WordPress团队致力于大胆计划强行更新旧网站

WordPress开源内容管理系统(CMS)背后的开发人员正在制定一项计划，强制将旧版本的CMS自动更新到更新的版本。该计划的目标是提高WordPress生态系统和整个互联网的安全性，因为WordPress安装占所有互联网网站的34%以上。官方支持的版本仅包括最后六个WordPress主要版本，这些版本目前是v4.7和v5.2之间的所有版本。计划是从v3.7开始慢慢自动更新旧的WordPress站点到当前的mimum支持版本，即v4.7版本。这将在多个阶段完成，如下所示：

所有WP 3.7站点中有2%将自动更新为WP 3.8

一周后，另外18%将自动更新为WP 3.8

两周后，80%的WP 3.7站点将自动更新为WP 3.8。

重复上述步骤，但将站点从WP 3.8迁移到WP 3.9;WP3.9到WP 4.0;等等。

WordPress团队表示，它计划监控此分层强制自动更新流程，以防止错误和网站破坏。如果出现严重错误，则可以完全停止自动更新。

如果只有少数几个站点中断，那么这些站点将回滚到以前的版本，并且将通过电子邮件通知所有者。

“电子邮件应该是一个措辞强硬的警告，让他们知道他们的网站无法升级到安全版本，他们应该立即手动更新。如果他们不更新，几乎可以保证他们的网站将被黑客攻击最终，“WordPress开发团队的成员Ian Dunn说道。

第一个自动更新计划将对互联网造成严重破坏

这看起来是一个明智的解决方案，但早期的提案让WordPress团队立即将所有旧的WordPress网站强制更新到4.7版本。

在来自WordPress网站所有者的大量负面反馈之后，这个想法很快就被刮掉了，他们警告说数百万个网站因为主题，插件和较新的WordPress核心版本之间的不兼容而导致WSOD(白屏死机)错误。

分层强制自动更新是反馈的结果，并且可以考虑可能的站点破坏。

此外，WordPress团队计划允许网站所有者选择退出此强制更新流程。WordPress团队计划向网站管理员发送电子邮件，并在开始自动更新过程之前在网站的仪表板中显示严厉的警告。这些警告还将包括选择退出说明，并将在网站强制自动更新前至少六周显示/发送。

“他们会被警告选择退出的安全隐患，”邓恩说。

超过3%的互联网运行过时的WORDPRESS网站

自动更新过程的细节尚未最终确定，但一位消息人士告诉ZDNet，WordPress安全团队希望在一年内自动更新所有旧网站。

v3.7之前的版本不会自动更新，因为v3.7是CMS中包含自动更新机制的版本。

这些旧版本仅支持手动更新，无法自动更新。但是，v3.7之前的版本占所有WordPress安装的不到1%，因此这不会是一个大问题。

运行v3.7到v4.7版本的WordPress网站占所有WordPress网站的11.7%，大约在数千万个网站范围内。

这大约占所有互联网网站的3%，目前运行的是非常古老的WordPress版本。WordPress 3.7于2013年10月23日发布，而当前最低“安全”版本v4.7于2016年12月发布。

这是去年的预示

虽然强制更新的计划让webdev社区的一些成员感到震惊，但它并没有让ZDNet感到惊讶。

我们知道它即将到来，因为WordPress安全团队去年暗示了这一点。在DerbyCon 2018安全会议的一次演讲中，WordPress安全团队负责人Aaron Campbell表示，他的团队正致力于“在互联网上擦除旧版本。”

安全

GitHub起诉帮助解决Capital One漏洞攻击

走向大学?留意关于你的学习的虚假电子邮件的激增

在最近的美国枪击事件发生后，Cloudflare终止了对8chan的服务

4个网络钓鱼诈骗中有3个未受影响地进入您的收件箱

网络安全101：保护您的隐私免受黑客，间谍和政府的侵害

谷歌正在购买人们的脸，并试图提供帮助(ZDNet YouTube)

这就是他的意思。

WordPress开发团队希望将所有旧的CMS版本强制更新到新版本的原因是因为人力。

在过去的六年中，WordPress开发人员一直在向所有版本返回WordPress 3.7的每个安全补丁程序向后移植。

虽然这在开始时是可行的，但随着WordPress CMS的推进，它花费了越来越多的时间，因为WordPress开发人员必须将更新的PHP代码转换为与旧的WordPress代码库兼容的代码。

“作为一支安全团队，这对我们来说太糟糕了，”坎贝尔去年在DerbyCon谈到了这个过程。“但这对我们的用户来说绝对是最好的。因为这是我们设定成功标准的地方，这就是我们所做的。”

通过将所有用户移动到WordPress 4.7(以及4.8,4.9等)，开发人员也可以让他们的生活更轻松，同时也使整个互联网更加安全。

目前，WordPress是目前最具针对性的CMS，主要是由于它的大量采用和巨大的攻击面。减少攻击面是对抗恶意软件僵尸网络的更简单方法，这些僵尸网络接管WordPress网站并使用它们来托管恶意软件，SEO垃圾邮件或发起DDoS攻击。