cPanelのサイトソフトウェアアドオンはWordPressの自動更新を無効にします

2か月ちょっと前、Drumology2001というユーザー名でアクセスするDerek Munsonが、WordPress.orgサポートフォーラムでスレッドを公開しました。 マンソンは、仮想プライベートサーバー上のいくつかのWordPressサイトでメンテナンスを実行しているときに、古いバージョンを実行しているサイトの多くを発見しました。 バージョンは3.9から4.1の範囲で、WordPress3.9.2を使用するサイトが少なくとも1つあります。

画面の上部に「nag」が表示され、新しいバージョンが利用可能であることがわかります。 最新バージョン（4.1.1）にないこれらのサイトのいずれにもそれは見られません。 [ダッシュボード]> [更新]に移動し、[再確認]をクリックして手動チェックを強制すると、明らかに最新ではないのに、すべてが最新であるかのように動作します。

当初、マンソンはオールインワンWPセキュリティとファイアウォールが更新通知をブロックしていると考えていました。 プラグインの主な開発者であるMbrsolutionは、更新通知をブロックしないことを確認しました。 Munsonは、WordPressサポートフォーラムでボランティアによって提案されたいくつかのトラブルシューティング手法を完了した後、WordPressセキュリティプラグインであるWordfenceSecurityをインストールしました。

Wordfenceの注目すべき機能の1つは、そのスキャナーです。 クリーンなWordPressコアファイルをサーバー上のファイルと比較し、違いを検出した場合はユーザーに通知します。 スキャンの結果は、3つのファイルが変更されたことを示しています。

wp-admin / contains / update.php
wp-admin / update-core.php
wp-admin / contains / class-wp-upgrader.php

これらのファイルは、cPanelのサイトソフトウェアアドオンを使用してインストールされたWordPressサイトでのみ変更されました。

WordPressのupdate.phpファイル。
function get_core_updates( $options = array() ) { $options = array_merge( array( 'available' => true, 'dismissed' => false ), $options ); $dismissed = get_site_option( 'dismissed_update_core' );

cPanelのupdate.phpファイル。
function get_core_updates( $options = array() ) { # cPanel override: Disable all core updates to prevent conflict with cPAddons. return false; $options = array_merge( array( 'available' => true, 'dismissed' => false ), $options );

WordPressのupdate-core.phpファイル。
function core_upgrade_preamble() { global $wp_version, $required_php_version, $required_mysql_version; $updates = get_core_updates();

cPanelのupdate-core.phpファイル。
function core_upgrade_preamble() { # cPanel override: Do not display the current or the latest version, because we've disabled updates. return; global $wp_version, $required_php_version, $required_mysql_version; $updates = get_core_updates();

WordPressのclass-wp-upgrader.phpファイル。
public function is_disabled() { // Background updates are disabled if you don't want file changes. if ( defined( 'DISALLOW_FILE_MODS' ) && DISALLOW_FILE_MODS ) return true;

cPanelのclass-wp-upgrader.phpファイル。
public function is_disabled() { return true; // Force this functionality to disabled because it is incompatible with cPAddons. // Background updates are disabled if you don't want file changes. if ( defined( 'DISALLOW_FILE_MODS' ) && DISALLOW_FILE_MODS ) return true;

cPanelによって追加されたコードは、コアWordPressの更新、更新通知、およびポイントリリースへの自動バックグラウンド更新を無効にします。 Munsonがこれらのファイルを元のバージョンに復元すると、自動更新と通知が正しく機能しました。

cPanelとcPAddons

cPanelを使用して専用サーバーまたは仮想プライベートサーバーを管理するユーザーは、cPAddonsを使用できます。 cPanelのドキュメントによると、「アドオンは、cPanelと連携して、ユーザーのWebサイトの機能を実行するアプリケーションです。 これらのアプリケーションの例には、掲示板、オンラインショッピングカート、ブログなどがあります。」

cPanelでダイアログを開く

WordPressのコアコントリビューターでJetpackのリード開発者であるGeorgeStephanisは、cPanelのアクションを悪い習慣として公に呼びかけました。

待って、真剣に？ @cPanelは更新を防ぐためにWordPressコアをハッキングしていますか？ 私はこれがどれほど悪い考えであるかにちょっと呆然としている。 #donthackcore

— george st ephanis（@ daljo628）2015年5月11日

cPanelの担当者はツイートを見て、もっと情報を受け取りたいと答えました。

https://twitter.com/cpanelcares/status/597886956945711107

ステファニスはcPanelの担当者と長い会話を交わし、コアアップデートを無効にするのが悪い考えである理由を説明しました。 cPanelは、WordPressのサイトソフトウェアバージョンとの競合を引き起こす可能性があるため、WordPressのネイティブアップデートシステムを無効にします。

通常、最新バージョンのWordPressは、最新のWordPressアップデートから1〜5日以内にリリースされます。 少なくとも、サーバー管理者には、更新が必要なすべてのサイトソフトウェアアプリケーションが毎晩通知されます。 このような更新を受信するようにcPanel内で通知を構成するのはユーザーの責任です。

cPAddonsツールがソフトウェアを追跡する方法はWordPressの更新方法と互換性がないため、自動更新を無効にしてcPAddonsを介して追跡できるようにします。

cPanelはさらに、サイトソフトウェアcPAddonを使用してインストールされたソフトウェアの更新がどのように処理されるかを説明します。

• WPがセキュリティ上の懸念に対処するメンテナンスビルドをリリースするたびに、お客様が利用できるようにソフトウェアを更新するために非常に迅速に対応します。
• デフォルトでは、cPAddonsを介して管理/インストールされたソフトウェアは、新しい更新が利用可能になったときに自動的に更新されると定義されています。
• 上記の情報に基づいて、サーバー管理者がデフォルトを有効のままにした場合、WPがセキュリティ上の懸念を修正するメンテナンスリリースを導入し、そのソースをテストおよび更新すると、顧客はリリースを自動的に受け取ります。
• サーバー管理者がソフトウェアの自動更新を無効にすることを決定した場合でも、エンドユーザーとシステム管理者は、アプリケーションを更新する方法の手順とともに、インストールが古くなっているという通知を受け取ります。

デフォルトでは、cPanelによってインストールされたソフトウェアは自動的に更新されるように構成されていますが、Munsonのサイトの一部は更新されませんでした。 彼はまた、それらのサイトの更新通知を受け取りませんでした。 cPanelは、Munsonのサーバー構成に問題があると考えており、詳細についてはMunsonに連絡することを約束しました。

Drumology2001がフォーラムで報告した内容に基づくと、そのサーバーで何かがおかしいようです。 そのサーバーを調べて、WordPressの更新がユーザーに利用できなかった理由を特定したいと思います。

フォーラムで使用されたあいまいな日付に基づいて、内部記録と比較して、最初の投稿の前に4.1.1アップデートがサイトソフトウェアシステムで利用可能でした。 彼に連絡して、そこでできることがあるかどうかを判断します。

変化を受け入れる

幸いなことに、cPanelは応答性が高く、更新プロセスを改善するために必要な変更を喜んで行います。 ワンクリックインストーラーでWordPressをインストールする機能を顧客に提供しているウェブホスティング会社の数を考えると、サイトができるだけ早く更新を受け取ることが重要です。

cPanelのワンクリックインストーラーを使用してWordPressをインストールした場合は、サイトで最新の安定バージョンであるWordPress4.2.2が実行されていることを確認してください。