Unter dem Namen „Protect The Shire“ hat Matt Mullenweg im Blog für Meta-Themen verkündet, dass Auto-Updates in Zukunft 24 Stunden verzögert ausgeliefert werden.
Temporary 24-hour cooldown period for plugin/theme releases before auto-updates. […]
https://wordpress.org/news/2026/06/pts/
Leider ist die Beschreibung falsch oder zumindest irreführend, denn es sind nicht nur die automatischen Updates, die verzögert werden, sondern auch die manuellen Updates. Im Backend wird das Update also auch nicht zum manuellen Update angezeigt.
Das Problem dabei ist nur, dass nicht bedacht wurde, dass die readme.txt für WordPress.org schon übernommen wird, also auch der neue Changelog.
Und noch problematischer ist, dass beim Neu-Installieren des Plugins trotzdem die aktuellste Version (in diesem Fall 3.6.1) installiert wird.
Dabei soll die 24-Stunden-Verzögerung ja einen Sicherheitsgewinn bringen. Zeit für LLMs und Security-Researcher, das Update auf Malware zu prüfen.
Ich verstehe die Idee, dem Prozess Zeit zu geben, um das Update überprüfen zu können, bevor es automatisch ausgerollt wird. Aber worin besteht der Vorteil, wenn ich sehen kann, dass es ein Update gibt, es aber nicht manuell aktualisieren kann?
Insbesondere, wenn das Changelog eine Sicherheitslücke erwähnt, es aber nun 24 Stunden keinen Fix über das Update-System gibt.
Im Patchstack-Security-Whitepaper wird erwähnt, dass Lücken innerhalb von etwa 5 Stunden ausgenutzt werden. Wie passt das zusammen?
Ich sehe eine Lücke im Changelog und weiß, dass die Lücke jetzt 24 Stunden nicht gefixt wird, außer ich lade die ZIP-Datei manuell herunter und installiere es selbst – denn auf WordPress.org ist die Version die aktuelle (vermutlich notwendig, damit das Update getestet werden kann) – aber sie wird halt nicht über das Update-System ausgegeben.
Das ist doch nicht sicherer? Oder übersehe ich etwas?
Was denkst du über diese Neuerung? Ergibt das Sinn für dich oder ist es eher hinderlich für die Sicherheit? Ich freue mich über eure Einschätzung in den Kommentaren!