Niedoszły Bibliotekarz

Dlaczego autoinstalatory WordPressa to zło

To jest wersja zminimalizowana, zobacz pełną wersję strony..

Na fejsgłupie padło pytanie o autoinstalatory WordPressa  Wojtek odpowiedział:

myślę, że całość negatywów pochodzi jednak z przeszłości – autoinstalatory DAWNIEJ wymagały budowy paczek po stronie firm je opracowujących – aktualnie korzystają z paczek producentów. Zatem dawniej był duży problem m.in. z aktualnością pakietów – zwykle autoinstalatory miały wersję lub dwie do tyłu, co było zagrożeniem bezpieczeństwa. Teraz się to zmieniło, a autoinstalatory tworzą (np. w przypadku WordPressa) losowe bazy danych i losowe prefixy tabel. I mocne hasła do baz

Sprawdziłem na home.pl :>

Testy bezpośrednio na home.pl wykazały taką ilość problemów że ich opis nie mieścił się sensownie na fejgłupie :( więc powstał ten artykuł.

Od dawna twierdzę że home to stan umysłu, ale ponieważ coś tam u nich właśnie grzebałem  to testowo puściłem autoinstalatora…
4 razy…
w tym 2 razy z wtyczkami :/

Instalatora z WooCommerce nie puszczę bo jak ktoś stawia sklep to nawet nie ma o czym mówić. IMHO sklep to poważna sprawa więc powinno być do niej poważne podejście a nie „coś tam wyklikam a nuż się uda”.

Klikanie zainstalowało wersję WordPressa 4.9.6-255 (według opisu) zamiast aktualnej 4.9.8 do której Wordpress chwilę potem się sam zaktualizował. Przestarzałych wtyczek zainstalowanych przez autoinstalatora niestety już sam nie zaktualizował :(

Wspominany przez Wojtka „losowy” prefix tabel we wszystkich czterech przypadkach wyglądał jak poniżej

$table_prefix = 'wp_';

Najwyraźniej Wojciech jest zbyt wielkim optymistą :) to co u niego prawdopodobnie działa (nie testowałem), najwyraźniej nie u wszystkich jest wdrożone.

Generalnie autoinstalatory często dają powtarzalne ścieżki do instalacji (np. home pcha wszystko w katalog /autoinstalator/). Widziałem też (ale to już nie na home i nie pamiętam gdzie) takie instalatory co dawały jedyny słuszny i zarazem wszędzie taki sam klucz i sole w wp-config na różnych klientach i instalacjach.

Kolejnym problemem który widzę w home.pl to nadal daje nazwę_bazy i nazwę_usera nie dość że taką samą, to zarazem o kolejnych numerach u mnie w instalacjach wyglądało to tak:

define('DB_USER', '06923328_0000004');
define('DB_USER', '06923328_0000005');
define('DB_USER', '06923328_0000006');
define('DB_USER', '06923328_0000007');

to zgadujemy jaki będzie kolejny db_user w piątym zainstalowanym WordPressie :>

Niby śmieję się, ale przy wystawionych przez home.pl publicznie na świat bazach danych sprawdź dostępność sql.twoja_domena.pl, to jest pokazówka że tak naprawdę kolejny poziom bezpieczeństwa został zniszczony :/

Brak zarządzania ścieżką do instalacji, takie same prefixy tabel, powtarzalne klucze i sole, przewidywalna nazwa bazy danych i usera itp. problemy generowane przez automat powodują przewidywalność instalacji ułatwiającą przejęcie WordPressa.

Przestarzały WordPress prosto z autoinstalatora w home.pl

Instalacja czystego WordPressa może jest to jeszcze do przełknięcia bo się sam się zaktualizuje po niej, ale przy instalacji WordPress + wtyczki z autoinstalatora na home.pl zaczyna się robić trochę straszno…

Oprócz nieaktualnego systemu dostajemy na 10 automatycznie zainstalowanych wtyczek 6 nieaktualnych, co gorsza z tych sześciu pięć jest na dodatek włączone!

Jednak najciekawsza z tego autoinstalatora od home.pl jest wtyczka „Rekomendowane wtyczki” autorstwa nie inaczej home.pl.

Jedyne co robi ta wystrzałowa wtyczka to daje opis i linka żeby iść na stronę rekomendowanych wtyczek która wygląda jak poniżej ROTFL

Z pozostałych kwiatków… nie wiedzieć czemu jest włączony domyślnie tryb multisite, używa tego niewielu a są marne wtyczki co sobie z tym trybem nie radzą :(

multisite define( 'WP_ALLOW_MULTISITE', true );

Podsumowując moim zdaniem problemem autoinstalatorów nadal występuje. Przykład home.pl wyraźnie pokazuje że nadal można się na autoinstalatorach „przejechać”.

