Actualizarea WordPress, o necesitate prost înţeleasă
Bine v-am regăsit. Această dimineaţă a fost marcată de apariţia unei noi versiuni WordPress, iar asta mi-a dat un pic peste cap atât programul, cât şi următorul articol ce ar fi trebuit publicat pe blog. Ştiţi că mi-ar fi fost la îndemână să încropesc un material „A apărut WordPress 2.8.5. Curăţă, albeşte şi dezinfectează”. Instalarea manuală. Instalare automată. Click, click. Next, next. Gata actualizarea. Ne vedem mâine.
În premieră, aş fi putut chiar să vă prezint traducerea în limba română pentru WordPress 2.8.5, că doar e aceeaşi. Aş fi avut cele 2-3 comentarii de complezenţă. Iar mâine o luam de la capăt.
Dar n-am să fac acest lucru. Din acelaşi motiv pentru care pe 5 septembrie am întârziat aproape jumătate de zi publicarea articolului „Versiunile mai vechi de WordPress se află sub asediu. SQL Injection”, tocmai pentru a vă putea oferi informaţii şi nu zvonuri, soluţii şi nu presupuneri. Nu suntem într-o întrecere câmpenească în care miza este dată de cine-şi „urcă” mai rapid articolul pe Google.
Paranteză. În virtutea „conservării” ideii blogului de nişă, am vrut să evit subiectul WordPress 2.8.5, dar nu s-a putut. Motivul ?! Cel puţin două „articole” abracadabrante (termen pe care încerc să-l evit de la începutul anului), în care actualizarea WordPress este tratată ca un viral: scriem despre ea, dar nu facem nimic.
„Bizar, ciudat, curios, excentric, extravagant, fantasmagoric, fantezist, inexplicabil, insolit, năstruşnic, neobişnuit, original, paradoxal, singular, straniu… într-un cuvânt abracadabrant”. (Dicţionarul de sinonime).
Aşa se face că materialul pe care-l pregăteam a rămas în stadiul de ciornă, iar astăzi vorbim despre WordPress şi actualizări, spre surprinderea celor care s-au întrebat şi m-au întrebat (fiindcă dacă ar fi rămas la stadiul de simplă introspecţie n-aş fi fost nevoit să dau un răspuns), de ce insist pe subiect, în loc să mă concentrez asupra target-ului declarat, în speţă, utilizatorul obişnuit (pasionat IT). Răspunsul, cel mai evident, ar fi că una, n-o exclude pe cealaltă. Nu consider că un blog ar trebui să ignore subiectele tangente doar pentru că nu s-ar încadra în nişă, şi cred că este mai degrabă rolul celui care scrie materialul să plieze respectivele informaţii pe profilul blogului (şi implicit al cititorilor fideli).
Am lămurit şi povestea asta. Să trecem la treabă.
WordPress 2.8.5. Hardening Release
În notificarea ce însoţeşte această ultimă versiune de WordPress, Peter Westwood, foloseşte sintagma „Hardening Release”, iar dacă ne uităm pe Wikipedia, „hardening” este descris ca procesul de securizare a unui sistem. Mai mult, pe acelaşi blog sunt menţionate şi principalele noutăţi aduse de această versiune, împreună cu recomandarea ca update-ul să fie făcut cât mai rapid cu putinţă. Ce trebuie să reţinem, fără a ne pierde în detalii, este că WordPress 2.8.5 reprezintă o actualizare menită să ÎNTĂREASCĂ nivelul de securitate.
În regulă. Acum pot să vă întreb ceva. Cum puteţi spune că „versiunea 2.8.5 nu aduce nimic nou” ?! Pentru ce motiv Matt Mullenweg şi echipa WordPress ar fi lucrat la o actualizare, dacă aceasta n-ar fi fost necesară ?
O actualizare de securitate presupune acceptarea unor deficienţe în nivelului actual de protecţie, recunoaşterea unor vulnerabilităţi, şi atunci de ce s-ar expune inutil Matt Mullenweg ? Nu le-ar fi fost mai uşor să aştepte încă 2-3 luni până când se lansa WordPress 2.9 ?!
