Aktualizować, zwlekać, ignorować?

Krzysiek Dróżdż
krzysiek@wpmagus.pl
WPmagus.pl

Czy aktualizować?

TAK

To możemy iść do domu... ale czy na pewno?

Co (możemy) aktualizować?

WordPressa
wtyczki
motywy
tłumaczenia
oprogramowanie na serwerze (np. PHP)
itd.

Po co/dlaczego aktualizować?

Bo...:

nowe funkcje
błędy i poprawki
podatności (dziury bezpieczeństwa)
kompatybilność

Kiedy aktualizować?

Kod WordPressa jest jawny, więc...

Jak najszybciej
Anonimowy Ekspert

Ale...

W życiu mało pytań ma proste odpowiedzi... Jeśli dostajecie prostą odpowiedź, to często jest ona jedynie uproszczeniem.

Z aktualizacjami jest podobnie.

I kończy się tak:

To jak to jest naprawdę?

To zależy...

Spójrzmy więc na kilka przypadków

Przypadek 1

Aktualizacja wtyczki dodającej Facebookowy przycisk like pod artykułami zmienia wygląd przycisku (i tylko to)

Bez pośpiechu, ale i bez lęku

Bez aktualizacji strona będzie działać poprawnie, nie będzie w niebezpieczeństwie, a jedynie będzie wyglądać po staremu.

Przypadek 2

Aktualizacja tej samej wtyczki przycisków, ale tym razem wymuszona zmianą API Facebooka, przez co stare wersje wkrótce przestaną działać poprawnie.

Bez lęku, ale raczej szybko

Bez aktualizacji dana funkcja przestanie działać. Ryzyko? Niewielkie - najwyżej przywrócimy backup lub pożyjemy chwilę bez tej funkcji.

Przypadek 3

Aktualizacja WordPressa zmieniająca sposób funkcjonowania jakiejś podstawowej funkcjonalności.

Bez pośpiechu i bardzo ostrożnie

Wtyczki i motywy muszą się dostosować i przetestować te zmiany ze względu na wiele zależności.

Przypadek 4

Krytyczna poprawka WordPressa (lub wtyczki) poprawiająca błędy zabezpieczeń.

Pilnie

Skoro jest poprawka, to błąd jest znany - czyli wkrótce zostanie wykorzystany do atakowania stron.

Przypadek 5

Krytyczna poprawka wtyczki naprawiająca błąd, dzięki któremu zalogowany użytkownik z prawami administratora może wykonać atak SQL Injection.

Bez specjalnego pośpiechu i ostrożnie

Bo czy na prawdę jest to aż takie groźne? Mimo, że w internecie będzie wtedy wysyp artykułów podkreślających powagę sytuacji...

Jak aktualizować?

Testowa wersja serwisu

Sytuacja idealna. Można spokojnie wykonać konieczne prace, dokładnie je przetestować i opublikować dopiero, gdy jest się pewnym efektów.

Koniecznie backupuj

To nie jest trudne, a może zaoszczędzić wiele nerwów.

A to się nie robi automatycznie?

Robi, ale nie wszystko

WordPress wspiera automatyczne aktualizacje dla:

core WP
wtyczek
motywów
tłumaczeń

Ale domyślnie...

Włączone są tylko "małe" aktualizacje core i tłumaczeń.

Wtyczki i motywy mogą się aktualizować automatycznie tylko w wyjątkowych przypadkach, gdy Zespół Bezpieczeństwa WP zdecyduje o pilnym łataniu podatności.

Można na to wpływać

Stałymi w wp-config.php:

AUTOMATIC_UPDATER_DISABLED - wyłącza cały mechanizm
WP_AUTO_UPDATE_CORE:
- true - włączone wszystkie
- 'minor' - włączone tylko "małe"
- false - wyłączone wszystkie

... i filtrami:

automatic_updater_disabled, auto_update_core, allow_dev_auto_core_updates, allow_minor_auto_core_updates, allow_major_auto_core_updates, automatic_updates_is_vcs_checkout, auto_update_plugin, auto_update_theme, auto_update_translation, auto_core_update_send_email

https://codex.wordpress.org/Configuring_Automatic_Background_Updates

Pułapki i haczyki?

Porzucone wtyczki/motywy

Wykonawcy/hostingi ukrywający aktualizacje

Wygasłe domeny przejęte przez atakującego

Dzięki za uwagę!