Wyszukane na szybko w ciągu kilkunastu minut błędy autoinstalatora to:

Co prawda nie testowałem teraz, ale na pewno są hostingi które mają to zrobione jeszcze gorzej niż home bo u nich można choć nazwę admina zmienić ;)

Przy pojedynczych instalacjach być może te wszystkie wpadki autoinstalatora są dla home jakoś do przełknięcia w imię ułatwienia życia użytkownikowi… i bez przejmowania się jego bezpieczeństwem,

jednak, …

jeśli zależy Ci choć trochę na swojej stronie to dodaj bazę „z palca”, zainstaluj na innej ścieżce najnowszego WordPressa i tylko przydatne dla Ciebie wtyczki. Zajmie to trochę więcej czasu, być może będzie potrzeba coś w panelu doklikać żeby domena wskazywała gdzie trzeba , ale zapewniam że sumarycznie warto to zrobić.

Aktualizacja

Autoinstalator WordPress w az.pl

Poszedłem dalej i popatrzyłem na córkę home czyli az.pl i też jest cieniutko :( co prawda instalator inny ale problemy podobne.

Wersja WordPressa generowana z autoinstalatora to jak dla mnie porażka.  WordPress w wersji 4.8.1 to już przestarzała cała gałąź a nie tylko nieaktualny WordPress. Oczywiście uaktualnił się samoczynnie do wersji 4.8.7 ale to nadal stara gałąź z której należy się przenieść do 4.9.x (na dzień pisania tego tekstu)

Na dodatek nie aktualne są trzy motywy i Akismet które trzeba z palca popchnąć.

Hasła dostępu użytkownika generowane przez instalator nie przechodzą walidacji WordPressa jako bezpieczne w panelu użytkownika :( Normalnie witki opadają.

Walidacja hasła użytkownika

Jedno mają lepsze od home.pl drugi człon nazwy bazy jest losowy nie iterowany, niestety define(‚DB_PASSWORD’, ‚saohBDoN’); wykazuje że hasełka do baz sa marnej jakości :(

dhosting.pl po uruchomieniu autoinstalatora WordPressa zdechł :/

efekt uruchomienia autoinstalatora WordPress na dhosting.pl :(

Miły Pan w telefonie potwierdził że odtworzył problem więc przekazuje go do działu technicznego. Na pytanie czy dostanę maila lub sms-a że naprawili stwierdził krótko że mam sam monitorować.

Bardzo ciekawe podejście supportu hostingu polecanego przez PC World. Ciężko pozyskanego – świeżego klienta (który jeszcze nie zapłacił bo myśli czy warto) po awarii swojego systemu wysyła na drzewo :D antyszacun normalnie.

po 30 minutach

Kliknąłem jeszcze raz instaluj i poszło. Z instalatora wgrywa się wersja 4.9.7 która w tle się zaktualizowała jak trzeba, ale wtyczka i motyw pozostają stare.

Niewiedzieć czemu druga instalacja na długo ugrzęzła podczas generowania ssl’a od Let’s Encrypt. Wiec trzeba się cierpliwością wykazać.

Dobre jest to że od ręki instalują WordPressa z https-em.

Nieaktualną wtyczką był (domyślnie włączony) LiteSpeed Cache nieobecny w domyślnych instalacjach WordPressa a dodany  przez autoinstalatora. Wtyczka dodana zapewne żeby hosting miał „lżej” a nie dla faktycznego dobra użytkownika.

Jestem przekonany że nieaktualna wtyczka od cache może nieźle namieszać, zwłaszcza w głowie początkującego użytkownika.  Idea domyślnego włączania nieaktualnych wtyczek w autoinstalatorach zdecydowanie nie przekonuje mnie.

Brak możliwości zmiany (podczas instalacji) nazwy użytkownika „admin” to bardzo kiepski pomysł, tak samo jak wygenerowane jego słabiutkie hasło 52b97e57

$table_prefix = ‚wp_’; nie wskazuje na losowość o której mówi Wojtek :D zwłaszcza że w przypadku obu instalek zastosowano ten sam domyślny prefix.

Przynajmniej  nazwa użytkownika bazy jest różna od nazwy bazy danych, dzięki czemu dostępy do baz danych są sensowniej  generowane niż w home.pl a hasła do baz są trochę lepsze (bo dłuższe) niż w az.pl