Addon ซอฟต์แวร์ไซต์ของ cPanel ปิดการใช้งาน WordPress Auto Updates
เผยแพร่แล้ว: 2015-05-15เมื่อสองเดือนก่อน Derek Munson ผู้ซึ่งใช้ชื่อผู้ใช้ Drumology2001 ได้เผยแพร่กระทู้ในฟอรัมสนับสนุนของ WordPress.org ขณะดำเนินการบำรุงรักษาบนไซต์ WordPress หลายแห่งบนเซิร์ฟเวอร์ส่วนตัวเสมือนของเขา Munson พบว่ามีบางไซต์ที่ใช้เวอร์ชันที่ล้าสมัย เวอร์ชันมีตั้งแต่ 3.9 ถึง 4.1 โดยมีไซต์อย่างน้อยหนึ่งไซต์ที่ใช้ WordPress 3.9.2
ฉันเคยเห็น 'จู้จี้' ที่ด้านบนของหน้าจอซึ่งทำให้ฉันรู้ว่ามีเวอร์ชันใหม่กว่านี้ ฉันไม่เห็นว่าในไซต์ใด ๆ เหล่านี้ที่ไม่ได้อยู่ในเวอร์ชันใหม่ล่าสุด (4.1.1) เมื่อฉันไปที่ Dashboard > Updates และคลิก 'Check Again' เพื่อบังคับให้มีการตรวจสอบด้วยตนเอง ก็ยังคงทำงานเหมือนกับว่าทุกอย่างเป็นปัจจุบันทั้งๆ ที่ไม่ชัดเจน
ในขั้นต้น Munson คิดว่า All in One WP Security และ Firewall กำลังบล็อกการแจ้งเตือนการอัปเดต Mbrsolution ผู้พัฒนาหลักของปลั๊กอิน ยืนยันว่าจะไม่บล็อกการแจ้งเตือนการอัปเดต หลังจากเสร็จสิ้นเทคนิคการแก้ปัญหาจำนวนหนึ่งที่แนะนำโดยอาสาสมัครในฟอรัมสนับสนุน WordPress แล้ว Munson ได้ติดตั้ง Wordfence Security ซึ่งเป็นปลั๊กอินการรักษาความปลอดภัยของ WordPress
คุณลักษณะเด่นอย่างหนึ่งของ Wordfence คือเครื่องสแกน มันเปรียบเทียบไฟล์หลักของ WordPress ที่สะอาดกับไฟล์บนเซิร์ฟเวอร์และแจ้งให้ผู้ใช้ทราบหากตรวจพบความแตกต่าง ผลการสแกนแสดงว่ามีการเปลี่ยนแปลงไฟล์สามไฟล์
wp-admin/includes/update.php
wp-admin/update-core.php
wp-admin/includes/class-wp-upgrader.php
ไฟล์เหล่านี้มีการเปลี่ยนแปลงเฉพาะในไซต์ WordPress ที่ติดตั้งโดยใช้ส่วนเสริมซอฟต์แวร์ไซต์ของ cPanel
ไฟล์ update.php ของ WordPress
function get_core_updates( $options = array() ) { $options = array_merge( array( 'available' => true, 'dismissed' => false ), $options ); $dismissed = get_site_option( 'dismissed_update_core' );
ไฟล์ update.php ของ cPanel
function get_core_updates( $options = array() ) { # cPanel override: Disable all core updates to prevent conflict with cPAddons. return false; $options = array_merge( array( 'available' => true, 'dismissed' => false ), $options );
ไฟล์ update-core.php ของ WordPress
function core_upgrade_preamble() { global $wp_version, $required_php_version, $required_mysql_version; $updates = get_core_updates();
ไฟล์ update-core.php ของ cPanel
