Das Website-Software-Addon von cPanel deaktiviert automatische WordPress-Updates

Vor etwas mehr als zwei Monaten veröffentlichte Derek Munson, der unter dem Benutzernamen Drumology2001 bekannt ist, einen Thread in den Support-Foren von WordPress.org. Während er Wartungsarbeiten an mehreren WordPress-Sites auf seinem virtuellen privaten Server durchführte, entdeckte Munson, dass auf einigen davon veraltete Versionen ausgeführt wurden. Die Versionen reichten von 3.9 bis 4.1, wobei mindestens eine Website WordPress 3.9.2 verwendete.

Ich bin es gewohnt, den „Nag“ oben auf dem Bildschirm zu sehen, der mich wissen lässt, dass eine neuere Version verfügbar ist. Ich sehe das auf keiner dieser Seiten, die nicht auf der neuesten Version (4.1.1) sind. Wenn ich zu Dashboard > Updates gehe und auf „Erneut prüfen“ klicke, um eine manuelle Prüfung zu erzwingen, tut es immer noch so, als ob alles auf dem neuesten Stand wäre, obwohl dies eindeutig nicht der Fall ist.

Ursprünglich dachte Munson, dass All in One WP Security and Firewall Update-Benachrichtigungen blockiert. Mbrsolution, der Hauptentwickler des Plugins, bestätigte, dass es keine Update-Benachrichtigungen blockiert. Nach Abschluss einer Reihe von Fehlerbehebungstechniken, die von Freiwilligen im WordPress-Support-Forum vorgeschlagen wurden, installierte Munson Wordfence Security, ein WordPress-Sicherheits-Plugin.

Eine der bemerkenswerten Funktionen von Wordfence ist der Scanner. Es vergleicht saubere WordPress-Kerndateien mit denen auf dem Server und benachrichtigt den Benutzer, wenn es einen Unterschied feststellt. Die Ergebnisse des Scans zeigen, dass drei Dateien geändert wurden.

wp-admin/includes/update.php
wp-admin/update-core.php
wp-admin/includes/class-wp-upgrader.php

Diese Dateien wurden nur auf WordPress-Sites geändert, die mit dem Site-Software-Addon von cPanel installiert wurden.

update.php -Datei von WordPress .
function get_core_updates( $options = array() ) { $options = array_merge( array( 'available' => true, 'dismissed' => false ), $options ); $dismissed = get_site_option( 'dismissed_update_core' );

cPanels update.php-Datei.
function get_core_updates( $options = array() ) { # cPanel override: Disable all core updates to prevent conflict with cPAddons. return false; $options = array_merge( array( 'available' => true, 'dismissed' => false ), $options );

Die update-core.php-Datei von WordPress .
function core_upgrade_preamble() { global $wp_version, $required_php_version, $required_mysql_version; $updates = get_core_updates();

cPanels update-core.php-Datei.
function core_upgrade_preamble() { # cPanel override: Do not display the current or the latest version, because we've disabled updates. return; global $wp_version, $required_php_version, $required_mysql_version; $updates = get_core_updates();

Die class-wp-upgrader.php-Datei von WordPress .
public function is_disabled() { // Background updates are disabled if you don't want file changes. if ( defined( 'DISALLOW_FILE_MODS' ) && DISALLOW_FILE_MODS ) return true;

Die Datei class-wp-upgrader.php von cPanel .
public function is_disabled() { return true; // Force this functionality to disabled because it is incompatible with cPAddons. // Background updates are disabled if you don't want file changes. if ( defined( 'DISALLOW_FILE_MODS' ) && DISALLOW_FILE_MODS ) return true;

Der von cPanel hinzugefügte Code deaktiviert zentrale WordPress-Updates, Update-Benachrichtigungen und automatische Hintergrund-Updates für Point-Releases. Sobald Munson diese Dateien in ihrer ursprünglichen Version wiederhergestellt hatte, funktionierten automatische Updates und Benachrichtigungen ordnungsgemäß.

cPanel und cPAdons

Diejenigen, die dedizierte Server oder virtuelle private Server mit cPanel verwalten, haben die Möglichkeit, cPAddons zu verwenden. Laut der cPanel-Dokumentation sind „Add-Ons Anwendungen, die mit cPanel zusammenarbeiten, um Funktionen für die Websites Ihrer Benutzer auszuführen. Beispiele für diese Anwendungen sind Bulletin Boards, Online-Warenkörbe und Blogs.“

Öffnen Sie den Dialog mit cPanel

George Stephanis, ein WordPress Core Contributor und leitender Entwickler von Jetpack, bezeichnete die Aktionen von cPanel öffentlich als schlechte Praxis.

