Prijavi se z GoogleID

» »

Kako se bo WordPress množično posodabljal

Kako se bo WordPress množično posodabljal

Slo-Tech - Približno tretjina vseh spletnih strani poganja WordPress, ki je s tem tudi daleč najpopularnejši sistem za urejanje vsebine (CMS). WordPress je doslej prilezel že do verzije 5.2, aktivno pa so vzdrževane vse verzije od vključno 4.7. Toda na internetu še vedno mrgoli starejših verzij, ki niso le nepodprte, temveč tudi polne že zdavnaj odpravljenih hroščev in zakrpanih ranljivosti. Zato razvijalca WordPressa snujejo načrt, kako bodo v prihodnosti vse stare verzije oddaljeno posodobili.

Ker gre pri takšni veliki nadgradnji milijonov strani lahko marsikaj narobe, se bodo projekta lotili korakoma. Sprva bodo dva odstotka vseh namestitev WordPressa 3.7 nadgradili na 3.8. Teden dni pozneje bodo nadgradili še 18 odstotkov namestitev, še teden dni kasneje pa še preostanek. Nato bodo celoten postopek ponovili za nadgradnjo s 3.8 na 3.9, pa potem s 3.9 na 4.0 in tako počasi do 4.7, ki je zadnja podprta verzija. Ob tem bodo ves čas spremljali, kaj se dogaja na internetu in ali je prišlo do kakšnega večja poloma na straneh. Če bo šlo kaj množično narobe, bodo nadgradnje ustavili, sicer pa bodo obvestili upravljavce prizadetih strani, naj poskrbijo za skladnost z novo verzijo WordPressa. Vse verzije pred 3.7 bodo ostale, ker nimajo funkcije za samodejno posodabljanje; takšnih je tri odstotke.

Predstavljena je kompromisna različica, medtem ko je bil prvotni načrt precej brutalen. Po njem bi vse stare verzije WordPressa nemudoma nadgradili neposredno na WordPress 4.7, kar bi zagotovo povzročilo nemalo težav. Teme in vtičniki na številnih starih straneh se namreč ne bi razumeli z novim jedrom WordPressa. Upravljavci strani bodo imeli tudi možnost, da se avtomatičnemu posodabljanju izrecno odpovedo (opt out), in sicer bodo dobili obvestilo o nadgradnji vsaj šest tednov pred datumom posodobitve. V obvestilu bodo administratorje strani odločno opozorili, da nenadgradnja predstavlja veliko varnostno tveganje.

18 komentarjev

smihael ::

kako pa to mislijo tehnično speljati? če php proces lavfa pod drugim userjem kot user, ki si lasti samo php skripto, se ne more program. kar sam od sebe prepisati. pa tudi svojega ftp gesla ni glih vsak pustil v spominu WordPress-a...

SlimDeluxe ::

@smihael, kolikor sem videl večina hostingov dandanes po defaultu uporablja PHP FPM in ne več apache modul, tako da gre za enega in istega userja. Itak da ne rabijo tvojega FTPja, ampak se bo nadgradnja izvedla v ozadju, verjetno periodično ko boš obiskal določen URL, saj AFAIK do zdaj WP ni zahteval nobenega cron joba za kakšen scheduler.
Desktop: i5 6500 | RX580 8GB | 16GB DDR4 | be quiet! StraightPower 11 650W
Laptop Asus TUF FX705GD: i7 8750H | GTX1050 | 16GB DDR4 | 17" FullHD IPS

opeter ::

Problem je tudi, da ne moreš posodobiti na najnovejšo verzijo, če uporabljaš starejšo verzijo PHP-ja.
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j

starfotr ::

Pač je treba iti naprej z razvojem. Saj če zadeve niso online, potem je vseeno kakšen software furaš. Če je pa online, je pa treba stalno skrbeti za najnovejše verzije, da se zmanjša varnostno tveganje.

win64 ::

starfotr je izjavil:

Pač je treba iti naprej z razvojem. Saj če zadeve niso online, potem je vseeno kakšen software furaš. Če je pa online, je pa treba stalno skrbeti za najnovejše verzije, da se zmanjša varnostno tveganje.

Tako je. Za stran, za katero je naročnik s težkim srcem odštel 300 EUR, boš sedaj delal mesečno vzdrževanje na najnovejšo verzijo. Seveda pro bono. Seveda boš vsakič tudi poiskal alternativno temo in vtičnike, če slučajno niso kompatibilni z novo verzijo.

tikitoki ::

To bi znalo biti še zabavno. Manj zabavno, če bo prizadelo kakšno stran, ki jo sam koristi.

kow ::

starfotr je izjavil:

Pač je treba iti naprej z razvojem. Saj če zadeve niso online, potem je vseeno kakšen software furaš. Če je pa online, je pa treba stalno skrbeti za najnovejše verzije, da se zmanjša varnostno tveganje.


So te ze indoktrinirali.

starfotr ::

win64 je izjavil:

starfotr je izjavil:

Pač je treba iti naprej z razvojem. Saj če zadeve niso online, potem je vseeno kakšen software furaš. Če je pa online, je pa treba stalno skrbeti za najnovejše verzije, da se zmanjša varnostno tveganje.

Tako je. Za stran, za katero je naročnik s težkim srcem odštel 300 EUR, boš sedaj delal mesečno vzdrževanje na najnovejšo verzijo. Seveda pro bono. Seveda boš vsakič tudi poiskal alternativno temo in vtičnike, če slučajno niso kompatibilni z novo verzijo.