Voi, oamenii din lanul cu secară, cei care blamaţi de fiecare dată aceste update-uri, nu aţi dori să ne explicaţi după ce principii ale logicii o actualizare de securitate este considerată inutilă.
E „hardening release” nu „hard bargaining release”.
De ce este necesară actualizarea WordPress ?
Observaţi că nu am spus actualizarea la WordPress 2.8.5, ci doar actualizarea WordPress. Toate materialele în care sunt descrise măsuri de sporire a securităţii platformei WordPress (de „hardening dacă acceptaţi termenul), indiferent dacă presupun instalarea unor plugin-uri, modificarea temei, a bazei de date sau a fişierului .htaccess, pleacă de la premisa că instalarea WordPress este una CORECTĂ şi ACTUALIZATĂ.
Protejarea, prin alte metode evitând actualizarea, este similară cu montarea de airbag-uri pe o Dacia berlină 1310.
Caz particular, actualizarea WordPress 2.8.5
În cazul în care nu aţi ascuns acea avertizare ce anunţă că o nouă versiune este disponibilă, sau nu v-aţi ascuns de tot în nisip, aţi aflat până la această oră că avem de-a face un „nou” WordPress. Bine, şi restul articolului ar fi trebuit să vă dea de gândit. Am actualizat câteva bloguri (prin metoda automată) şi pot să prezint primele concluzii:
- actualizarea a decurs de fiecare dată fără incidente;
- toate plugin-urile care funcţionau pe WordPress 2.8.4, nu au resimţit schimbarea de versiune;
- iar dacă ieri vă spuneam că traducerea în limba română pentru versiunea 2.8.4 se pretează la fel de bine, de astăzi avem şi o traducere oficială în limba română pentru WordPress 2.8.5. Asta nu înseamnă că nu au apărut articole „Wordpress 2.8.5 în limba română”, dar Google îndură multe.
S-a dat dezlegare la WordPress 2.8.5, aveţi opţiunea update-ului automat, sau aşa spuneam într-un alt articol, fie ea manuală, dar actualizare să fie.
WordPress Exploit Scanner
Mai am o surpriză. Un plugin pentru WordPress, care vă scanează blogul şi baza de date în căutarea unor „codiţe”. Poate fi utilizat cu succes pentru găsi urmele unor atacuri asupra blogului, sau orice altă activitate suspicioasă. Dacă aţi avut ceva probleme în ultimul timp, şi suspectaţi că ceva nu este în regulă, merită să faceţi o scanare.
Atenţie ! 1. Plugin-ul nu remediază problema, ci doar vă atenţionează de existenţa ei. 2. Este recomandat ca această scanare să nu fie făcută atunci când server-ul este foarte încărcat. Lăsaţi-o pe timp de noapte.
Dar vă promit mai multe detalii despre acest plugin într-un plugin într-un articol dedicat. Până atunci, aveţi o actualizare de făcut.
WordPress Exploit Scanner. Casetă tehnică:
- Denumire plugin: WordPress Exploit Scanner
- Autor: donncha, duck_, ryan, azaozz
- Pagina WordPress: http://wordpress.org/extend/plugins/exploit-scanner/
- Pagina oficială: http://ocaoimh.ie/exploit-scanner/
- Versiune existentă la data redactării acestui articol: 0.5
Pentru final…
Am păstrat o recomandare pe care aş îndrăzni s-o numesc „de bun simţ”.
Atunci când se ia în discuţie lansarea unei noi versiuni pentru WordPress, a unor actualizări de securitate, plugin-uri, teme, etc. consideraţi drept sursă sigură de informaţii doar site-ul oficial: http://wordpress.org/ şi sper că aţi observat că eu, de fiecare dată, îmi fundamentez articolele cu link.
Materiale bibliografice:
- http://www.wpbeginner.com/wp-tutorials/11-vital-tips-and-hacks-to-protect-your-wordpress-admin-area/
- http://en.wikipedia.org/wiki/Hardening_%28computing%29
- http://wordpress.org/development/2009/10/wordpress-2-8-5-hardening-release/
Nu prea ma impac eu bine cu actualizarile astea. Am cateva modificari aduse wordpressului si dureaza ceva sa le “refac”. Si pana am trecut la 2.8.4 am tot tras de timp. Acum pana la 2.9 nu am de gand sa imi pierd din nou timpul.
