Web Development Blog
Contao, Wordpress, PHP, JavaScript, CSS, HTML & Co.

Datum: Sonntag, 13. April 2014

Autor: Tobias Scheible

Kommentar(e): 5 Kommentare

Kategorie: PHP, Wordpress

Tags: Bug, Fehler, PHP, SSL, TLS, Wordpress

WordPress Multi-Blog Aktualisierung: SSL-Fehler

Viele Tipps, um die Sicherheit einer WordPress-Installation zu verbessern, beinhalten auch die zwangsweise Verwendung einer SSL-Verbindung für den Admin-Bereich. Aber die SSL-Konfiguration kann die Aktualisierung einer WordPress Multi-Blog Installation verhindern. Das Problem tritt auf, wenn kein korrektes SSL-Zertifikat bzw. ein selbst signiertes Zertifikat für die verwendete Domain hinterlegt ist.

WordPress SSL-Fehler

Bei „normalen“ WordPress-Installationen, also ohne eingerichtetes Blog-Netzwerk, trat der Fehler bei mir bisher noch nie auf. Daher betrifft es vermutlich nur die Multi-Blog Installationen. Eigentlich ist der Hinweis ja korrekt, dass es ein Problem mit dem SSL-Zertifikat gibt. Aber eigentlich sollte ein Hinweis reichen und nicht die Aktualisierung mit einer Fehlermeldung abgebrochen werden. Das Fehlen eines korrekten SSL-Zertifikats war mir bewusst, und dadurch wurde die Installation von Sicherheitsupdates verhindert.

Die Fehlermeldung, die bei der Aktualisierung von WordPress erscheint:

Warnung! Problem beim Aktualisieren von https://exmaple.com. Vermutlich gab es einen Zeitablauf. Die Fehlermeldung lautet: SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed.

Der Fehler in der englischen Version von WordPress:

Warning! Problem updating https://exmaple.com. Your server may not be able to connect to sites running on it. Error message: SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed.

Behebung des Fehlers

Im offiziellen WordPress-Forum habe ich dann den Hinweis gefunden, wie trotzdem ein Update möglich ist. Dazu muss einfach die Zeile 67 der Datei „/wp-admin/network/upgrade.php“ bearbeitet werden und der Parameter „’sslverify‘ => false“ hinzugefügt werden.

Bisheriger Eintrag:

$response = wp_remote_get( $upgrade_url, array( 'timeout' => 120, 'httpversion' => '1.1' ) );

Neuer Eintrag:

$response = wp_remote_get( $upgrade_url, array( 'timeout' => 120, 'httpversion' => '1.1', 'sslverify' => false ) );


Damit funktioniert die Aktualisierung einer WordPress Multi-Installation ohne SSL-Fehlermeldung.

  • Artikel teilen:

Kommentare

Dentaku

Wäre es nicht die bessere Idee, die Validierung des Zertifikats zu reparieren?

(das geht ja auch ohne teures Wildcard-Zertifikat mit einem selbstsignierten oder CAcert-Zertifikat, wenn nur die OpenSSL-Installation auf dem Server die Zertifizierungsstelle kennt)

Tobias Scheible

Hallo Dentaku,

auf jeden Fall ja. Ein valides Zertifikat ist natürlich immer zu bevorzugen. Nur wenn die Seite bei einem Webhoster liegt, dann gibt es oftmals keine Möglichkeit eigene Zertifikate zu installieren, sondern nur vorgegebene kostenpflichtige.

Grüße
Tobias

MarkusW

Hi, vielen Dank für den Beitrag. Hat mir echt einiges an Arbeit erspart. Gerade Multi-Blogs sind eher selten genutzt, da findet man weniger Informationen im Netz. Weiter so! Gruß 😉

Matthias

Vielen Dank für den Tipp!

WordPress 4.0 „Benny“ ist da! › Web Development Blog

[…] ohne Probleme funktioniert. Zwar gab es bei der Aktualisierung des Netzwerks wieder den bekannten SSL-Fehler, dieser konnte aber schnell behoben werden. Bisher habe ich keine Probleme entdeckt und es läuft […]

Schreibe einen Kommentar!

Hilfe zum Kommentieren

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen oder eine Gefährdung anderer Besucher darstellen, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und sie haben die Möglichkeit, ein Avatar-Bild zu verwenden. Dazu müssen Sie mit Ihrer E-Mail Adresse bei Gravatar angemeldet sein. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

nach oben
Schatten