function core_upgrade_preamble() { # cPanel override: Do not display the current or the latest version, because we've disabled updates. return; global $wp_version, $required_php_version, $required_mysql_version; $updates = get_core_updates();
ไฟล์ class-wp-upgrader.php ของ WordPress
public function is_disabled() { // Background updates are disabled if you don't want file changes. if ( defined( 'DISALLOW_FILE_MODS' ) && DISALLOW_FILE_MODS ) return true;
ไฟล์ class-wp-upgrader.php ของ cPanel
public function is_disabled() { return true; // Force this functionality to disabled because it is incompatible with cPAddons. // Background updates are disabled if you don't want file changes. if ( defined( 'DISALLOW_FILE_MODS' ) && DISALLOW_FILE_MODS ) return true;
โค้ดที่เพิ่มโดย cPanel จะปิดใช้งานการอัปเดตหลักของ WordPress, การแจ้งเตือนการอัปเดต และการอัปเดตพื้นหลังอัตโนมัติเพื่อเผยแพร่แบบชี้ เมื่อ Munson กู้คืนไฟล์เหล่านี้เป็นเวอร์ชันดั้งเดิมแล้ว การอัปเดตอัตโนมัติและการแจ้งเตือนจะทำงานอย่างถูกต้อง
cPanel และ cPAddons
ผู้ที่จัดการเซิร์ฟเวอร์เฉพาะหรือเซิร์ฟเวอร์ส่วนตัวเสมือนด้วย cPanel สามารถใช้ cPAddons ได้ ตามเอกสารของ cPanel “ส่วนเสริมคือแอปพลิเคชั่นที่ทำงานร่วมกับ cPanel เพื่อทำหน้าที่สำหรับเว็บไซต์ของผู้ใช้ของคุณ ตัวอย่างของแอปพลิเคชันเหล่านี้ ได้แก่ กระดานข่าว ตะกร้าสินค้าออนไลน์ และบล็อก”
เปิดบทสนทนาด้วย cPanel
George Stephanis ผู้สนับสนุนหลักของ WordPress และหัวหน้านักพัฒนาของ Jetpack กล่าวถึงการกระทำของ cPanel ต่อสาธารณะว่าเป็นแนวปฏิบัติที่ไม่ดี
รออย่างจริงจัง? @cPanel กำลังแฮ็ค WordPress core เพื่อป้องกันการอัปเดตหรือไม่ ฉันรู้สึกทึ่งกับความคิดที่แย่ขนาดนี้ #donthackcore
— จอร์จstephanis (@daljo628) 11 พฤษภาคม 2558
ตัวแทนของ cPanel เห็นทวีตดังกล่าวและตอบว่าต้องการรับข้อมูลเพิ่มเติม
https://twitter.com/cpanelcares/status/597886956945711107
Stephanis สนทนากับตัวแทน cPanel เป็นเวลานาน โดยอธิบายว่าเหตุใดจึงไม่ควรปิดการอัปเดตหลัก cPanel ปิดใช้งานระบบอัปเดตดั้งเดิมของ WordPress เนื่องจากอาจทำให้เกิดข้อขัดแย้งกับ WordPress เวอร์ชันซอฟต์แวร์ไซต์ของ cPanel
โดยทั่วไป เราจะเผยแพร่ WordPress เวอร์ชันล่าสุดภายใน 1 ถึง 5 วันหลังจากอัปเดต WordPress ล่าสุด อย่างน้อยที่สุด ผู้ดูแลระบบเซิร์ฟเวอร์จะได้รับแจ้งทุกคืนเกี่ยวกับแอปพลิเคชันซอฟต์แวร์ไซต์ทั้งหมดที่ต้องอัปเดต ขึ้นอยู่กับผู้ใช้ในการกำหนดค่าการแจ้งเตือนภายใน cPanel เพื่อรับการอัปเดตดังกล่าว