Salut. Când vine vorba de WordPress 2.9, şi pe mine mă trec fiori reci pe şira spinării. Sincer, nu aştept cu nerăbdare noul WordPress şi chiar îmi spunea cineva că-l vor lansa de Crăciun, când lumea e în vacanţă / concediu, să poată dezvoltatorii să-şi actualizeze plugin-urile.
Acum depinde de modificări, dar ar fi bine să faci actualizarea. Când au fost problemele cu versiunile mai vechi de WP (n.r. în septembrie), sute de bloguri au fost afectate, iar unele, în lipsa unui backup, nici n-au mai revenit.
Sau măcar poţi încerca o scanare cu plugin-ul prezentat. Nu e nevoie să-l ţii activ.
Sunt foarte fericit ca au facut acest pas deoarece in ultima perioada pusesem mana pe metodele de exploatare a bugurilor rezolvat cu acest update si nu prea ma incanta ideea de a fi supus la unul dintre atacurile respective, mai ales ca sursele de unde am pus mana sa spunem ca nu erau prea “departe” de mine.
Nu stiu daca versiunea 2.9 ar trebui privita cu frica ci doar sa ne gandim pozitiv : imbunatatirea unui sistem foarte bun nu este decat un lucru pozitiv chiar daca acest lucru ne pune putin la treaba. De asemenea pentru a nu a avea probleme cu noua versiune putem folosi un site destul de util ce prezinta modificarile aparute intre versiuni, un site foarte folositor ce l-am aflat tot de pe acest blog : http://xref.yoast.com/trunk/nav.html?_functions/index.html
@Avadanei Andrei
Salut. Foarte util site-ul recomandat. Mersi frumos.
Cât priveşte nou versiune, sunt aproape sigur că vor fi probleme cu plugin-urile. Upgrade-ul de la WP 2.6.5 a fost mai simplu (era blogul la început), dar de la WP 2.7.X la 2.8… a jumătate de zi + o jumătate de noapte. Iar o serie de plugin-uri le-am schimbat. Aici nu este negociabil.
@Silviu Manole
Vă mulţumesc pentru comentariu şi pentru sinceritate. Mai bine aşa decât un vot negativ dat fără nici o explicaţie. Cât priveşte respectivul buton, o să-l activez chiar acum. Am spus întotdeauna că sunt deschis la sugestii şi accept orice recomandare pertinentă.
E bine că te-ai gândit la backup.
Am folosit ceva timp WordPress Database Backup, dar acum prefer să fac backup-ul manual o dată la 2-3 zile (când am şi articole publicate). Mai frumos a fost când a picat server-ul şi mi-au restaurat automat un backup de vechi, de nu-mi recunoşteam blogul.
Salut! Într-adevar am ajuns pe această pagină urmând un link de pe site-ul FTW! Nu pot spune că m-a dat pe spate articolul, poate o să-l şi votez, iar timp să las un comentariu am găsit. De abonat la fluxul RSS nu cred că mă voi abona dar poate ne vedem cu altă ocazie. Ce apreciez la plugin-ul prin care încerci să comunici cu vizitatorii este butonul “x” care, am constatat cu tristeţe, lipseşte de pe blogul tău. Consider că e un semn de respect faţă de cei care îţi citesc articolele să le laşi şansa de a alege
. O seară frumoasă!
@andrei
Nu prea ma stresez. Am instalat WordPress Database Backup care imi trimite pe email, zi de zi, un backup al bazei de date. Tema o am salvata. Deci, in caz ca ma trezesc intr-o zi fara blog, il pun la loc relativ usor.
Cu plăcere. Am făcut mai multe teste cu respectivul plugin şi butonul a rămas dezactivat. Iar dacă nu mi-a atras nimeni atenţia ?
