Tobias Scheible Cyber Security & IT-Forensik Dozent

WordPress Multi-Blog Aktualisierung: SSL-Fehler

Viele Tipps, um die Sicherheit einer WordPress-Installation zu verbessern, beinhalten auch die zwangsweise Verwendung einer SSL-Verbindung für den Admin-Bereich. Aber die SSL-Konfiguration kann die Aktualisierung einer WordPress Multi-Blog Installation verhindern. Das Problem tritt auf, wenn kein korrektes SSL-Zertifikat bzw. ein selbst signiertes Zertifikat für die verwendete Domain hinterlegt ist.

Sonntag, 13. April 2014
8 Kommentare

WordPress SSL-Fehler

Bei „normalen“ WordPress-Installationen, also ohne eingerichtetes Blog-Netzwerk, trat der Fehler bei mir bisher noch nie auf. Daher betrifft es vermutlich nur die Multi-Blog Installationen. Eigentlich ist der Hinweis ja korrekt, dass es ein Problem mit dem SSL-Zertifikat gibt. Aber eigentlich sollte ein Hinweis reichen und nicht die Aktualisierung mit einer Fehlermeldung abgebrochen werden. Das Fehlen eines korrekten SSL-Zertifikats war mir bewusst, und dadurch wurde die Installation von Sicherheitsupdates verhindert.

Die Fehlermeldung, die bei der Aktualisierung von WordPress erscheint:

Warnung! Problem beim Aktualisieren von https://exmaple.com. Vermutlich gab es einen Zeitablauf. Die Fehlermeldung lautet: SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed.

Der Fehler in der englischen Version von WordPress:

Warning! Problem updating https://exmaple.com. Your server may not be able to connect to sites running on it. Error message: SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed.

Behebung des Fehlers

Im offiziellen WordPress-Forum habe ich dann den Hinweis gefunden, wie trotzdem ein Update möglich ist. Dazu muss einfach die Zeile 67 der Datei „/wp-admin/network/upgrade.php“ bearbeitet werden und der Parameter „’sslverify‘ => false“ hinzugefügt werden.

Bisheriger Eintrag:

$response = wp_remote_get( $upgrade_url, array( 'timeout' => 120, 'httpversion' => '1.1' ) );

Neuer Eintrag:

$response = wp_remote_get( $upgrade_url, array( 'timeout' => 120, 'httpversion' => '1.1', 'sslverify' => false ) );


Damit funktioniert die Aktualisierung einer WordPress Multi-Installation ohne SSL-Fehlermeldung.

Über Tobias Scheible

Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog und in meinem Fachbuch. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Kommentare

Dentaku am 14. April 2014 um 09:12 Uhr

Wäre es nicht die bessere Idee, die Validierung des Zertifikats zu reparieren?

(das geht ja auch ohne teures Wildcard-Zertifikat mit einem selbstsignierten oder CAcert-Zertifikat, wenn nur die OpenSSL-Installation auf dem Server die Zertifizierungsstelle kennt)

Tobias Scheible am 20. April 2014 um 14:06 Uhr

Hallo Dentaku,

auf jeden Fall ja. Ein valides Zertifikat ist natürlich immer zu bevorzugen. Nur wenn die Seite bei einem Webhoster liegt, dann gibt es oftmals keine Möglichkeit eigene Zertifikate zu installieren, sondern nur vorgegebene kostenpflichtige.

Grüße
Tobias

MarkusW am 7. Mai 2014 um 18:51 Uhr

Hi, vielen Dank für den Beitrag. Hat mir echt einiges an Arbeit erspart. Gerade Multi-Blogs sind eher selten genutzt, da findet man weniger Informationen im Netz. Weiter so! Gruß 😉

Matthias am 6. September 2014 um 12:59 Uhr

Vielen Dank für den Tipp!

WordPress 4.0 „Benny“ ist da! › Web Development Blog am 7. September 2014 um 23:40 Uhr

[…] ohne Probleme funktioniert. Zwar gab es bei der Aktualisierung des Netzwerks wieder den bekannten SSL-Fehler, dieser konnte aber schnell behoben werden. Bisher habe ich keine Probleme entdeckt und es läuft […]

Wordpress SSL Zertifikat Fehlermeldung – Rokopf Blog am 14. Dezember 2015 um 03:11 Uhr

[…] der Suche nach einer Lösung, fand ich einen Beitrag im Netz, in dem dazu geraten wird, die SSL-Verifikation in der upgrade.php einfach abzustellen (übersteht […]

Jeromy am 4. April 2016 um 21:59 Uhr

Kleiner Hinweis: Im aktuellen WordPress 4.4.2 funktioniert dieser Workaround nicht mehr. Stattdessen muss folgende Datei bearbeitet werden:

/http/wordpress/wp-includes/class-http.php -> Zeile 132

‚blocking‘ => true,
‚headers‘ => array(),
‚cookies‘ => array(),
‚body‘ => null,
‚compress‘ => false,
‚decompress‘ => true,
->> ’sslverify‘ => true

Gruss

Jeromy

Paulina am 2. März 2018 um 07:46 Uhr

Hatte selber dieses Problem noch nicht, aber trotzdem ist es gut zu wissen was man machen kann, danke!

Schreibe einen Kommentar!

Hilfe zum Kommentieren und Hiweise

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen, eine Gefährdung anderer Besucher darstellen oder keinen sinvollen Inhalt beinhalten, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und damit ich direkt Kontakt aufnehmen kann. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

Ihre E-Mailadresse wird nicht veröffentlicht. Mit dem Absenden anerkennen Sie die Datenschutzhinweis des Blogs.