วิธีที่เครื่องมือ cPAddons ของเราติดตามซอฟต์แวร์นั้นเข้ากันไม่ได้กับวิธีการอัปเดตของ WordPress เหตุใดเราจึงปิดการใช้งานการอัปเดตอัตโนมัติเพื่อให้เราสามารถติดตามผ่าน cPAddons
cPanel อธิบายต่อไปว่าการอัปเดตได้รับการจัดการอย่างไรสำหรับซอฟต์แวร์ที่ติดตั้งโดยใช้ซอฟต์แวร์ไซต์ cPAddon
- เมื่อใดก็ตามที่ WP ออกบิลด์การบำรุงรักษาที่จัดการกับข้อกังวลด้านความปลอดภัย เราจะตอบสนองอย่างรวดเร็วเพื่อให้ซอฟต์แวร์ของเราอัปเดตเพื่อให้ลูกค้าใช้งานได้
- โดยค่าเริ่มต้น เรากำหนดว่าซอฟต์แวร์ที่จัดการ/ติดตั้งผ่าน cPAddons จะได้รับการอัปเดตโดยอัตโนมัติเมื่อมีการอัปเดตใหม่
- จากข้อมูลข้างต้น หากผู้ดูแลระบบเซิร์ฟเวอร์ปล่อยให้ค่าเริ่มต้นเปิดใช้งานอยู่ เมื่อ WP เปิดตัวรุ่นบำรุงรักษาที่แก้ไขข้อกังวลด้านความปลอดภัย และเราได้ทดสอบและอัปเดตแหล่งที่มาของเราแล้ว ลูกค้าจะได้รับการเปิดตัวโดยอัตโนมัติ
- หากผู้ดูแลระบบเซิร์ฟเวอร์ตัดสินใจปิดใช้งานการอัปเดตซอฟต์แวร์อัตโนมัติ ผู้ใช้ปลายทางและผู้ดูแลระบบจะยังคงได้รับการแจ้งเตือนว่าการติดตั้งล้าสมัยพร้อมด้วยขั้นตอนในการอัปเดตแอปพลิเคชันของตน
ตามค่าเริ่มต้น ซอฟต์แวร์ที่ติดตั้งโดย cPanel จะได้รับการกำหนดค่าให้อัปเดตโดยอัตโนมัติ แต่บางเว็บไซต์ของ Munson ไม่ได้อัปเดต เขายังไม่ได้รับการแจ้งเตือนการอัปเดตสำหรับไซต์เหล่านั้น cPanel เชื่อว่ามีบางอย่างผิดปกติกับการกำหนดค่าเซิร์ฟเวอร์ของ Munson และให้คำมั่นที่จะติดต่อเขาเพื่อขอข้อมูลเพิ่มเติม
ตามที่ Drumology2001 รายงานในฟอรัม ดูเหมือนว่ามีบางอย่างผิดปกติบนเซิร์ฟเวอร์นั้น เรายินดีที่จะตรวจสอบเซิร์ฟเวอร์นั้นเพื่อดูว่าเหตุใดผู้ใช้จึงไม่สามารถอัปเดต WordPress ได้
ตามวันที่คลุมเครือที่ใช้ในฟอรัมและเปรียบเทียบกับบันทึกภายในของเรา การอัปเดต 4.1.1 มีให้สำหรับระบบซอฟต์แวร์ไซต์ก่อนการโพสต์ครั้งแรก เราจะติดต่อเขาเพื่อพิจารณาว่ามีอะไรที่เราสามารถทำได้ที่นั่นหรือไม่
เปิดรับการเปลี่ยนแปลง
ข่าวดีก็คือ cPanel นั้นตอบสนองและเต็มใจที่จะทำการเปลี่ยนแปลงที่จำเป็นเพื่อปรับปรุงกระบวนการอัปเดต เมื่อพิจารณาว่ามีบริษัทเว็บโฮสติ้งกี่แห่งที่ให้ลูกค้าสามารถติดตั้ง WordPress ด้วยโปรแกรมติดตั้งเพียงคลิกเดียว สิ่งสำคัญคือเว็บไซต์จะได้รับการอัปเดตโดยเร็วที่สุด
หากคุณติดตั้ง WordPress ผ่านตัวติดตั้งแบบคลิกเดียวของ cPanel ให้ตรวจสอบว่าไซต์ของคุณใช้ WordPress 4.2.2 ซึ่งเป็นเวอร์ชันเสถียรล่าสุด