FTP_PASS', 'example_passwort');
define('FTP_SSL', false); //TRUE fuer SLL-Verbindung

Diese müssen in der wp-config.php angelegt werden und ab nun hat WP die Daten direkt parat.

Ansonsten liegen die Daten nach dem ersten Nutzen in der Tabelle options, im Feld ftp_credentials. Wer diese nicht mehr nutzen will, der kann sie dort direkt löschen. Das geht entweder per mySQL-Tool, meist wohl phpMyAdmin, oder in WordPress durch den Aufruf aller Einstellungen in der Tabelle options, dazu einfach die Admin-Adresse des Blog und die Seite options.php aufrufen (Bsp.: http://example.com/wp-admin/options.php). Mehr dazu im Artikel „WordPress Options auslesen

55 Comments

  1. Also diesen Dialog zum Eingeben der FTP-Zugangsdaten habe ich nur einmal gesehen. Das war auf meiner lokalen Testinstallation mit der RC2 von WP 2.5. Auf den Live-Blogs, die bei Goneo.de gehostet sind, hatte ich das noch nicht. Die Updates klappen aber trotzdem.

  2. Wow, gibt es noch mehr von solchen versteckten Optionen. Ich werde mich wohl mal ranmachen und alle Dateien durchprobieren.
    Vermissen tue ich jedenfalls im wp-admin Ordner die templates.php. Diese ist seit 2.5 nicht mehr vorhanden und die komfortable Möglichkeit die htaccess zu bearbeiten verschwunden.

  3. Ja, habe ich. Nix da. Auch die options.php gibt nichts dergleichen aus. Wie sollte sie auch? Habe ja nie FTP-Daten eingegeben.

  4. @Tobias: In meinen Blogs kann ich auch weiterhin die .htaccess bearbeiten, wie immer im Bereich Permalink. Abfrage ist auch drin, in der options-permalink.php.

  5. @ad: WP prüft und daher wohl dieser Unterschied.

    	if ( extension_loaded('ftp') ) return 'ftpext';
    	if ( extension_loaded('sockets') || function_exists('fsockopen') ) return 'ftpsockets';
    

    Trotzdem werden aber die Daten aus der Tabelle Options geholt

    if( ! $credentials = get_option('ftp_credentials') )
    		$credentials = array();
    
  6. Das ist mir alles zu hoch. Wie sagte schon Steve Jobs?

    "Now, what is this? - I don’t know, but it works."

  7. Vertehe ich jetzt richtig: Wenn die FTP- und Sockets-Erweiterungen für PHP installiert ist, zieht WP sich die Daten über fsockopen, anderenfalls werden die Zugangsdaten abgefragt und in der Options-Tabelle hinterlegt. Kann natürlich sein, lokal habe ich die FTP-Klamotte nicht drauf, und da kam die Abfrage.

  8. @Horttcore: Das gleiche ist es nicht, curl bringt eine eigene Bibliothek, die findet in WP auch Verwendung. Wie gesagt, je nach Server-config muss man die Daten für FTP hinterlegen oder nicht. Muss man sie hinterlegen, dann kann man diese per Definition der obigen Konstanten vereinfachen bzw. der User abnehmen.

  9. Ist das nicht ein Sicherheitsrisiko? Ich habe (als Laie) die Sorge, dass diese Daten von fremden Personen ausgelesen werden können. Oder ist das Risiko unbegründet?

  10. @Andy: Grundsätzlich ist jede eingesetzte Webapplikation ein Sicherheitsrisiko, das Speichern von FTP-Daten insbesondere. Aus Sicht des Nutzers ist das recht schön und nützlich. Ich für meinen Teil hinterlege die Daten nicht, ich nutze meinen FTP-Client und vertraue nicht auf die Sicherheit der Anwendung, auch wenn die Definition von Konstanten so recht sicher ist.

  11. Ich hab mir mit dem automatischen Update schon mal ein Plugin zerschossen. Angekündigt wurde ein Update von WP-PageViews, tatsächlich handelte es sich um das Update für ein anderes Plugin des Autors. WP-PageViews wurde deaktiviert, das neue Plugin wurde installiert. Seitdem gucke ich mich vorher auf der verlinkten Homepage um, ob das Update tatsächlich das installierte Plugin betrifft und nicht ein anderes. Meine PageViews wurden durch die Aktion nämlich alle auf Null gesetzt - nicht schön.

  12. Das spricht aber gegen das Plugin, zum einen weil es anscheinend die Daten nicht in der DB vorhält und zum Anderen weil ein falsches Update signalisiert wurde, oder?

  13. Ist der Besitzer (owner) der WordPress Dateien auch der ausführende User (meistens www oder ähnliches) und hat dieser schreibrechte, braucht das System keine FTP-Daten.