Lahko bi že vedeli in tudi podučili svoje naročnike, da je spletna stran kontinuiran proces, s katero se je treba ukvarjat in da je tudi stalni strošek, da ni to enkratno plačilo in potem pozabiš za 100 let. Vzdrževanje, hosting...

Isto je z računalniki, treba jih je vzdrževat in tudi tu ni samo enkratnega nakupa in potem pozabiš na to.

Če kdo želi nezahtevno stran za 100 let, naj pač uporabi statično stran, čisti HTML, zakaj bi uporabil WP? In zaboga, če že dela stran z WP, naj kupi temo. Kupi, ne sname neko xy zastonj temo, ki se ne posodablja. To je nek higienski minimum.

#000 ::

Sliši se dobro vendar v praksi pa vidim polom. Pa se ne sekiram saj WP ne uporabljam.
Se trudim da ne hranim trolov.

kow ::

Nimajo jih nic "poucevati", take stvari se mora zapisati v pogodbo oz. pogoje, ne pa da se ponudniki arbitrarno odlocajo. Software je itak najvecji nateg 21. stoletja - uporabnik niti priblizno ne ve kaj je kupil.

Zgodovina sprememb…

  • spremenil: kow ()

starfotr ::

Ni nateg. Vsak si ga lahko prilagodi po svoje, zato pa imamo odprta orodja.

Hermit Bob ::

Upam, da se jim zalomi, bo spet malo smeha...

borko ::

SlimDeluxe je izjavil:

večina hostingov dandanes po defaultu uporablja PHP FPM in ne več apache modul, tako da gre za enega in istega userja.

Hm, sliši se nevarno, potem imajo PHP skripte write dostop do vseh uporabniških datotek?

c3p0 ::

Za začetek bi lahko /wp-admin dali na nek random URL in bi že tu rešili nemalo problemov, predvsem brute force kind.

Pa potem razni formi, ki nimajo po defaultu vklopljeni captche in povrhu vklopljeno opcijo "pošlji kopijo sebi", kar spammerji s pridom uporabljajo.

SlimDeluxe je izjavil:

@smihael, kolikor sem videl večina hostingov dandanes po defaultu uporablja PHP FPM in ne več apache modul, tako da gre za enega in istega userja.


Fajli so dandanes večinoma owned per-user. Grobo rečeno Apache/Nginx postane tisti user, preden sploh začne loadat site.

Zgodovina sprememb…

  • spremenil: c3p0 ()

MrStein ::

Hermit Bob je izjavil:

Upam, da se jim zalomi, bo spet malo smeha...

Bog me obvarji človekoljubov, ostalih se bom že sam...
Teštiram če delaž - umlaut dela: ä ?

SlimDeluxe ::

borko je izjavil:

SlimDeluxe je izjavil:

večina hostingov dandanes po defaultu uporablja PHP FPM in ne več apache modul, tako da gre za enega in istega userja.

Hm, sliši se nevarno, potem imajo PHP skripte write dostop do vseh uporabniških datotek?

"Uporabiške datoteke" so na strežniku datoteke, ki so relevantne za spletno aplikacijo, torej ja. Tudi spletni CMSji (po mojem spominu) priporočajo da je owner = spletni proces, kar dejansko dosežeš s FastCGI ali FPM, z Apache modulom pa tudi lahko nastaviš, pod katerim userjem naj teče servis, ampak AFAIK to lahko narediš samo na nivoju strežnika in ne na virtual hostu, ampak to je velik security fail :) Pod črto, brez pravega writable dostopa ne morejo npr. delati nadgradnje preko spletne administracije in na to ciljajo tudi s tem dodatkom.
Desktop: i5 6500 | RX580 8GB | 16GB DDR4 | be quiet! StraightPower 11 650W
Laptop Asus TUF FX705GD: i7 8750H | GTX1050 | 16GB DDR4 | 17" FullHD IPS

Zgodovina sprememb…

MrStein ::

Če se ne more sam posodobiti, potem ne moremo reči, da ima funkcijo "samodejno posodabljanje". Ampak članek trdi, da ima.
Teštiram če delaž - umlaut dela: ä ?

Hermit Bob ::

MrStein je izjavil:

Hermit Bob je izjavil:

Upam, da se jim zalomi, bo spet malo smeha...

Bog me obvarji človekoljubov, ostalih se bom že sam...


Boga ni, je samo dusevna bolezen. Pa tudi sicer, ce se clovekoljubi "zarotijo" (dusevna bolezen, samo druga) proti tebi, verjetno nisi clovestvu ljub. Kakor mu tudi ni WP, se eno skrpucalo na katerem je kupe salabajzerjev zasluzilo veliko prevec.

Zgodovina sprememb…



Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Wordpress - child theme (strani: 1 2 )

Oddelek: Izdelava spletišč
567424 (3612) Mitja358
»

GHOST - resna ranljivost v glibc

Oddelek: Novice / Varnost
255496 (2623) jype
»

Ocena

Oddelek: Izdelava spletišč
111839 (1466) Tody
»

Napad spreminja strani na WordPressu v zombije za DDoS

Oddelek: Novice / Varnost
155462 (3792) Tody
»

Obsežen napad na namestitve WordPressa

Oddelek: Novice / Varnost
64162 (2099) Bistri007

Več podobnih tem