Uplynulo jen několik dní a máme tu další nenadálou bezpečnostní aktualizaci ve formě WordPressu 2.8.4. Obvykle lze datum vydání každé nové verze poměrně dobře odhadnout podle postupně vydávaných beta a RC verzí a sledováním práce vývojářů, ale pokud během několika málo hodin vznikne jen drobná (z hlediska zdrojového kódu a nikoliv bezpečnosti) změna, která je rovnou transformována do nové verze, tak to není bohužel možné předvídat. A i z těchto důvodů bude mít česká verze v těchto případech vždy nějaké zpoždění. I když se v oblasti anglických podkaldů pro překlad vůbec nic nezměnilo, tak do češtiny postupně přidáváme opravy nahlášených chyb a provádíme i další drobné úpravy, takže vše musí ještě před samotným vydáním projít alespoň zběžnou kontrolou. A nemluvě o tom, že jsou prázdniny a zrovna když vyšel nový WordPress 2.8.4, tak jsme byli shodou okolností na výletě :-) Ale další nová verze alespoň iniciovala zajímavou diskuzi, na kterou se podrobněji podíváme dále v příspěvku.
Autoři českých webů, které se zveřejňováním informací o nových verzích WordPressu obvykle zabývají, většinou oznámení o nové verzi shrnuli do několika stručných vět, kde nešetřili poznámkami o “roztrženém pytli s bezpečnostními opravami” apod. Celá problematika má však několik různých úhlů pohledu a není to tedy jen jednoduchá situace, kde si můžeme postěžovat, že je WordPress nekvalitní a děravý redakční systém.
Pomocí automatické aktualizace jde jen o dvě kliknutí myší navíc (a tedy pouze o několik vteřin), takže to nikoho zase tak moc neobtěžuje a je podle mě spíše pozitivní, že je nová verze vydána. Moc pěkně shrnul související problémy spojené s automatickou aktualizací kahi ve svém článku (anglicky) a já si dovolím jeho myšlenky (se kterými se ztotožňuji) převyprávět českému publiku. Nevidím zásadní problém v častých aktualizacích, ale spíše v “technických” detailech s tím spojených. Oznamovací lišta s informací o nové verzi se totiž zobrazuje všem uživatelům a je opravdu nepřehlédnutelná (na její odstranění je možné použít plugin) a pokud se rozhodnete aktualizovat na novou verzi bez hotové a vydané češtiny, tak po vydání této češtiny se vám bude oznámení zobrazovat ještě jednou (dokud ho neskryjete nebo opět neaktualizujete). Automatická instalace lokalizovaných verzí je vynikající myšlenka, která usnadňuje práci mnoha uživatelům, ale její uživatelská přívětivost by se ještě určitě dala zlepšit. Dalším problémem je pak samotná distribuce nových verzí WordPressu, které jsou vydávány v kompletním balíčku (velikost .zip souboru s češtinou je téměř 2,5 MB), přičemž by stačilo aktualizovat jen několik malých souborů. Tyto problémy vypluly na světlo právě teď v souvislosti s častými aktualizacemi, protože dříve to jednou za několik týdnů nikomu nevadilo. Ale věřím, že i tady dojde do budoucna k nějakému pokroku.
A o co vlastně šlo? Co to bylo za bezpečnostní díru? Jednoduše řečeno bylo možné pomocí podstrčené URL adresy obejít nutnost potvrzení při obnovování uživatelského hesla. Takže útočník mohl velmi snadno vymazat přístupové heslo pro první uživatelský účet v databázi (obvykle admin) na libovolném webu. Nové heslo bylo sice odesláno na email původního uživatele a nedošlo tak k neoprávněnému přístupu do administrace WordPressu, ale tato situace by po zveřejnění umožnila vtipálkům opakovaně znepříjemňovat mnohým lidem život. Stačilo přece tak málo a heslo bylo vymazáno, takže se admin musel přihlásit s novým a změnit si ho v administraci.
