01
בדצמבר
2010

וורדפרס 3.0.2 – עדכון אבטחה קריטי

מאת: מאור ברזני | תגובות: 8 | נושאים: וורדפרס
תגיות: , , , |

וורדפרס 3.0.2 עדכון אבטחה קריטיוורדפרס 3.0.2 זמינה להורדה והיא עדכון אבטחה חובה מיידי עבור כל גרסאות וורדפרס הקודמות, כך פורסם אמש בבלוג הרשמי של וורדפרס.

גרסה זו מתקנת פרצת אבטחה שהתגלתה במערכת וורדפרס, דרכה יכול משתמש פוטנציאלי שיש לו הרשאות כתיבה בלבד, להשתלט באופן מלא על כל האתר.

נוסף לתיקון אבטחה זה, תוקנו מאות באגים נוספים ובוצעו מספר שיפורי אבטחה בגרסה הרגילה ובגרסת מולטי סייט. רשימה חלקית של הבאגים שתוקנו וקבצי המערכת ששונו ניתן לראות כאן.

בבלוג של וורדפרס קוראים לעדכן  מיידית לגרסה 3.0.2, גם אם אין לכם באתר משתמשים שאינכם בוטחים בהם. אם יש לכם וורדפרס בעברית, המתינו עם השדרוג עד שתהיה זמינה גרסת התיקוון גם בעברית, סביר שזה יקרה בימים הקרובים. וורדפרס 3.0.2 בעברית שוחררה וניתן להוריד אותה מאתר וורדפרס ישראל.

גרסת הדטהבייס של וורדפרס 3.0.2 נשארה 15477 (מדובר בערך של db_version בטבלת wp_optios).

לאחרונה שוחררה גרסת הבטא של וורדפרס 3.1, ובה מספר פיצ'רים חדשים ותיקוני באגים נוספים. וורדפרס 3.1 צפויה לצאת לקראת סוף דצמבר.

שתפו גם אחרים:
  • email
  • Print
  • RSS
  • Facebook
  • Twitter
  • LinkedIn
  • Google Bookmarks
  • Live
  • PDF
  • MySpace
  • del.icio.us
  • Digg
  • Technorati
  • Yahoo! Bookmarks
  • Yahoo! Buzz
  • Add to favorites

8 תגובות »

  • מאת MMA:

    באופן מאוד מאוד כללי – איך אתה מציע להתנהל כשיש לך אתר וורדפרס שעבר מודיפיקציות שונות ומתנהל כאתר מצליח ברמה כזו או אחרת ויוצאות גירסאות וורדפרס חדשות? אני רואה לא מעט אתרים שנשארים עם גירסת וורדפרס ישנה – אני מניח שלפחות בחלק מהמקרים זה לא מתוך עצלנות אלא מתוך מחשבה שהעדכון ישבור להם ארבעים אלף דברים באתר. מצד שני, אתה נשאר בגירסה ישנה מסוימת וייתכן שכבר נמצאה אליה פירצה שתתן לגולש "תמים" למחוק לך את האתר (הקצנה לשם המחשה…). אני עכשיו נמנע מלהעלות גירסת וורדפרס רק בגלל שאני יודע ש- 3.1 יהיה פה החודש, אבל הסיפור הזה יחזור על עצמו עם 3.2 וכך הלאה. מה עושים?

    • כשאתה אומר מודיפיקציות למה אתה מתכוון?
      האם בוצעו שינויים בקבצי ליבת המערכת עצמה?
      אם כן – זו כבר בעייה, כי מאוד לא מומלץ לשנות קבצי ליבה. יש מספיק אקשנים ופילטרים שמאפשרים לשנות התנהגויות דיפולטיות של המערכת כדי לא להצטרך לשנות קבצי ליבה.
      אם כבר נאלצים בכל זאת לשנות – חובה לשמור בצד מעין "יומן שינויים" בו רושמים את כל הקבצים שנעשה בהם שינוי, כמו גם להוסיף הערות בתוך הקוד.
      אבל שוב – מאוד לא מומלץ ולא נכון לעבוד בשיטה של לשנות קבצי ליבה.

      אם לא נעשו שינויים בקבצי ליבה, ומה שעושים בד"כ זה קודם כל לבדוק איזה תוספים יש במערכת שצריכים יהיו גם להתעדכן – איזה לא מתאימים יותר לגרסה החדשה, מאיזה אפשר להיפטר ולהחליף אותם בכמה שורות קוד, איזה תוספים שלא יעבדו אפשר למצוא להם תחחליפים.
      צריך לבדוק בקוד של ערכת העיצוב אם יש שימוש בפונקציות שכבר הוצאו משימוש.

      כמובן שאת כל הליך העדכון מבצעים קודם כל בסביבת פיתוח "סטרילית" כדי לא לפגוע באתר החי – ואז רואים אם ואיזה בעיות יש, ומטפלים אחת אחת.
      אחרי זה הנכון הוא להעביר לסביבת QA ולתת לאנשי ה-QA לבדוק את המערכות.
      רק אחרי שעוברים את כל ההליך המסודר – אפשר להעלות לאוויר לייצור, וגם אז – כמובן לשמור שכפול של המערכת ושל הדטהבייס הנוכחיים, כדי שאפשר יהיה בקלות לחזור לגרסה הנוכחית, במקרה של בעיות.