Cât priveşte articolului, el trebuie interpretat în contextul în care aproape trei sferturi dintre bloguri nu sunt actualizate şi dacă unii dintre utilizatori, precum @Andrei Dutu, îşi fac backup regulat şi în cazul unor probleme pot să reacţioneze, cei mai mulţi sunt luaţi complet pe nepregătite. Target-ul acestui blog (pe care nu ştiu cât timp o să mai pot administrez), nu este utilizatorul experimentat, ci tocmai profanul. Lui trebuie să i se spună foarte clar că folosirea unei versiuni neactualizate reprezintă un risc. Depinde doar de el, dacă şi-l asumă sau nu, dar măcar să facă această alegere în cunoştinţă de cauză.
Multumesc
Eu am patit-o destul de rau: cineva mi-a inserat un atac de phishing in site si m-am trezit cu mail de la nush ce banca din australia care ma atentiona. Firma pe care hostez site-ul mi-a sters toate fisierele de pe site, spunandu-mi ca n-are importanta daca schimb parolele, gaura e facuta si atacatorul poate reintra oricand pe server.Aveam o singura solutie, sa scanez manual toate fisierele, ceea ce era aproape imposibil… Atunci foloseam versiunea wordpress 2.7.1 Si o foloseam pentru ca doar aia imi dadea posibilitatea sa creez thumbnailuri la poze prin xml-rpc. Am updatat imediat la 2.8.5 si am introdus mai multe metode de securitate.
Apropo, voi stiti de ce nu mai pot in versiunea 2.8 sa mai creez thumbnailuri via xml-rpc? Mi-era la indemana, ptr ca de multe ori postam pe site de la munca si nu era nevoie sa intru in contul de administrator de wordpress. Ma gandesc ca au si altii aceeasi problema ca si mine. Eu am cautat peste tot explicatii, dar n-am gasit nicaieri.
Ca o concluzie, cred ca update-ul la ultima versiune de wordpress si niste pluginuri de securitate une, rezolva orice problema. Cheers!
Am folosit live writer si reuseam cu wordopress 2.7.1 sa creez si thumbnail la poza. Cu ultima versiune se pare ca nu mai merge.
Am instalat wp-firewall, login lockdown, stealth login si captcha ptr comenturi. Am si un plugin ptr backup la baza de date. In plus am bagat si .htacces peste tot pe unde a fost nevoie.
Eu zic ca acum sunt desul de securizat. Din pacate exploit scanner nu-mi merge. Probabil memoria php e prea mica.
In schimb folosesc pe alt site wordpress 2.7.1, cu aceleasi plugin-uri de securitate. De acolo merge sa postez prin xml-rpc cu thumbnail. Si vreau sa vad daca blogul ala va rezista atacurilor.
Oricum, cele mai bune metode de securitate, ptr mine sunt wp firewall si stealth login(care redirectioneaza accesul la administrator catre alte pagini, tocmai ca sa nu fie hacuite)
Salut
Nu ştiu strict motivul pentru care s-au impune acele limitări, începând cu WordPress 2.8, dar s-a justificat prin întărirea securităţii. Şi nu s-au înşelat. O singură problemă problemă am avut cu acest blog (actualizat mereu la câteva ore distanţă de apariţia unei noi versiuni) şi atunci a fost de vorba de… xml-rpc. Windows Live Writer 2009 ar putea fi soluţie pentru ceea ce cauţi, cu menţiunea că n-am făcut galerii, ci doar pagini.
Legat de necesitatea update-ului, îţi arăt un link, unde un tip vorbeşte cu hacker-ul care i-a spart site-ul, iar acestea recunoşte că în jur 50.000 de site-uri le cad victimă (lui şi echipei din care face parte) PE SĂPTĂMÂNĂ.
Soluţia în cazul tău, chiar dacă ar fi fost modificate fişierele era un plugin „Exploit Scanner”, ce îţi indică atât schimbările survenite în cod, cât şi vulnerabilităţile existente (core / plugin-uri). Îmi pare însă rău de ce-ai păţit şi poate n-ar fi rău, să instalezi măcar wp-security, ca protecţie suplimentară.