Automatische Updates: Ja oder Nein?

    Joomla Version
    5.4.1
    PHP Version
    PHP 8.4.x
    Hoster
    Lokal

    Eines vorweg: Ich halte es für vernünftig, dass ein früherer Post zu diesem Thema von einem Forum-Administrator geschlossen wurde, nachdem Nicholas Dionysopoulos seine Sicht der Dinge dargelegt hat.

    Trotzdem ist aus meiner Sicht das allgemeine Thema noch nicht ausdiskutiert. Deshalb meine Meinungen dazu:

    • Automatische Joomla-Updates sind gut geeignet dafür, Websites zu aktualisieren, die sonst nicht aktualisiert würden.
      Dabei dürfte es sich oft um Websites handeln, die selten bis nie geändert werden und "einfach so laufen". Und weil sie halt einfach so laufen und die Inhalte sich nicht ändern, schaut auch niemand mal ins Backend. Ergebnis nach einiger Zeit: Völlig überholte Softwarestände.
    • Wenn ich als Superuser eine Website ohnehin zweimal pro Woche oder öfter anfasse, brauche ich keine automatischen Updates. Da ich ohnehin im Backend unterwegs bin, kann ich ein anstehendes Update auch gleich mitmachen.
    • Problematisch bei automatischen Joomla-Updates sind aus meiner Sicht Updates von Erweiterungen. Dass Updates von Erweiterungen anstehen, erfahre ich im Backend; dieses allerdings werde ich selten besuchen, wenn sich Joomla selbst aktualisiert.
      Hilfreich kann in diesem Kontext das Extension Updates Plugin von Tobias Zulauf sein, eine Geplante Aufgabe, die per Mail auf anstehende Updates von Erweiterungen aufmerksam macht.

    Ich fahre beide Strategien:

    • Ich habe ein paar Sites, bei denen sich praktisch nie etwas ändert. Hier habe ich Automatische Jooma-Updates eingeschaltet und das erwähnte Plugin installiert. Müssen Erweiterungen wirklich dringend aktualisiert werden, so kann ich das vor dem nächsten Joomla-Release-Termin gesammelt erledigen.
    • Bei Websites, die ich ohnehin ständig anfasse, schalte ich die Automatischen Updates nicht ein.

    Freundliche Grüße aus Wächtersbach, Rolf Dautrich

    Vorab: Den gesperrten Thread kenne ich nicht.

    Ich musste vorhin nur lachen. An mehreren Stellen warnt Joomla seit Jahren davor, ohne Backups Updates zu fahren. Es gibt Stellen, da muss man Häkchen machen, dass man das zur Kenntnis genommen hat. Backups von Providern kann man in der Mehrheit noch nicht mal in der Pfeife rauchen. Ich bleib mir da treu. Backups macht man VOR Updates, um die Seite bei Update-Fehler schnell wieder zum Laufen zu bringen. Geht zwar auch per CronJobs und Easy Joomla Backups (akeeba-CronJobs habe ich nie verlässlich zum Laufen gebracht), aber nur dann, wenn z.B. wöchentliche Backups den ServerSpace nicht zuknallen und regelmäßig z.B. per SyncBack-Jobs runtergeladen werden, vorausgesetzt man hat groß genuges, lokales Laufwerk. Löschen per Joomla muss man dann nat. selber, auch, wenn SyncBack das wahrscheinlich auch kann (???).

    Mir wurde bei einer sehr schlichten/schmalen Joomla-5-KomplettEgalSeite vor paar Tagen von Auto-Update eine Joomla 6 installiert Klar, irgendeine von mir vergessene Einstellung, die du und ich intuitiv finden und zukünftig weiß ich das, aber jetzt ist es halt ohne Backup eben mal so. PHP-Version stimmt nicht mehr laut Requirements und weiterer zu ignorierender Kram bzgl. Erweiterungs-Inkompatibilitäten, die erst wieder Updates anbieten werden, wenn sie nach Meinung der Entwickler schon Joomla-6-Ready sind. Testen musste ich nat. doch ausgiebig zu einem mir ungelegenen Zeitpunkt. Für mich ein zeitnahes Muss nach jedem Update, das Testen.

    Gibt also vielleicht doch einiges zu beachten für den gequälten, blauäugigen Laien mit rosaroter Brille. Jedenfalls hat keiner meiner Kunden mit Wartungsvertrag (backups/updates/technische Belange etc.) gekündigt, nachdem ich das Für und Wider ehrlich und ohne Angstmacherei beschrieben habe.

    Ich nutze die Auto-Updates nicht, da ich Kontrolle über den Update-Prozess haben will und erst an einer Test-Seite teste, bevor ich die Update bei den Kunden einspiele. Auch sehe ich ein Risiko in fehlerhaften oder im schlimmsten Fall kompromittierten Updates.

    Generell: ich sehe keinen der hier beteiligten Akteure als Kernzielgruppe der automatischen Updates. Ihr beschäftigt euch offenkundig regelmäßig mit Joomla und habt die notwendige Aufmerksamkeit, um bei notwendigen Updates zeitnah zu reagieren. Toll, so soll es sein.

    Es gibt aber nunmal Seiten, bei denen das nicht der Fall ist - und genau diese Seiten bzw. deren Betreibende ist die Zielgruppe für das Feature.

    Zitat von Rolf Dautrich

    Problematisch bei automatischen Joomla-Updates sind aus meiner Sicht Updates von Erweiterungen. Dass Updates von Erweiterungen anstehen, erfahre ich im Backend; dieses allerdings werde ich selten besuchen, wenn sich Joomla selbst aktualisiert.
    Hilfreich kann in diesem Kontext das Extension Updates Plugin von Tobias Zulauf sein, eine Geplante Aufgabe, die per Mail auf anstehende Updates von Erweiterungen aufmerksam macht.