      חשוב לשמור על מערכת מעודכנת מכל מיני סיבות, אבל בעיקר מסיבות של אבטחה.
      לא מזמן שדרגתי רשת גדולה שישבה על 2.7MU והעברתי אותה לגרסה החדשה במולטיסייט. זה היה תהליך לא קצר, אבל המערכת עובדת ומתפקדת היום נפלא על הגרסה החדשה.
      לא חובה לעדכן מיד תמיד עם כל גרסה שיוצאת, אבל אם יש גרסה ישנה מדי אז רצוי לטפל בזה.

      הסיבה, לדעתי, שאתה רואה אתרים בגרסאות ישנות, היא שמישהו פיתח אתר על גרסה X ואחרי זה לא ביצע תחזוקה של המערכת ועדכן אותה (או מחוסר עניין, או מחוסר תקציב, או מחוסר ידע או מכל סיבה אחרת שהיא).
      עקרונית, כל 3-4 חודשים יוצאת גרסה של וורדפרס, כשבין לבין יוצאות לפעמים גרסאות של תיקוני אבטחה שונים וכו' (כמו עכשיו עם 3.0.2).
      כדאי תמיד לשמור על מערכת עובדת היטב בגרסה העדכנית שיש, שהיא גם המאובטחת ביותר שיש, אם כי מן הסתם גם היא לא נעדרת פרצות אבטחה, רק שעדיין לא התגלו…

      יצאה תגובה קצת ארוכה.. שיהיה בהצלחה

      • מאת MMA:

        קודם כל תודה על התגובה המנומקת.

        כשאני אומר מודיפקציות אני מתכוון לשינוי ה- theme אבל לא רק בקובץ ה- CSS (כי אחרת כדאי לעשות child theme לפי מה שהבנתי) אלא גם בקבצים עצמם, בין אם זה function או header וכו'. כשאתה אומר קבצי ליבה אני מניח שמדובר בקבצים שיושבים גבוה יותר בהיררכיה מחוץ ל- theme, אז בהם אני לא נוגע.

        קרה שאני בתמימותי מעדכן ל- 3.0.2 והופ הכל נמחק. אני מניח שאם הייתי מגבה את את כל התיקייה של הערכה לא הייתה לי בעיה. אלא אם כן העדכון משנה משהו בערכה ואז בעצם חזרתי לערכה ישנה.

        ולא חסר דוגמאות לוורדפרסים מושקעים ומעודכנים אבל מיושנים. קח לדוגמה את פבל שיושב עדיין על 2.9.

        • שינוי ערכת העיצוב הוא לא שינוי ליבה.
          עם זאת, כשאתה משדרג גרסה – גם ערכת העיצוב שמגיעה כברירת מחדל עם וורדפרס מתעדכנת.
          לכן, אם אתה מבסס את הערכה שלך על ערכת ברירת המחדל של WP, ובה עושה שינויים – הדבר הנכון הוא לייצר תבנית child (המאפשרת גם פונקציונליות ולא רק עיצוב) ולהשתמש בה, או לחילופין לשכפל את כל התבנית לתבנית חדשה בשם אחר.

          לגבי אתרי וורדפרס מושקעים – זה קשור בעיצוב ובתוכן, לא בגרסה שבה משתמשים.

          שים לב – יצאה גרסה חדשה 3.0.3 עם תיקון אבטחה נוסף, תוכל לראות פוסט נוסף כאן בבלוג לגבי זה.

          • מאת MMA:

            מקריאה בנושא התרשמתי שתבנית child מאפשרת רק עיצוב. נראה לי שלשכפל את התבנית ואז לערוך בה שינויים יהיה הדבר הנכון, אלא אם כן ל- child יש יתרונות שאני לא מכיר על פני אפשרות זו.
            זה קשור בעיצוב ובתוכן? לא ממש הבנתי, בכל מקרה אם זה כל כך פשוט עדיין לא ברור לי למה פבל (לדוגמה) ורבים אחרים לא מעדכנים. פשוט לגבות את תיקית העיצוב ולשחזר לאחר העדכון.

            • עבודה עם תבנית child מאפשרת גם שינויי פונקציונאליות.
              היתרונות של הchild שבעת עדכון אתה מקבל את העדכון עבור קבצי הפונקציות המרכזיים וקבצי התבניות שלא שינית, וגם השינויים שעשית בשאר הקבצים נשמרים.
              עדכון גרסה הוא לא תמיד פשוט, פירטתי על זה חלקית בתגובה הראשונה שלי..

  • [...] בלבד לאחר שחרורה של גרסת האבטחה וורדפרס 3.0.2, הופץ כעת שדרוג אבטחה נוסף – וורדפרס 3.0.3. שדרוג אבטחה [...]

  • [...] אחד. בתחילת החודש יצאו עדכוני אבטחה נוספים בגרסאות וורדפרס 3.0.2 ו-וורדפרס 3.0.3. מפתחי וורדפרס מרחבי העולם ממשיכים [...]

פיד RSS לתגובות בפוסט | טראקבק


הוסף תגובה

You can add images to your comment by clicking here.

TechnoCraft - פתרונות אינטרנט


אֶקְסְפֶּרִימֶנְט דוֹט אֶפֶס - וורדפרס, תוכן, טכנולוגיה ועוד כמה דברים - מופעל באמצעות WordPress | פתרונות אינטרנט