WordPress jest najczęściej używanym CMS. Korzysta z niego ponad 35% stron internetowych i liczba ta stale rośnie. To właśnie ze względu na swoją popularność WordPress jest głównym celem ataków hakerskich. W celu zmniejszenia prawdopodobieństwa ataku na naszą stronę w pierwszej kolejności należy zadbać o regularne aktualizowanie wtyczek, motywu, a także samej instalacji WordPressa. Niektóre aktualizacje są przeprowadzane automatycznie, niektóre wymagają naszej ingerencji. Jakie to są aktualizacje, a także czy można zmienić domyślne ustawienia, dowiesz się z tego artykułu.
Skąd atakujący wiedzą o lukach
WordPress swoją popularność zawdzięcza głównie dużej ilości bezpłatnych dodatków pozwalających na stworzenie witryny o dowolnym charakterze. Począwszy od prostej wizytówki firmy, poprzez bardziej rozbudowane strony dla korporacji, aż po zaawansowane platformy e-commerce. Niestety duża popularność WordPressa sprawia, że jest on głównym celem atakujących.
Na bieżąco odnajdowane są luki w bezpieczeństwie WordPressa, wtyczek, a także motywów. Najczęściej luki te są upubliczniane i są dostępne w Internecie. Na stronie https://wpvulndb.com znajdziesz listę podatności, która zawiera wszystkie zagrożenia zawarte w OWASP Top 10.
Jeśli zostanie odnaleziona luka w bezpieczeństwie, najczęściej zostaje naprawiona i wypuszczana jest wtedy aktualizacja. Należy ją wtedy jak najszybciej zainstalować, ponieważ nasza strona staje się łatwiejszym celem dla atakujących.
Które aktualizacje są przeprowadzane automatycznie
W celu podniesienia bezpieczeństwa, od wersji 3.7, WordPress automatycznie przeprowadza aktualizacje poprawek w ramach wersji głównej. Czyli np. aktualizacja wersji 5.1 do 5.1.1.
Najczęściej poprawki te nie mają wpływu na nasz motyw i wtyczki, jednak niestety nie zawsze. Czasem zdarza się, że po takiej aktualizacji strona zaczyna niepoprawnie się wyświetlać. Z tego właśnie powodu niektórzy wyłączają automatyczne aktualizacje.
Niestety opcji tej nie możemy wyłączyć z poziomu panelu administracyjnego WordPressa. Możemy w tym celu skorzystać z wtyczki Ease Update Manager. Jednak rozwiązanie to ma jedną wadę. Do naszej strony zostanie dodana kolejna wtyczka, a każda dodatkowa wtyczka obniża bezpieczeństwo, a także wydajność strony. Zwłaszcza, że ręczne wyłączenie automatycznych aktualizacji nie jest trudne.
Zarządzanie aktualizacjami z poziomu pliku wp.config.php
Połącz się z serwerem poprzez FTP (zapraszam do poradnika, w jaki sposób połączyć się z serwerem poprzez WinSCP). Odszukaj plik wp-config.php. Znajduje się on w głównym folderze z witryną. Skopiuj wp-config.php na dysk komputera i otwórz w dowolnym edytorze kodu (polecam edytor kodu Atom). Poniżej znajdziesz listę komend pozwalających na zmianę domyślnych ustawień WordPressa.
1. Wyłączenie wszystkich automatycznych aktualizacji dla wtyczek, motywów oraz WordPressa:
define( 'AUTOMATIC_UPDATER_DISABLED', true );2. Aktualizacje samego WordPressa
Włączenie / wyłączenie zarówno aktualizacji w ramach wersji głównej (np. 5.1 do 5.1.1), jak i dla wersji głównych (np. 5.0 do 5.1).
define( 'WP_AUTO_UPDATE_CORE', true ); //włączenie
define( 'WP_AUTO_UPDATE_CORE', false ); //wyłączenieWłączenie tylko aktualizacji w ramach wersji głównej (np. 5.1 do 5.1.1). Aktualizacje dla wersji głównych (np. 5.0 do 5.1) są wyłączone:
define( 'WP_AUTO_UPDATE_CORE', minor );Zarządzanie aktualizacjami poprzez filtry
Aktualizacjami możemy zarządzać także, dodając filtry do pliku functions.php. Plik ten znajdziesz w folderze z motywem.
1. Wyłączenie wszystkich automatycznych aktualizacji dla wtyczek, motywów oraz WordPressa:
add_filter( 'automatic_updater_disabled', '__return_true' );2. Aktualizacje samego WordPressa
Włączenie zarówno aktualizacji w ramach wersji głównej (np. 5.1 do 5.1.1), jak i dla wersji głównych (np. 5.0 do 5.1):
define( 'WP_AUTO_UPDATE_CORE', true );Włączenie / wyłączenie aktualizacji w ramach wersji głównej (np. 5.1 do 5.1.1):
add_filter( 'allow_minor_auto_core_updates', '__return_true' ); //włączenie
add_filter( 'allow_minor_auto_core_updates', '__return_false' ); //wyłączenieWłączenie / wyłączenie aktualizacji dla wersji głównych (np. 5.0 do 5.1):
add_filter( 'allow_major_auto_core_updates', '__return_true' ); //włączenie
add_filter( 'allow_major_auto_core_updates', '__return_false' ); //wyłączenie3. Włączenie / wyłączenie automatycznych aktualizacji wtyczek (wtyczki muszą znajdować się w oficjalnym repozytorium WordPressa).
add_filter( 'auto_update_plugin' , '__return_true' ); //włączenie
add_filter( 'auto_update_plugin' , '__return_false' ); //wyłączenie4. Włączenie / wyłączenie automatycznych aktualizacji motywu (motyw musi znajdować się w oficjalnym repozytorium WordPressa).
add_filter( 'auto_update_theme' , '__return_true' ); //włączenie
add_filter( 'auto_update_theme' , '__return_false' ); //wyłączeniePo każdej aktualizacji na maila otrzymujemy powiadomienie. Funkcjonalność tą można wyłączyć poniższą linijką kodu:
add_filter( 'auto_core_update_send_email', '__return_false' );Podsumowanie
Wyłączając automatyczne aktualizacje, należy pamiętać, aby przeprowadzać je ręcznie. Nie można tego zaniedbać, ponieważ narazimy naszą stronę na niebezpieczeństwo. Poza tym dostawca hostingu po wykryciu, że nasza strona jest zawirusowana, może ją zablokować.
Dlaczego WordPress jest często wybierany zarówno przez klientów stron WWW, jak i Web Developerów?
nie ma żadnego wpisu „update” w wp-config.php co skutkuje tym że nie mogę aktualizować WordPress z poziomu kokpitu po prostu nie ma przycisku aktualizuj.