    Danke für die Blumen. Hier auch die Links falls für jemanden das relevant ist: JED / GitHub ist alles frei :)

    Das grundsätzliche Thema der Extensions ist korrekt und auch ein Thema welches das Projekt auf dem Schirm hat, das Gesamtkonstrukt ist aber leider nicht so einfach wie es sich auf den ersten Blick anhört da dazu auch noch Themen innerhalb des JEDs gelöst werden müssen. Man arbeitet aber aktuell, und auch schon länger, am JED.

    Als Ergänzung zu meinem Original-Beitrag: Natürlich mache ich nach jeder nennenswerten Änderung Backups meiner Websites, die ich ebenso selbstverständlich auch auf meine lokale Rechner-Infrastruktur herunterlade (wo sie in den normalen Backup-Zyklus mit einfließen).
    Auch wenn ich Erweiterungen aktualisiert habe, ziehe ich ein Backup, mit dem ich wie oben verfahre.


    zero24 Natürlich wusste ich, dass Du der Entwickler des beschriebenen Plugins bist. Ich wollte aber Deine Pseudonymität nicht brechen.

    Freundliche Grüße aus Wächtersbach, Rolf Dautrich

    Zitat von SniperSister

    Inwiefern kompromittiert?

    Guten Morgen, jemand oder ein Automatismus könnte Schadcode ins Repository einspielen.

    Da gab es ja zahlreiche Vorfälle in den letzten Jahren und verschiedenste Softwareprodukte waren betroffen, ich habe hier also allgemeine Vorbehalte, die gar nicht konkret nur auf Joomla zutreffen.

    Shai-Hulud 2: Neue Version des NPM-Wurms greift auch Low-Code-Plattformen an
    Die Angreifer haben aus ihren Fehlern gelernt und nun eine aggressivere Version des Wurms entwickelt. Der hat bereits über 27.000 Zugangsdaten geklaut.
    www.heise.de

    Selbstverständlich kann man darüber diskutieren dass einem das bei einem manuellen Update genauso gut passieren kann.

    Zitat von 89hf4edc

    Guten Morgen, jemand oder ein Automatismus könnte Schadcode ins Repository einspielen.

    Wenn es um den konkreten Code geht, der im Repo landet: der geht im Rahmen eines 4-Augen-Prozesses immer durch mehrere Hände. Die eigentlichen Releases werden ebenfalls im 4-Augen-Prinzip gebaut und die Update-Information selbst ist kryptographisch abgesichert. Bei NPM fehlt diese Art der Absicherung.

    Das Einschleusen von Schadcode (S. Shai-Hulud) kann eigentlich nicht passieren, denn Joomla benutzt seit J5.1 das Update-Framework TUF. Das stellt mit kryptografischen Mitteln sicher, dass solche Supply Chain Attacks nicht funktionieren. Die automatischen Updates wurden erst implementiert, nachdem mit TUF die sicherheitstechnischen Voraussetzungen vorhanden waren.

    Übrigens ist Joomla bisher das einzige Open-Source-CMS, das einen solchen Mechanismus benutzt.

    Und David Jardin alias SniperSister ist einer der Väter der Implememtierung. ;)

    Freundliche Grüße aus Wächtersbach, Rolf Dautrich

    Und noch etwas, was eigentlich selbstverständlich sein sollte:

    • Wenn man Automatische Updates einschaltet, sollte man dafür sorgen, dass alle Verantwortlichen für die Website informiert werden, indem die E-Mail-Funktion eingeschaltet wird:


      Und natürlich sollte getestet sein, dass die E-Mail-Funktion der Website funktioniert und die Mails bei den Verantwortlichen auch ankommen.

    • Und wenn eine solche Mail-Benachrichtigung angekommen ist, sollte man halt minimal mal prüfen, ob das Frontend der Website noch funktioniert.

    Freundliche Grüße aus Wächtersbach, Rolf Dautrich

    Zitat von Re:Later

    ...Vorab: Den gesperrten Thread kenne ich nicht...

    Siehe diesbezüglich: Joomla Version 5.4.1 und 6.0.1

    Ich denke #7 wird von vielen zu wenig beachtet.

    Zitat von Rolf Dautrich

    ...Hilfreich kann in diesem Kontext das Extension Updates Plugin von Tobias Zulauf sein, eine Geplante Aufgabe, die per Mail auf anstehende Updates von Erweiterungen aufmerksam macht...

    Wobei dieses Plugin aus bisher unbekannten Gründen wohl zu sporadisch hängender Aufgabe "Mail bei Update einer Erweiterung" führt und damit alle "Geplante Aufgaben" dann nicht mehr ausgeführt werden:

    Geplante Aufgaben - Symbol bei Update Notification

    Zitat von Sieger66

    Wobei dieses Plugin aus bisher unbekannten Gründen wohl zu sporadisch hängender Aufgabe "Mail bei Update einer Erweiterung" führt und damit alle "Geplante Aufgaben" dann nicht mehr ausgeführt werden:

    Muss ich mir ansehen, sehe gerade du hast mich auch getaggt, Bin ich noch nicht dazu gekommen hab ich noch auf der Liste. Danke für die Erinnerung

    Die Frage ist berechtigt, aber E-Mail-Freigabe ohne Login ist schon Komfort. Zumal ich mit Kubik-Rubik - Extensions sehr gute Erfahrungen gemacht habe. Außerdem sendet Viktors Plugin nur eine E-Mail, anstatt ständig zu nerven.