Na fejsgłupie padło pytanie o autoinstalatory WordPressa Wojtek odpowiedział:
myślę, że całość negatywów pochodzi jednak z przeszłości – autoinstalatory DAWNIEJ wymagały budowy paczek po stronie firm je opracowujących – aktualnie korzystają z paczek producentów. Zatem dawniej był duży problem m.in. z aktualnością pakietów – zwykle autoinstalatory miały wersję lub dwie do tyłu, co było zagrożeniem bezpieczeństwa. Teraz się to zmieniło, a autoinstalatory tworzą (np. w przypadku WordPressa) losowe bazy danych i losowe prefixy tabel. I mocne hasła do baz
Sprawdziłem na home.pl :>
Testy bezpośrednio na home.pl wykazały taką ilość problemów że ich opis nie mieścił się sensownie na fejgłupie :( więc powstał ten artykuł.
Od dawna twierdzę że home to stan umysłu, ale ponieważ coś tam u nich właśnie grzebałem to testowo puściłem autoinstalatora…
4 razy…
w tym 2 razy z wtyczkami :/
Instalatora z WooCommerce nie puszczę bo jak ktoś stawia sklep to nawet nie ma o czym mówić. IMHO sklep to poważna sprawa więc powinno być do niej poważne podejście a nie „coś tam wyklikam a nuż się uda”.
Klikanie zainstalowało wersję WordPressa 4.9.6-255 (według opisu) zamiast aktualnej 4.9.8 do której WordPress chwilę potem się sam zaktualizował. Przestarzałych wtyczek zainstalowanych przez autoinstalatora niestety już sam nie zaktualizował :(
Wspominany przez Wojtka „losowy” prefix tabel we wszystkich czterech przypadkach wyglądał jak poniżej
$table_prefix = 'wp_';
Najwyraźniej Wojciech jest zbyt wielkim optymistą :) to co u niego prawdopodobnie działa (nie testowałem), najwyraźniej nie u wszystkich jest wdrożone.
Generalnie autoinstalatory często dają powtarzalne ścieżki do instalacji (np. home pcha wszystko w katalog /autoinstalator/). Widziałem też (ale to już nie na home i nie pamiętam gdzie) takie instalatory co dawały jedyny słuszny i zarazem wszędzie taki sam klucz i sole w wp-config na różnych klientach i instalacjach.
Kolejnym problemem który widzę w home.pl to nadal daje nazwę_bazy i nazwę_usera nie dość że taką samą, to zarazem o kolejnych numerach u mnie w instalacjach wyglądało to tak:
define('DB_USER', '06923328_0000004');
define('DB_USER', '06923328_0000005');
define('DB_USER', '06923328_0000006');
define('DB_USER', '06923328_0000007');
to zgadujemy jaki będzie kolejny db_user w piątym zainstalowanym WordPressie :>
Niby śmieję się, ale przy wystawionych przez home.pl publicznie na świat bazach danych sprawdź dostępność sql.twoja_domena.pl, to jest pokazówka że tak naprawdę kolejny poziom bezpieczeństwa został zniszczony :/
Brak zarządzania ścieżką do instalacji, takie same prefixy tabel, powtarzalne klucze i sole, przewidywalna nazwa bazy danych i usera itp. problemy generowane przez automat powodują przewidywalność instalacji ułatwiającą przejęcie WordPressa.
Przestarzały WordPress prosto z autoinstalatora w home.pl
Instalacja czystego WordPressa może jest to jeszcze do przełknięcia bo się sam się zaktualizuje po niej, ale przy instalacji WordPress + wtyczki z autoinstalatora na home.pl zaczyna się robić trochę straszno…
Oprócz nieaktualnego systemu dostajemy na 10 automatycznie zainstalowanych wtyczek 6 nieaktualnych, co gorsza z tych sześciu pięć jest na dodatek włączone!
- Wtyczka Elementor jest instalowana pomimo że wersja PHP na serwerze jest za niska :>
- Wtyczka Yoast SEO wpisuje do .htaccess dyrektywy <FilesMatch> nie obsługiwane na tej usłudze (stary serwer).
- Wtyczka Really Simple SSL to proteza której zwłaszcza przy nowych instalacjach nie powinno się stosować.
- Instalowanie domyślnie wtyczki All-in-One WP Migration to też nieporozumienie, częściej się zakłada coś nowego niż migruje starocie.
Jednak najciekawsza z tego autoinstalatora od home.pl jest wtyczka „Rekomendowane wtyczki” autorstwa nie inaczej home.pl.
Jedyne co robi ta wystrzałowa wtyczka to daje opis i linka żeby iść na stronę rekomendowanych wtyczek która wygląda jak poniżej ROTFL
Z pozostałych kwiatków… nie wiedzieć czemu jest włączony domyślnie tryb multisite, używa tego niewielu a są marne wtyczki co sobie z tym trybem nie radzą :(
multisite define( 'WP_ALLOW_MULTISITE', true );
Podsumowując moim zdaniem problemem autoinstalatorów nadal występuje. Przykład home.pl wyraźnie pokazuje że nadal można się na autoinstalatorach „przejechać”.
