(clevercupcakes nuotrauka)
Kaip atidžiai sekate naudojamų programų versijų atnaujinimus ir priedus, skirtus užkamšyti kodo spragas? Man atrodo, kad čia situacija yra kaip ir su atsarginėmis kopijomis – visi žino, kad reikia, bet retas tai daro taip dažnai ir atsakingai, kaip reikėtų.
Dar vienas priminimas apie versijų atnaujinimo laiku svarbą – pastarosiomis dienomis stipriai nuo kenkėjų nukentėję WordPress naudojantys tinklaraščiai. Užpuolikai taikėsi į pačius garsiausius užsienio tinklaraščius, todėl mes čia, Lietuvoje, likome sveiki, bet užtat gavome progą išmokti pamoką.
Grėsmės esmė: pasinaudojant ankstesnių (prieš 2.8.4) WordPress versijų saugumo spragomis, buvo sukurti tinklaraščių vartotojai, jų teisės pakeltos iki administratorių lygio, o paskui svetainėje įdiegtas JavaScript kodas, paslepiantis nuo tikrųjų savininkų įsilaužimo pėdsakus. Tokio išpuolio tikslas – pridėti į senų įrašų komentarus reklaminių komentarų, apeinant priežiūros mechanizmą.
Šis konkretus bandymas pasinaudoti spraga buvo nesunkiai aptinkamas dėl nekokybiško JavaScript kodo ir sudarkytos svetainės pastoviųjų saitų (permalinks) struktūros, bet kol buvo aptiktas, žalos pridarė nemažai – taip pat ir labai garsių tinklaraščių autoriams.
WordPress gi turi tik vieną atsakymą: „žmonės, niekada nedelskite diegti atnaujinimus“. Juk su WordPress 2.4.x tai taip paprasta padaryti! Dažniausiai pakanka paspausti nuorodą „atnaujinti“ – viskas vyksta visiškai automatiškai. Pamenu, iš pradžių labai bijojau, kad tai nepavyks, nes du metus viską dariau tik rankomis. Tačiau po penkių ar šešių versijos atnaujinimų apsiraminau ir dabar jau iš karto atnaujinu tiek pačią WordPress, tiek ir įskiepius.
Jei versijų atnaujinimas – bene patikimiausias būdas apsisaugoti nuo kenkėjų, kodėl tuomet tiek daug žmonių neskuba tai daryti? Priežasčių yra ne viena:
- Galimos suderinamumo problemos su naudojamais įskiepiais ar WP šablonu;
- Galimos naujos klaidos versijos kode;
- Dažni atnaujinimai labai nusibosta;
- Retai pačių autorių atnaujinamas turinys, dėl ko jie ne kasdien ir užsuka į savo tinklaraštį;
- Laiko stoka ar kiti interesai.
Pirmieji du punktai yra pakankamai svarios priežastys – ne kartą girdėjau autorius sakant, kad verta palaukti ir pažiūrėti, ar paskubėję atnaujinti versijas nesiskųs dėl naujų klaidų, suderinamumo problemų ir panašiai. Normaliomis sąlygomis gal ir aš taip daryčiau – kartais per skubą prisidarai daug bėdos. Tačiau situacija su svetainių saugumu internete kasdien tampa vis blogesnė ir blogesnė. Antpuolių daugėja, taip pat ir prieš tinklaraščius. Todėl tenka keisti įpročius: tikrinti kasdien, ar nėra naujų lopų spragoms ir neatidėliojant juos įdiegti.
8 Comments
Suderinamumo problemos man buvo viena didžiausių kliūčių atnaujinant TVS versijas. Kuo daugiau įskiepių / pakeitimų, tuo mažiau noro prie jų vėl liestis. WordPress yra pirmas TVS, į kurio atnaujinimą nebežiūriu kaip į potencialią problemą / galvos skausmą – man taip pat atsirado pasitikėjimas tuo „Atnaujinti automatiškai“ mygtuku. Nuostabu, kai viskas gali būti taip paprasta. Tuomet nėra ko delsti ir rizikuoti svetainės saugumu.
Aš priskirsiu save prie tų, kurie neatnaujina, nes nemato tam reikalo. :) Juolab, kad atnaujinant WP dar prašoma padaryt failų backup’ą… Per daug makalynės man. :)
Automatinis kompiuterio atnaujinimas naujausių programos versijų ieško kasdien, rankiniu būdu taipogi atnaujinu tik užtikus, taipogi ir WordPress. Tačiau įskiepių neatnaujinu, kadangi kai kurie turi mano paties sulietuvinimą, tad kaskart tektų vis iš naujo versti angliškas frazes ir žodžius…
Bet pasisakau UŽ naujausias programų versijas – ne veltui atnaujinimai ir sukurti.
Kaip sako: kam taisyti, jei nesugedo.. Vienintelė bėda, kad atrandami nauji pažeidžiamumai, o taip tai visai nenaujinčiau. Kam naujinti, jei ir taip viskas veikė.
Ypač blogai, jei kokiam plugin pats paredagavai kodą, ir atnaujinus, tie pakeitimai dings..
ir aišku joks administratorių accountas negali vadintis admin ir panašiai. O wordpressą automatiniu mygtuku naujinu nuo 2.6.x versijų nesukdamas galvos dėl backupų-db automatiškai nukopijuojama ir keliauja į mano paštą periodiškai.
ak štai iš kur tie „useriai“ pas mane atsirado. nebūčiau ir pastebėjęs, jei nebūtų reikėję pačiam naujo sukurti.
bet palaukite, pas mane jie atsirado po WP 2.8.4 įdiegimo. mistika…
naują versiją diegiau ne aš, nes: vis baisu, kad ko nepradanginčiau, dar prie senos neįpratau, o nauja yra, ar veiks mano pamėgti įskiepiai?
Turėtų veikti. Pastaruoju metu WP atnaujinimai įskiepių negriauna.
Siaip updeitus galetu ir autonomiskai daryti. PHP be problemu gali suarchyvuoti koda pries atnaujinima, tad net kam nors nepavykus su pora komandu galima viska atstati.
Bet yra kitas aspetktas tokiu TVS kaip word press. Jie leidzia naujas versijas daznai. Aisku naujoves pasiekia iskart, tik jas sugalvojus, bet tai yra ir galvos skausmas del saugumo.
Rimtas TVS turetu leisti ‘esmines’ versijas ne dazniau kaip karta per 4-6men.Tarkim 2.4 butu viena esmine versija, kita jau 2.8 Tuo paciu isipareigotu eisti TIK saugumo atnaujinimus ‘esminem versijom’, tad nebutu problemu atnaujinau, kad nenulauztu, dabar paciau reikia pluginus lauzt kad veiktu. O kas nori zaisti su visom is eiles versijom, tai prasom.