O complemento de software do site do cPanel desativa as atualizações automáticas do WordPress
Publicados: 2015-05-15Há pouco mais de dois meses, Derek Munson, que atende pelo nome de usuário Drumology2001, publicou um tópico nos fóruns de suporte do WordPress.org. Ao realizar manutenção em vários sites do WordPress em seu servidor virtual privado, Munson descobriu vários deles executando versões desatualizadas. As versões variaram de 3.9 a 4.1 com pelo menos um site usando o WordPress 3.9.2.
Estou acostumado a ver o 'nag' na parte superior da tela que me informa que há uma versão mais recente disponível. Não estou vendo isso em nenhum desses sites que não estejam na versão mais recente (4.1.1). Quando vou para Painel> Atualizações e clico em 'Verificar novamente' para forçar uma verificação manual, ainda está agindo como se tudo estivesse atualizado quando claramente não está.
Inicialmente, Munson pensou que o All in One WP Security and Firewall estava bloqueando as notificações de atualização. Mbrsolution, principal desenvolvedor do plugin, confirmou que não bloqueia notificações de atualização. Depois de concluir várias técnicas de solução de problemas sugeridas por voluntários no fórum de suporte do WordPress, Munson instalou o Wordfence Security, um plug-in de segurança do WordPress.
Uma das características notáveis do Wordfence é o seu scanner. Ele compara os arquivos principais do WordPress limpos com os do servidor e notifica o usuário se detectar uma diferença. Os resultados da verificação mostram que três arquivos foram alterados.
wp-admin/includes/update.php
wp-admin/update-core.php
wp-admin/includes/class-wp-upgrader.php
Esses arquivos foram alterados apenas em sites WordPress que foram instalados usando o complemento de software do site do cPanel.
arquivo update.php do WordPress .
function get_core_updates( $options = array() ) { $options = array_merge( array( 'available' => true, 'dismissed' => false ), $options ); $dismissed = get_site_option( 'dismissed_update_core' );
arquivo update.php do cPanel .
function get_core_updates( $options = array() ) { # cPanel override: Disable all core updates to prevent conflict with cPAddons. return false; $options = array_merge( array( 'available' => true, 'dismissed' => false ), $options );
Arquivo update-core.php do WordPress .
function core_upgrade_preamble() { global $wp_version, $required_php_version, $required_mysql_version; $updates = get_core_updates();
arquivo update-core.php do cPanel .
function core_upgrade_preamble() { # cPanel override: Do not display the current or the latest version, because we've disabled updates. return; global $wp_version, $required_php_version, $required_mysql_version; $updates = get_core_updates();
Arquivo class-wp-upgrader.php do WordPress .
public function is_disabled() { // Background updates are disabled if you don't want file changes. if ( defined( 'DISALLOW_FILE_MODS' ) && DISALLOW_FILE_MODS ) return true;
arquivo class-wp-upgrader.php do cPanel .
public function is_disabled() { return true; // Force this functionality to disabled because it is incompatible with cPAddons. // Background updates are disabled if you don't want file changes. if ( defined( 'DISALLOW_FILE_MODS' ) && DISALLOW_FILE_MODS ) return true;
O código adicionado pelo cPanel desativa as principais atualizações do WordPress, notificações de atualização e atualizações automáticas em segundo plano para lançamentos pontuais. Depois que Munson restaurou esses arquivos para sua versão original, as atualizações e notificações automáticas funcionaram corretamente.
cPanel e cPAddons
Aqueles que gerenciam servidores dedicados ou servidores privados virtuais com cPanel têm a capacidade de usar cPAddons. De acordo com a documentação do cPanel, “Os complementos são aplicativos que funcionam com o cPanel para executar funções nos sites de seus usuários. Exemplos dessas aplicações incluem quadros de avisos, carrinhos de compras online e blogs.”
Diálogo aberto com cPanel
George Stephanis, um dos principais colaboradores do WordPress e desenvolvedor líder do Jetpack, chamou publicamente as ações do cPanel como uma má prática.
Espera, sério? @cPanel está hackeando o núcleo do WordPress para evitar atualizações? Estou meio pasmo com o quão ruim é essa ideia. #donthackcore
— george stephanis (@daljo628) 11 de maio de 2015
Um representante do cPanel viu o tweet e respondeu que gostaria de receber mais informações.
https://twitter.com/cpanelcares/status/597886956945711107
Stephanis se envolveu em uma longa conversa com representantes do cPanel explicando por que é uma má ideia desabilitar as atualizações principais. O cPanel desativa o sistema de atualização nativo do WordPress porque pode causar conflitos com a versão do software do site do cPanel do WordPress.
Geralmente, lançamos a versão mais recente do WordPress dentro de 1 a 5 dias após a atualização mais recente do WordPress. No mínimo, os administradores do servidor são informados todas as noites sobre todos os aplicativos do Site Software que precisam ser atualizados. Cabe aos usuários configurar suas notificações dentro do cPanel para receber tais atualizações.
A maneira como nossa ferramenta cPAddons rastreia o software não é compatível com a maneira como o WordPress é atualizado, por isso desativamos as atualizações automáticas para que possamos rastreá-lo por meio de cPAddons.
O cPanel continua explicando como as atualizações são tratadas para o software instalado usando o cPAddon do Site Software.
- Sempre que o WP lança uma versão de manutenção que aborda questões de segurança, reagimos muito rapidamente para que nosso software seja atualizado e esteja disponível para os clientes.
- Por padrão, definimos que o software gerenciado/instalado por meio de cPAddons é atualizado automaticamente quando uma nova atualização está disponível.
- Com base nas informações acima, se o administrador do servidor deixar os padrões habilitados, uma vez que o WP introduza uma versão de manutenção que corrija as preocupações de segurança e nós testamos e atualizamos nossa fonte para isso, os clientes receberão a versão automaticamente.
- Se o administrador do servidor decidir desabilitar as atualizações automáticas de software, o usuário final e o administrador de sistemas ainda receberão notificações de que sua instalação está desatualizada acompanhada de etapas sobre como atualizar seu aplicativo.
Por padrão, o software instalado pelo cPanel é configurado para atualizar automaticamente, mas alguns dos sites da Munson não foram atualizados. Ele também não recebeu notificações de atualização para esses sites. O cPanel acredita que há algo errado com a configuração do servidor de Munson e prometeu entrar em contato com ele para obter mais informações.
Com base no que Drumology2001 relatou no fórum, parece que algo está errado nesse servidor. Adoraríamos examinar esse servidor para determinar por que as atualizações do WordPress não estavam disponíveis para o usuário.
Com base nas datas imprecisas usadas no fórum e comparadas com nossos registros internos, a atualização 4.1.1 estava disponível para o sistema do Site Software antes da postagem inicial. Entraremos em contato com ele para determinar se há algo que possamos fazer lá.
Receptivo à Mudança
A boa notícia é que o cPanel é responsivo e está disposto a fazer as alterações necessárias para melhorar o processo de atualização. Considerando quantas empresas de hospedagem oferecem aos clientes a capacidade de instalar o WordPress com um instalador de um clique, é importante que os sites recebam atualizações o mais rápido possível.
Se você instalou o WordPress por meio do instalador de um clique do cPanel, verifique se seu site está executando o WordPress 4.2.2, que é a versão estável mais recente.