wordpress update check - cli

Hi,

 

Van egy szerver, amit mondjuk úgy, én felügyelek és erre valami nagytudású (*) éppen wordpress-t telepít.

(* rengeteg basic baja van, mint aki még nem nagyon látott szervert)

 

Annyira nem bízom az arcban, hogy jó volna valahogy tőle függetlenül csekkolni, vannak-e frissítések az aktuális verzióhoz és ezt jó volna mail-ben elküldeni a weblap tulajának.

Találtam ezt a 'wp-cli' nevű cuccot, de nem tudom, megbízható-e illetve nem tesz-e keresztbe az aktuális WP installnak.

Mivel semmit nem értek WP-hez, kérdezem, hogy van az automata (core és plugin) update ellenőrzésre valami best practice?

 

Köszi.

Hozzászólások

Szerkesztve: 2020. 03. 29., v – 00:04

Az oldal böngészőben átadott forráskódja tartalmazza általában a verziót. Erre írsz egy regexpet, ami kiírja az adott oldal verzióját. Ezt összeveted a wordpress hivatalos oldalán elérhető verzióval.

A pluginek más téma, arra nincs ötletem.

Mi oldódik meg attól ha lesz egy WP független módszered a frissítések ellenőrzésére?

Izoláld el a felhasználót a szerver más erőforrásaitól, korlátozd és monitorozd a kiküldött levelek számát, legyen backup. A többet meg oldja meg a nagytudású.

A szervert egy "jail" megvédi belül, de egy rossz plugin elkezd leveleket küldeni és graylist-re megy mondjuk a levelkuldes. Vagy csak extra sok request érkezik meg ha nem is tudnak kárt okozni. 

Mondjuk ezek wp helyett elavult, nem frissített bármire (általában ticketing vagy VoIP) is igazak.

Szerkesztve: 2020. 03. 29., v – 05:17

tiltsd le a levelkuldest, hasznaljon kulso smtpt, a halohasznalatot monitorozd (ha esetleg valami plugin kifele scannel) meg a futo scripteket. ha ezen felul jailben van, akkor szerintem minden oldalrol beveded ahol rosszalkodhat. es persze backuo, de ezt fentebb is irtak

Szerintem nincs ilyen lehetőség, voltak próbálkozások, pl: Chrome bővítmények amik kiírják a wp core, bővítmények, téma nevét. De egyik sem működik (ötlet szerzésnél pedig jól jött volna) . pl ha tetszik egy funkció vagy téma ..stb

A forrás elején ott kellene fityegnie: <meta name="generator" content="WordPress 5.3.2" />

A bővítmények már más helyzet, néha downgrade kell mivel elgurul a fejlesztő tablettája és olyan bosszantó ökörséget beújít .... hogy nem elég a régit visszapecázni, de muszáj tiltani is a frissítést. 

"ha valakire rá kiabálunk, hogy rendszergazda akkor az is - szerződés, fizetés csak az átkos időkben kellett" 

és 100 éve még boszorkányt is égettek 

Te, mint szolgáltató az alábbi dolgokat teheted meg szerintem.

Egyik opció, hogy te adod a tárhelyhez a Wordpress telepítési opciót és így maga a Wordpress mindig up-to-date kell,hogy legyen. Illetve javaslod a tapasztalatlan ügyfélnek, hogy keressen rá a Wordpress biztoságosabbá tételére, illetve automatikus frissítés konfigurációjára az Interneten. Vannak nagyon jó cikkek. Én is azok alapján állítottam be a WP-t és egész jól megy azóta. A WP motor frissítése automatikus, a plugineket inkább magam frissítem, mert azok hajlamosak beborítani az egészet oldalt és utólag kimatekozni, hogy melyik plugin a ludas.

Levelezésben kifelé csak auth-al lehessen küldeni és userre korlátozni az áteresztő képességet.

Magát a tárhelyet teljesen el kell szeparálni a többitől. Egy temp mappa se legyen közös, legyen neki saját.

.htaccess védelem, A mit írtak felettem is. Nem tudom van-e 2FA támogatás a WP-ben, ha igen, akkor célszerű azt is használni.

Illetve van egy URL, amin keresztül a robotok random usereket szúrnak be! A logból szépen ki lehet vadászni és le lehet blokkolni utána.

Javalaslat az ügyfélnek, hogy az újonnan regisztrált usernek semmi joga, csoportttagsága ne legyenalapbó

Kb. ennyi, amit tudok javasolni azután, hogy életemben először kellett találkoznom WP-vel.

lol

Ezt bármely szolgáltató megteheti, minden wp fiók és azonosítás (bejelentkezés) nélkül?

Hiába a két lépcsős azonosítás ..stb?

"ha valakire rá kiabálunk, hogy rendszergazda akkor az is - szerződés, fizetés csak az átkos időkben kellett" 

és 100 éve még boszorkányt is égettek 

A szolgáltató (azon belül, akinek rootja van...) egyébként is trusted party, nem?

Mert egyébként simán belép a MySQL root-tal, átüti az oldal adminjának a jelszavát egy magának kedvesre, bemegy az admin felületre gonoszkodni, aztán visszaírja a jelszót a korábbira.
Ha meg 2FA, akkor arra az időre letiltja.
Vagy csak megnézi, hogy mit tárol a sessionben authhoz egy WP, megnyitja az oldalt, a szerveren a session fájlban átüti a megfelelő értékeket, frissít egyet, és benn van.
Vagy...

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

Nem mintha rendszeresen kizárnám magam innen onnan, de db és vagy ftp plugin kergetést kénytelen vagyok én is alkalmazni:)

De full adminisztrációról nem is álmodtam, nem ismertem.

"ha valakire rá kiabálunk, hogy rendszergazda akkor az is - szerződés, fizetés csak az átkos időkben kellett" 

és 100 éve még boszorkányt is égettek 

Jogosult felhasználó szerver oldalról mindig mindenhez hozzáfér.

A wp-cli nagyon jó szerszám 1 óra egerészés kiváltható pár másodperc alatt.

Mindenesetre érdemes konténerben futtatni a WordPresst - sok manapság fejlesztőnek nevezett egyén "költséghatékony" helyről szerzi be a hozzávalókat, azok pedig szinte minden esetben meglepetéseket rejtenek.

Emiatt is a másik igen fontos szerszám:

https://wpscan.org/