Vlákno názorů k článku
WordPress 4.9.3 má rozbité automatické aktualizace, novou verzi musíte nainstalovat ručně
od MMN - Automatické aktualisace Wordpressu, tj. možnost spouštěných php skriptů...
-
MMN (neregistrovaný)
Automatické aktualisace Wordpressu, tj. možnost spouštěných php skriptů upravovat spouštěné php skripty, je jedna z největších bezpečnostních děr ve Wordpressu. Základem bezpečného provozu WordPressu je nastavit práva tak, aby mohl sahat jen na svou databázi a do několika datových adresářů, nikdy ne na skripty samotné!
-
mirekk (neregistrovaný)
Tak ono lze velmi jednoduše a to přepsáním TRUE na FALSE v jednom jediném řádku v config.php automatické aktualizace zakázat. Když tomu tak rozumíte, jistě o této možnosti víte. Já jsem samouk a už dražbě let je mám zakázané a aktualizuju ručně. Už kvůli kompatibiltě nových verzí se šablonou či pluginy.
Při vydání velké aktualizace si počkám na první opravnou a teprv tu pak instaluju. -
minimalni != 0. Ve slusne spolecnosti nema auto-update co pohledavat (prestoze to Dries tlaci pitome i do Drupalu :-( kdyz uz mam byt objektivni ). Webserver nema ze zasady mit write pristup na webserver (krom slozky pro user upload kde to, ale zase nema byt spoustene pres php) protoze je to proste bezpecnostni riziko. Pokud udelam dobry plugin pro WP a pak do nej jednoho dne soupnu backdoor tak ziskam pomerne rychle dost serveru - a to se realne stalo nedavno. Patch muzu chtit mit aplikovan co nejdriv, ale nesmi se tak stat bez predchoziho spusteni testu!
-
Za mě osobně je zatím minimální == 0, nikdy jsem se nesetkal se situací, kdy minor patch web poškodil a to WP webů udržuji opravdu hodně. Lze namítnout, že zrovna patch 4.9.3 něco rozbil, nicméně to nemá dopad na funkčnost webu.
S tím, že by webserver neměl mít write mimo vybrané složky absolutně souhlasím. Nicméně to by bylo možné pouze v ideálním světě, kde by bylo k dispozici o několik řádů více vývojářů a sysadminů. Vycházím z léty prověřeného faktu, že lidé jsou líní na to, aby se o web pečlivě starali a peníze za profi služby také dát nechtějí/nemohou. Díky tomu tak dnes stále nalezneme ohromné množství webů, kde je třeba stále RCE zranitelnost v PHP maileru a může to být i tím, že prostě nikdo neřekl composeru, že má použít novější verzi (nejsem si jistý na co narážela zmínka o composeru v předchozím příspěvku).
WP core team samozřejmě nevydá nic bez patřičného otestování, ale chápu, že neexistuje test na úplně všechny případy. Jak je z diskuzí patrné, tak někomu update proběhl, je tak možné, že se to projevuje jen ve specifických situacích (zkoumat to ještě podrobněji budu).
S vložením backdooru do populárního pluginu je to samozřejmě také pravda, nicméně to je obecný problém, děje se to s aplikacemi pro mobilní telefony, rozšířeními do prohlížečů a buh ví, kde ještě. Stejně tak se může třeba Mozilla rozhodnout, že začne Firefoxem těžit u uživatelů kryptoměny...
V důsledku bych byl osobně mnohem raději, za rozbitý web (což je věc, která lze vcelku jednoduše detekovat), než za web s bezpečnostní dírou, kde útoční tiše vykrádá uživatelské účty nebo dělá jiné ošklivé věci.
-
zminka o composeru byla protoze tenhle auto-update mi bud da projekt do stavu kdy nesedi composer.lock s tim co je skutecne nainstalovane, nebo ho dokaze updatnout a pak mi nesedi to co je na webu s tim co je na git serveru.
wp core team muze testovat co chce, ale integracni testy resi primo muj projekt.
-
Ano, s tím souhlasím, to je problém a narušuje to zaběhlá vývojářská workflows. V tomto konkrétním je vhodné si vše řídit sám - na to je WP dokonce připraven a když kolem sebe vidí složku .git (nebo jiné VCS složky), tak automatické updaty sám vypne.
Já osobně jsem zvyklý na postup, kdy je web složen z několika repozitářů - šablona má svůj, pokud dopisuji nějaké pluginy, tak každý plugin je také ve vlastním repozitáři. Neberu WP jako "závislost", ale jako "běhové prostředí".
