Fórumok
Hi,
Van egy szerver, amit mondjuk úgy, én felügyelek és erre valami nagytudású (*) éppen wordpress-t telepít.
(* rengeteg basic baja van, mint aki még nem nagyon látott szervert)
Annyira nem bízom az arcban, hogy jó volna valahogy tőle függetlenül csekkolni, vannak-e frissítések az aktuális verzióhoz és ezt jó volna mail-ben elküldeni a weblap tulajának.
Találtam ezt a 'wp-cli' nevű cuccot, de nem tudom, megbízható-e illetve nem tesz-e keresztbe az aktuális WP installnak.
Mivel semmit nem értek WP-hez, kérdezem, hogy van az automata (core és plugin) update ellenőrzésre valami best practice?
Köszi.
Hozzászólások
Az oldal böngészőben átadott forráskódja tartalmazza általában a verziót. Erre írsz egy regexpet, ami kiírja az adott oldal verzióját. Ezt összeveted a wordpress hivatalos oldalán elérhető verzióval.
A pluginek más téma, arra nincs ötletem.
nem(csak) a wp core-al szokott baj lenni, hanem mindenfele plugineket raknak fel. azt nem tudod ezzel ellenorizni
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
De, a wp-cli -vel lehet plugint is frissíteni
Mi oldódik meg attól ha lesz egy WP független módszered a frissítések ellenőrzésére?
Izoláld el a felhasználót a szerver más erőforrásaitól, korlátozd és monitorozd a kiküldött levelek számát, legyen backup. A többet meg oldja meg a nagytudású.
A szervert egy "jail" megvédi belül, de egy rossz plugin elkezd leveleket küldeni és graylist-re megy mondjuk a levelkuldes. Vagy csak extra sok request érkezik meg ha nem is tudnak kárt okozni.
Mondjuk ezek wp helyett elavult, nem frissített bármire (általában ticketing vagy VoIP) is igazak.
tiltsd le a levelkuldest, hasznaljon kulso smtpt, a halohasznalatot monitorozd (ha esetleg valami plugin kifele scannel) meg a futo scripteket. ha ezen felul jailben van, akkor szerintem minden oldalrol beveded ahol rosszalkodhat. es persze backuo, de ezt fentebb is irtak
ja es meg egy dolog, tegyel tegyel http authot a /wp-adminra, az mar eleg eleg sok mindent megakadalyoz. majd a ajax valami phpt kulon engedni kell jelszo nelkul ha valami plugin hasznalja, mert hat honnan mashonnan mint az adminbol szolgalna ki a frontendet:)
köszi mindenkinek.
Szerintem nincs ilyen lehetőség, voltak próbálkozások, pl: Chrome bővítmények amik kiírják a wp core, bővítmények, téma nevét. De egyik sem működik (ötlet szerzésnél pedig jól jött volna) . pl ha tetszik egy funkció vagy téma ..stb
A forrás elején ott kellene fityegnie: <meta name="generator" content="WordPress 5.3.2" />
A bővítmények már más helyzet, néha downgrade kell mivel elgurul a fejlesztő tablettája és olyan bosszantó ökörséget beújít .... hogy nem elég a régit visszapecázni, de muszáj tiltani is a frissítést.
"ha valakire rá kiabálunk, hogy rendszergazda akkor az is - szerződés, fizetés csak az átkos időkben kellett"
és 100 éve még boszorkányt is égettek
Te, mint szolgáltató az alábbi dolgokat teheted meg szerintem.
Egyik opció, hogy te adod a tárhelyhez a Wordpress telepítési opciót és így maga a Wordpress mindig up-to-date kell,hogy legyen. Illetve javaslod a tapasztalatlan ügyfélnek, hogy keressen rá a Wordpress biztoságosabbá tételére, illetve automatikus frissítés konfigurációjára az Interneten. Vannak nagyon jó cikkek. Én is azok alapján állítottam be a WP-t és egész jól megy azóta. A WP motor frissítése automatikus, a plugineket inkább magam frissítem, mert azok hajlamosak beborítani az egészet oldalt és utólag kimatekozni, hogy melyik plugin a ludas.