  14. @Tobias: nochmal, habe mal in einem Test angeschaut, scheinbar liegt es an den Rechten. Wenn man WP schreiben läßt, dann wird das Feld nicht eingesehen, sondern die Datei wird einfach neu geschrieben. Setze mal die Rechte auf 644 und dann solltest du dort alles sehen.

  15. Leider meldet die Update-Funktion bei mir immer "Wordpress-Verzeichnis nicht gefunden" 🙁 Gibt es auch eine Option, um das korrekte WP-Directory einzustellen?
    Danke im Voraus, Gruß Mario

  16. Als ich von der letzten Version auf 2.5 aktualisiert hatte, ging das automatische Update wirklich "automatisch" ohne Eingabe von FTP Daten.
    Dann habe ich auf einem Server 2.5.1 komplett neu installiert und wunderte mich, dass ich da plötzlich meine FTP Daten eingeben sollte.

  17. Ich habe mitunter ein ganz anderes Problem mit dem automatischen Update:
    Wenn ich versuche nach Minor-Version-Changes (sprich: Ich habe 2.6.4 und es gibt 2.6.5) ein Upgrade durchzuführen behauptet WordPress doch tatsächlich ich hätte die aktuelleste Version, trotz des Hinweises bei der Plugin-Liste, der meint, ich hätte nicht die aktuellste Version. Das ist noch nicht einmal ein Einzelfall: Habe das schon mindestens 6mal gehabt!
    🙁
    mfg
    lionstarr

  18. Oft ändern die Autoren den Namen des Pluginordners, dies ist mir heute beim Checken von gut und gerne 45 Plugins aufgefallen,
    da is ein automatisches Update dann ein Versuchsspiel, entweder hat man zwei Installationen eines Plugins oder eine nicht funktionierende.

    da wird - mein Schalk kann nicht aus - aus searchandreplace dann search-and-replace

    wobei ich ehrlich bin, ich betrachte ein automatisches Update als Sicherheitsrisiko-weniger wegen irgendwelcher Zugangsdaten, sondern weil dann nichts getestet wurde.

    dies ist ein Zuckerl denke ich mir für einige, aber genau die, die sich eh oder wenig auskennen, stehen dann vor Fehlern, mit denen sie noch weniger zu recht kommen

    lg

  19. @Monika: Die Änderung des Ordner und Dateinamen ist notwenidg geworden, denn seit dem automatischen Update muss SVN, Datei, Plugin-Name und Ordner gleich sein. Verstehe die Kritik aber darüber hat WP sich ausgeschwiegen und man muss es als Anwender selbst erfahren.
    Bezüglich autom. Update -sehe ich auch so.

  20. @Monika:

    wobei ich ehrlich bin, ich betrachte ein automatisches Update als Sicherheitsrisiko-weniger wegen irgendwelcher Zugangsdaten, sondern weil dann nichts getestet wurde.

    Genau da hatte ich eine Problem. Ein Plugin ließ sich nach dem Update nicht mehr aktivieren, der Adminbereich war nur noch eine weiße Fläche. Unerfahrene Anwender stehen dann da wie der berühmte Ochse vorm Berg.

  21. also ich finde das eine sehr gelungene erneuerung.
    sicherheitstechnisch sollte es auch ziemlich sicher in der übertragung der daten sein.

  22. Hallo!
    Ich finde das eigentlich auch eine gelungene Neuerung, wenn sie denn nicht ... mißlungen wäre.

    Bei mir laufen nicht viele PlugIns, aber bei einem ging das automatische Update vollends daneben: WP-Print von Lester Chan. Das PlugIn ließ sich updaten, aber danach war die Config insofern zerschossen, daß - egal was ich für Einstellungen über das Backend vornahm - keine intendierte Druckversion angezeigt wurde. Erst als ich das PlugIn deaktiviert, vom Server gelöscht und die neueste Version händisch (ftp) installiert hatte, konnte ich es so im Backend konfigurieren, daß es ordnungsgemäß funktionierte.

    Beim Akismet-PlugIn hingegen funktionierte das automatische Update problemlos.
    Man muß also vielleicht unterscheiden zwischen offiziell unterstützten PlugIns und den Subunternehmer-PlugIns. Ich für meinen Teil lasse das mit dem Automati(k)(cc)-Kram und update per ftp.

  23. @Andreas: Leider hat WP keinen Standard für das automatische Updaten definiert, zumindest ist mir nichts bekannt und so können die Pluginautoren nur schwer nachziehen und raten, wo ihr Problem liegt. Die Autoren haben damit mehr Freiheit, sorgt aber für Unzufriedenheit bei Anwendern.

