Mir kommt es fast so vor, als ob ich gestern erst das Update auf WordPress 4.2 gemacht hätte. :oops: – Das liegt vielleicht daran; es war wirklich erst gestern, dass ich das letzte WP-Update eingespielt hatte und auch das vorletzte war erst vor sieben Tagen, am 21.April. Am gestrigen Nachmittag gab es dann ja reichlich Artikel, dass im aktuellen WordPress immer noch eine schon seit einigen Monaten bekannte dicke Sicherheitslücke offen war. Im Moment nehmen die Probleme gerade mal wieder zu.
am ElpenbachZum aktuellen ‚Bug‘ las man erst auf Golem.de und dann auch auf Heise.de. Demnach muss man wohl im Moment gerade bei Kommentaren etwas mehr acht geben. Nicht sehr schön fand ich bei der Gelegenheit, dass die Lücke wohl schon länger bekannt ist. Auf Golem ließt man ‚Jouko Pynnönen schreibt auf Twitter, dass er seit November versucht hatte, die WordPress-Entwickler auf dieses Problem hinzuweisen…
Ein kleiner Test ergab, dass die Lücke auch wirklich gut funktioniert, :evil: – wenn dieser ‚Zustand‘ tatsächlich schon seit fast einem halben Jahr so besteht und bekannt ist, dann wirft das ja kein sehr gutes Licht auf die WordPress-Entwickler.
Nun haben sie aber doch noch sehr zügig reagiert, denn in der Nacht gab es das entsprechende Update, so dass man heute Früh beim öffnen des BackEnds, den entsprechenden Hinweis erhielt:

WordPress 4.2.1 ist verfügbar! Bitte benachrichtige den Administrator.

Auch mein ReleaseNote-Fensterchen ploppte heute Früh mit dem Hinweis auf ein WordPress 4.2.1 Security Release auf. Mein Update-Script brachte aber vor dem zur Arbeit gehen keine Erleichterung; die deutsche 4.2.1-er Version war noch nicht verfügbar. Auf der deutschsprachigen WordPress-Seite konnte man weiterhin nur WordPress 4.2 herunterladen. Dementsprechend ging dann auch mein Update-Versuch in die Hose:

...
cd ./wp
wget -N https://de.wordpress.org/wordpress-4.2.1-de_DE.zip
   --2015-04-28 06:27:58--  https://de.wordpress.org/wordpress-4.2.1-de_DE.zip
   Auflösen des Hostnamen »de.wordpress.org (de.wordpress.org)«... 66.155.40.249, 66.155.40.250
   Verbindungsaufbau zu de.wordpress.org (de.wordpress.org)|66.155.40.249|:443... verbunden.
   HTTP-Anforderung gesendet, warte auf Antwort... 404 Not Found
   2015-04-28 06:28:00 FEHLER 404: Not Found.

Also probierte ich es mit der englischsprachigen Version:

cd ./wp
wget -N https://wordpress.org/wordpress-4.2.1.tar.gz
cd ./httpd
tar xzf ./wp/wordpress-4.2.1.tar.gz
rcapache2 reload
Das lief dann gut durch und hinterher war nur noch ein Datenbank-Update nötig und ich konnte beruhigt arbeiten gehen.

WordPress

Es ist eine Aktualisierung der Datenbank notwendig

WordPress wurde aktualisiert! Ehe du dich drauf stürzen kannst, müssen wir nur noch deine Datenbank auf die neueste Version bringen.

Der Updateprozess beginnt. Dies kann eine Weile dauern, hab bitte etwas Geduld.

WordPress-Datenbank aktualisieren

WordPress

Aktualisierung erfolgreich

Deine WordPress-Datenbank wurde erfolgreich aktualisiert.

Fortfahren

Zuletzt musste ich dann noch meine vier angepassten php-Dateien wieder zurück spielen und auch die Such-Anpassung im Core machen und hatte wieder eine aktuelle WordPress-Version.