Moment, ernsthaft? @cPanel hackt den WordPress-Kern, um Updates zu verhindern? Ich bin irgendwie verblüfft, was für eine schlechte Idee das ist. #donthackcore

– George Flephanis (@daljo628) 11. Mai 2015

Ein Vertreter von cPanel hat den Tweet gesehen und geantwortet, dass er gerne weitere Informationen erhalten würde.

https://twitter.com/cpanelcares/status/597886956945711107

Stephanis führte ein langes Gespräch mit cPanel-Vertretern, in dem er erklärte, warum es eine schlechte Idee ist, Core-Updates zu deaktivieren. cPanel deaktiviert das native Update-System von WordPress, da es Konflikte mit der Site-Software-Version von cPanel von WordPress verursachen könnte.

Wir veröffentlichen die neueste Version von WordPress im Allgemeinen innerhalb von 1 bis 5 Tagen nach dem neuesten WordPress-Update. Serveradministratoren werden mindestens jede Nacht über alle Site-Software-Anwendungen informiert, die aktualisiert werden müssen. Es liegt an den Benutzern, ihre Benachrichtigungen innerhalb von cPanel zu konfigurieren, um solche Updates zu erhalten.

Die Art und Weise, wie unser cPAddons-Tool Software verfolgt, ist nicht mit der Art und Weise kompatibel, wie WordPress Updates aktualisiert, weshalb wir die automatischen Updates deaktivieren, damit wir sie über cPAddons verfolgen können.

cPanel erklärt weiter, wie Updates für Software gehandhabt werden, die mit seinem Site Software cPAddon installiert wurde.

• Immer wenn WP einen Wartungs-Build veröffentlicht, der Sicherheitsbedenken behebt, reagieren wir sehr schnell, um unsere Software zu aktualisieren, damit sie für Kunden verfügbar ist.
• Standardmäßig definieren wir, dass Software, die über cPAddons verwaltet/installiert wird, automatisch aktualisiert wird, wenn ein neues Update verfügbar ist.
• Basierend auf den obigen Informationen erhalten Kunden die Version automatisch, wenn der Serveradministrator die Standardeinstellungen aktiviert lässt, sobald WP eine Wartungsversion einführt, die Sicherheitsbedenken behebt und wir unsere Quelle dafür getestet und aktualisiert haben.
• Wenn der Serveradministrator beschließt, automatische Softwareaktualisierungen zu deaktivieren, erhalten Endbenutzer und Systemadministratoren weiterhin Benachrichtigungen, dass ihre Installation veraltet ist, zusammen mit Schritten zur Aktualisierung ihrer Anwendung.

Standardmäßig ist die von cPanel installierte Software so konfiguriert, dass sie automatisch aktualisiert wird, aber einige von Munsons Websites wurden nicht aktualisiert. Er hat auch keine Update-Benachrichtigungen für diese Seiten erhalten. cPanel glaubt, dass mit Munsons Serverkonfiguration etwas nicht stimmt, und versprach, ihn zu kontaktieren, um weitere Informationen zu erhalten.

Basierend auf dem, was Drumology2001 im Forum berichtet, scheint es, dass auf diesem Server etwas nicht stimmt. Wir würden diesen Server gerne untersuchen, um festzustellen, warum WordPress-Updates für den Benutzer nicht verfügbar waren.

Basierend auf den im Forum verwendeten Fuzzy-Daten und verglichen mit unseren internen Aufzeichnungen war das 4.1.1-Update für das Site-Softwaresystem vor dem ersten Post verfügbar. Wir werden uns mit ihm in Verbindung setzen, um festzustellen, ob wir dort etwas tun können.

Empfänglich für Veränderungen

Die gute Nachricht ist, dass cPanel reaktionsschnell und bereit ist, alle notwendigen Änderungen vorzunehmen, um den Aktualisierungsprozess zu verbessern. Wenn man bedenkt, wie viele Webhosting-Unternehmen Kunden die Möglichkeit bieten, WordPress mit einem Ein-Klick-Installer zu installieren, ist es wichtig, dass Websites so schnell wie möglich Updates erhalten.

Wenn Sie WordPress über das Ein-Klick-Installationsprogramm von cPanel installiert haben, überprüfen Sie, ob auf Ihrer Website WordPress 4.2.2 ausgeführt wird, die neueste stabile Version.