  24. Aha, danke, Frank. Das ist erhellend. Zeigt aber auch deutlich: Finger wech vonne Auto-Updates. Solange es keine Standards gibt zumindest. Aber die Richtung stimmt ja schon. Vielleicht gibt's dann bei v3.0 ein "richtiges" Autoupdate. Obwohl es ja auch so ist, daß händische Updates jetzt auch nicht soooo schwer sind. Es sei denn, man hat mehr als meine 10 PlugIns ... dann wird's stressig. 😉

  25. @Andreas: mein Problem ist, dass ich Autoupdate klicke und keine Kontrolle habe. Viele user mag das nicht stören, aber ich will nicht den ganzen Datenumfang des SVN auf meinem Server haben. Bsp.: Google Sitemap XML bringt im Language-Folder über 25 Dateien, eigentlich benötige ich nur die de-Datei.

  26. Ich hatte bisher mit den Auto-Updates außer dem oben geschilderten keine Probleme. Nur die Plugins eines gewissen Frank Bültge liegen nach dem Auto-Update in einem Unterordner des ursprünglichen Plugin-Verzeichnisses. 😉

  27. @Frank: Ja, klingt einleuchtend, Du Kontrollfreak. Es zeigt aber (was Du vorhin schon erklärt hast), daß die Update-Funktionen nicht gut implementiert sind bzw. ein Standard fehlt. Wenn zig unnütze Dateien mitgeladen werden, dann ist der Vorteil gegenüber einem händischen Updates defintiv dahin. Wenn aber exakt abgeglichen werden könnte, welche Dateien vorhanden und welche aktualisiert werden müssen ... dann müßtest auch Du zufrieden zu stellen sein. 😉
    Die Autoupdate-Funktion steckt bei WP sicher noch in den Kinderschuhen, aber das wird schon noch was. Gerade für den Normalanwender (wie mich), der wenig bis keine Ahnung von PHP und dem Aufbau der Software generell hat, erleichtert das die Wartungsarbeit doch sehr. Aber bis dahin werde ich mich halt persönlich um Updates kümmern (oder zu Serendipity überlaufen 😉 ).

  28. @Frank: Ich habe mich - im Vergleich zu WordPress - nur kurz mit Serendipity beschäftigt, aber dort ist es so, daß die PlugIns auf einem Hauptserver (?) liegen und bequem und einfach von dort über das Backend installiert und aktualisiert werden können. Man bekommt im Backend eine Übersicht der verfügbaren PlugIns, kann sich schön seine gewünschten zusammensuchen und mit einem Klick installieren (bzw. updaten), wobei bei einer Installation der nächste Schritt nach dem Klick die Konfiguration ist, was bei einigen PlugIns, wenn man sie nicht kennt, Schockmomente hervorruft, weil sie so umfangreich sind.
    Das ist eine nette Sache, aber natürlich habe ich keine Ahnung, ob da nicht auch wieder ftp-Daten mitübertragen werden etc. Wäre vielleicht mal den Blick einer Kontrollfreakspürnase wie Deiner wert ... 😉

  29. @Andreas: Eventuell spendiert mir ja mein Verlag das Buch zu Serendipity und ich kann die Ausführungen des Chefentwicklers folgen? Werde mal anfragen - weiß sowieso gerade nicht, ob das Buch nun fertig ist.

  30. @Frank: Laut amazon.de erscheint es am 28. Mai, man kann es bereits vorbestellen. Müßte also bald erhältlich sein.
    Kannst ja beim Verlag ein Rezensionsexemplar anfordern, Dich als WordPressian outen und Steve-Ballmer-like begründen "I'm going to f___ kill Serendipity" rufen und alle um Dich herum werden entsetzt sein, weil kein Mensch "s9y" kennt und alle denken, Du wolltest Serendipity/Salma Hayek aus Dogma ans Leder.
    Ok, da ging gerade meine Phantasie mit mir durch ... 😉

  31. @Andreas: klingt seht gut. Aber ich denke, ich frage einfach meinen Lektor. Da Garvin ja beim gleichen Verlag geschrieben hat wie ich bzw. ich wieder schreibe, denke ich doch, dass mir mal ein Rezensionsbuch zur verfügung stellt. Wenn, dann schreibe ich auch sicher drüber, ist versprochen, auch wenn mir WP weiterhin als Favorit für diverse Umsetzungen dient.

  32. Manche Diskussionen sollte man wirklich auch bis zum letzten Kommentar lesen 🙂 sonst verpasst man einiges.

    Mich würde es interessieren wie sicher bzw. wie viel sicherer ist es, wenn man bei der automatischen Plugin-Aktualisierung SSL benutzt. Mein Hoster bietet "FTP über SSL (Explizite Verschlüsselung)" an.

Comments are closed.