Wyszukane na szybko w ciągu kilkunastu minut błędy autoinstalatora to:
- Nieaktualne komponenty (sam WordPress jak i wtyczki)
- Powtarzalność elementów które powinny być unikalne
- Brak zarządzania ścieżką instalacji
- Narzucanie ustawień których niekoniecznie się potrzebuje (np. multisite)
- Bezsensownie zainstalowane wtyczki (niedziałające)
- Źle dobrany zestaw wtyczek (nadmiarowe wąsko specjalizowane)
Co prawda nie testowałem teraz, ale na pewno są hostingi które mają to zrobione jeszcze gorzej niż home bo u nich można choć nazwę admina zmienić ;)
Przy pojedynczych instalacjach być może te wszystkie wpadki autoinstalatora są dla home jakoś do przełknięcia w imię ułatwienia życia użytkownikowi… i bez przejmowania się jego bezpieczeństwem,
jednak, …
jeśli zależy Ci choć trochę na swojej stronie to dodaj bazę „z palca”, zainstaluj na innej ścieżce najnowszego WordPressa i tylko przydatne dla Ciebie wtyczki. Zajmie to trochę więcej czasu, być może będzie potrzeba coś w panelu doklikać żeby domena wskazywała gdzie trzeba , ale zapewniam że sumarycznie warto to zrobić.
Aktualizacja
Autoinstalator WordPress w az.pl
Poszedłem dalej i popatrzyłem na córkę home czyli az.pl i też jest cieniutko :( co prawda instalator inny ale problemy podobne.
Wersja WordPressa generowana z autoinstalatora to jak dla mnie porażka. WordPress w wersji 4.8.1 to już przestarzała cała gałąź a nie tylko nieaktualny WordPress. Oczywiście uaktualnił się samoczynnie do wersji 4.8.7 ale to nadal stara gałąź z której należy się przenieść do 4.9.x (na dzień pisania tego tekstu)
Na dodatek nie aktualne są trzy motywy i Akismet które trzeba z palca popchnąć.
Hasła dostępu użytkownika generowane przez instalator nie przechodzą walidacji WordPressa jako bezpieczne w panelu użytkownika :( Normalnie witki opadają.
Jedno mają lepsze od home.pl drugi człon nazwy bazy jest losowy nie iterowany, niestety define(’DB_PASSWORD’, 'saohBDoN’); wykazuje że hasełka do baz sa marnej jakości :(
dhosting.pl po uruchomieniu autoinstalatora WordPressa zdechł :/
Miły Pan w telefonie potwierdził że odtworzył problem więc przekazuje go do działu technicznego. Na pytanie czy dostanę maila lub sms-a że naprawili stwierdził krótko że mam sam monitorować.
Bardzo ciekawe podejście supportu hostingu polecanego przez PC World. Ciężko pozyskanego – świeżego klienta (który jeszcze nie zapłacił bo myśli czy warto) po awarii swojego systemu wysyła na drzewo :D antyszacun normalnie.
po 30 minutach
Kliknąłem jeszcze raz instaluj i poszło. Z instalatora wgrywa się wersja 4.9.7 która w tle się zaktualizowała jak trzeba, ale wtyczka i motyw pozostają stare.
Niewiedzieć czemu druga instalacja na długo ugrzęzła podczas generowania ssl’a od Let’s Encrypt. Wiec trzeba się cierpliwością wykazać.
Dobre jest to że od ręki instalują WordPressa z https-em.
Nieaktualną wtyczką był (domyślnie włączony) LiteSpeed Cache nieobecny w domyślnych instalacjach WordPressa a dodany przez autoinstalatora. Wtyczka dodana zapewne żeby hosting miał „lżej” a nie dla faktycznego dobra użytkownika.
Jestem przekonany że nieaktualna wtyczka od cache może nieźle namieszać, zwłaszcza w głowie początkującego użytkownika. Idea domyślnego włączania nieaktualnych wtyczek w autoinstalatorach zdecydowanie nie przekonuje mnie.
Brak możliwości zmiany (podczas instalacji) nazwy użytkownika „admin” to bardzo kiepski pomysł, tak samo jak wygenerowane jego słabiutkie hasło 52b97e57
$table_prefix = 'wp_’; nie wskazuje na losowość o której mówi Wojtek :D zwłaszcza że w przypadku obu instalek zastosowano ten sam domyślny prefix.
Przynajmniej nazwa użytkownika bazy jest różna od nazwy bazy danych, dzięki czemu dostępy do baz danych są sensowniej generowane niż w home.pl a hasła do baz są trochę lepsze (bo dłuższe) niż w az.pl
nie kop lezacego – home to stan umyslu :)
Nie czuję żebym ich kopał, wręcz przeciwnie wyciągam do home.pl pomocną dłoń i dostarczam im analizę błędów do poprawienia.
Ponieważ to ja jestem Wojciech w powyższego wpisu, pozwolę sobie odpowiedzieć o co dokładnie chodziło w autoinstalatorach – nie chodziło mi o konkretne firmy hostingowe, ale o rozwiązania ogólnoświatowe. Oczywiście pozwoliłem sobie również podlinkować ten wpis, bo każda uwaga dotycząca bezpieczeństwa jest cenna: https://www.smarthost.pl/blog/czy-autoinstalatory…
Ja też nie patrzę na hostingi :D które obsmarowuję. Po prostu zacząłem od tego na którym akurat coś robiłem, a dziś się przespacerowałem po takich które gdzieś tam w pamięci siedziały. Nie miałem pojęcia czy mają jakiekolwiek autoinstalatory czy używają czegoś do typowych paneli zarządzających.
Świetny artykuł. Bardzo uświadamiający, szczególnie dla mnie, osoby, która prowadzi własnego bloga. Dzięki za wpis!