Levelezésben kifelé csak auth-al lehessen küldeni és userre korlátozni az áteresztő képességet.
Magát a tárhelyet teljesen el kell szeparálni a többitől. Egy temp mappa se legyen közös, legyen neki saját.
.htaccess védelem, A mit írtak felettem is. Nem tudom van-e 2FA támogatás a WP-ben, ha igen, akkor célszerű azt is használni.
Illetve van egy URL, amin keresztül a robotok random usereket szúrnak be! A logból szépen ki lehet vadászni és le lehet blokkolni utána.
Javalaslat az ügyfélnek, hogy az újonnan regisztrált usernek semmi joga, csoportttagsága ne legyenalapbó
Kb. ennyi, amit tudok javasolni azután, hogy életemben először kellett találkoznom WP-vel.
https://make.wordpress.org/cli/handbook/
lol
Ezt bármely szolgáltató megteheti, minden wp fiók és azonosítás (bejelentkezés) nélkül?
Hiába a két lépcsős azonosítás ..stb?
"ha valakire rá kiabálunk, hogy rendszergazda akkor az is - szerződés, fizetés csak az átkos időkben kellett"
és 100 éve még boszorkányt is égettek
A szolgáltató (azon belül, akinek rootja van...) egyébként is trusted party, nem?
Mert egyébként simán belép a MySQL root-tal, átüti az oldal adminjának a jelszavát egy magának kedvesre, bemegy az admin felületre gonoszkodni, aztán visszaírja a jelszót a korábbira.
Ha meg 2FA, akkor arra az időre letiltja.
Vagy csak megnézi, hogy mit tárol a sessionben authhoz egy WP, megnyitja az oldalt, a szerveren a session fájlban átüti a megfelelő értékeket, frissít egyet, és benn van.
Vagy...
BlackY
"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)
Nem mintha rendszeresen kizárnám magam innen onnan, de db és vagy ftp plugin kergetést kénytelen vagyok én is alkalmazni:)
De full adminisztrációról nem is álmodtam, nem ismertem.
"ha valakire rá kiabálunk, hogy rendszergazda akkor az is - szerződés, fizetés csak az átkos időkben kellett"
és 100 éve még boszorkányt is égettek
A versenyző valami ftp access-t akar.
A feltöltéshez kapott sftp-t, azt nagy nehezen megugrotta.
Majd visszajött, hogy kell neki ftp valami local balhéhoz.
Ez valid?
Van úgy, hogy a CMS nem php-ból, hanem ftp-n keresztül "nyúl maga alá" :)
Eddig csak joomlánál láttam ilyet. Általában le lehet beszélni róla, hogy php-ból tudja magát írni (pl. uploads mappa).
A Wordpress ha jóltudom a saját téma / egyéb frissítéseknél csak FTP és FTPS (SSL) -t tud. Legalábbis az egyetlen WP site-omnál ami van most ránéztem és csak ez a két lehetőség volt.
Az, a WP, ha nem tudja magát írni (akár fájlrendszer szinten, akár ha konfigból le van tiltva), akkor kéri az FTP host/user/pass kombót.
BlackY
"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)
köszi mindenkinek
Ezekhez csak fájlrendszer szintű hozzáférés kell. Bár ha megmondja, hogy melyik az aktív téma, akkor kell db is, de ahhoz meg ott a config.php.
Szóval a kérdésre a válasz: igen. Vagy nem.
Jogosult felhasználó szerver oldalról mindig mindenhez hozzáfér.
A wp-cli nagyon jó szerszám 1 óra egerészés kiváltható pár másodperc alatt.
Mindenesetre érdemes konténerben futtatni a WordPresst - sok manapság fejlesztőnek nevezett egyén "költséghatékony" helyről szerzi be a hozzávalókat, azok pedig szinte minden esetben meglepetéseket rejtenek.
Emiatt is a másik igen fontos szerszám:
https://wpscan.org/