Het WordPress Security Team is bezig met het verkennen van de mogelijkheden om het aantal beveiligingsupdates voor oudere WordPress versies terug te brengen. Met elke groter versie die wordt uitgebracht, gaat er meer tijd zitten in het ondersteunen van oudere versies tot 3.7. Dat is de update die automatische achtergrond updates introduceerde.
“Een hoop tijd en energie”
“Voor het Core Security Team betekent dit dat wanneer er beveiligingsupdates moeten worden uitgebracht, we niet alleen de huidige WordPress versie moeten testen, maar ook alle andere grote versies tot aan 3.7,” zei teamleider Jake Spurlock. “Nu 5.3 eraan komt zitten we op meer dan vijftien grote WordPress versies die we op de lange termijn moeten ondersteunen.” Volgens Spurlock draait 0.1% van alle WordPress sites op 3.7. Maar hij merkt op dat het ondersteunen van oudere versies “een hoop tijd en energie kost”. Daardoor kan het team niet zo effectief werken als ze zouden willen.
Toen gevraagd werd hoeveel tijd er precies wordt ingestoken, antwoordde Spurlock dat dit afhangt van hoeveel tickets/issues er verwerkt moeten worden. Alle patches worden door meerdere teamleden bekeken, getest en geïmplementeerd. Het team beschikt over zo’n 50 beveiligingsexperts. Veel daarvan werken voor Automattic, maar er zitten ook vrijwilligers bij.
“Het probleem met het ontwikkelen van beveiligingsupdates voor oudere WordPress versies zit in de hoeveelheid tests en ontwikkeling die specifiek is voor elke oude WordPress versie,” zei Spurlock. Hij gaf WordPress 4.2 als voorbeeld. Die versie kreeg een relatief grote herstructurering. “Dus om een bug fix te implementeren moeten we extra tests doen, zorgen dat de paden voor patches werken, en meer. Ook de veranderingen in de code bij elke versie maken met lastig om te zorgen dat de patches op oudere versies werken.”
Minder beveiligingsupdates?
Spurlock vroeg om feedback en ideeën over hoe het team minder versies van WordPress zou kunnen ondersteunen en tegelijkertijd de veiligheid van gebruikers kan blijven waarborgen.
Een aantal mensen stelden voor om admins van oudere installaties via email te benaderen met de vraag om te updaten. Ook een “please upgrade” widget voor oudere versies werd voorgesteld. Er werd ook gesuggereerd om incrementele updates van oude versies naar de meest recente te verbeteren. Dit omdat grote versie sprongen intimiderend kunnen zijn voor gebruikers,
De discussie over minder beveiligingsupdates voor oude WordPress versies is nog steeds gaande. Wil je hier meer over weten of heb je ideeën? Laat dan een reactie achter op de Make WordPress post.
Wil jij je geen zorgen hoeven maken over de veiligheid van je WordPress site? Check dan ons WordPress Beveiliging abonnement!