Aktualizace WordPressu tedy musela být vydána zejména proto, že byla zveřejněna. Nezkoumal jsem to příliš detailně, ale samotný objevitel a zprostředkovaně pak další lidé (s větším popularizačním dosahem) o ní začali psát a stala se tak veřejně známou. Nevím, ale asi bych osobně nahlásil objevenou chybu potichu vývojářům WordPressu, kteří by ji v poklidu opravili a nevytahoval se na fórech, jak jsem šikovnej, když jsem na to přišel, všichni si to vyzkoušejte a WordPress je jen děravý opensource. Jenomže tady asi nejde jenom o samotný zájem na vyřešení objevené chyby, ale také internetový věhlas, který si takovým odhalením určitě získáte. Bohužel to však vede k tomu, že musí být vydána aktualizace ihned, i když není chyba nebezpečná, ale spíše otravná. A pokud by o chybě vědělo jen pár (neškodících) lidí, tak bychom nemuseli aktualizovat tak často. Inu, co se dá dělat, žijeme v informační době, takže nezbývá nic jiného než aktualizovat.
Ale zpět k češtině pro WordPress 2.8.4. Nepřibyly žádné nové řetězce, takže došlo jen k několika drobným změnám (např. byl všude sjednocen samotný název WordPress, který jste mohli občas zahlédnout chybně jako WordPress s malým písmenem “p”). Kdo chce, může aktualizovat, kdo nechce (a už si nainstaloval anglickou verzi WordPressu 2.8.4), tak se oznamovací lišty o nové verzi zbaví tlačítkem “Skrýt tuto aktualizaci” v menu “Nástroje – Aktualizovat WordPress” a může počkat na nějaké větší změny, ke kterým bohužel kvůli této nečekané verzi zatím nedošlo.
Pokud instalujete WordPress nově (a tudíž neaktualizujete), tak si celý instalační balíček můžete stáhnout zde.
Nejoblíbenější hosting pro WordPress WEDOS.cz
K té “dvojí” aktualizaci – anglická, a pak ještě česká, to už jsem se tím taky pobavila, když mám v adminu jako verzi tu aktuální a ještě mám aktualizovat na “novou” verzi, ale chápu, že to jinak asi vyřešit nejde, poprvé mě to však zarazilo.
Jak časté aktualizace jsou a že dnes není problém aktualizovat jedním kliknutím, to je sice pravda, ale vždy s novou úpravou teoreticky hrozí nějaká nekompatibilita (obvykle s pluginy), i když se to asi moc často nestává, ale je to trochu sázka do loterie. Proto to není příjemné.
A ještě k tomu vlastnímu překladu, zdá se mi to, nebo se ta “automatická” stránka jmenuje “Něco o mě”? Tam by to měl být šestý pád, tedy “Něco o mně “. Nechci zbytečně rejpat, ale když už je to fakticky oficiální překlad, tak jsem si řekla, že na to upozorním. Každopádně moc díky za překlad a jestli se opozdí o x hodin, tak je to pořád luxus…
Dvojí aktualizace není řešena ideálně, ale moc mě nenapadá, jak to řešit jinak. A aktualizovat u “malých” verzí také není zase tak potřeba, takže pak stačí českou aktualizaci skrýt. Ale už mě napadlo další řešení. Česká verze prostě nebude u těchto bezpečnostních verzí vůbec vycházet, protože ani není potřeba. Teď jsme aktualizace využívali pokaždé, protože se čeština na četné žádosti uživatelů stále upravuje, ale do budoucna ji prostě nebudeme vydávat a dáme jen info, že se prostě nic nezměnilo a čeština proto nevyjde.
Časté aktualizace opravdu nejsou příjemné, ale je to prostě nutné zlo. Naštěstí u těch nenadálých (bezpečnostních) se nemění skoro nic, takže to pluginy většinou neovlivní…
Za chybu si sypu popel na hlavu, bude samozřejmě opraveno. Třeba už za týden ve verzi 2.8.5 :-) Ale vážně, čím více opravených chyb, tím bude čeština lepší pro nás pro všechny, takže díky za nahlášení!
Mimochodem, se svým blogem děláš také dobrou práci pro české uživatele WordPressu!
Díky za pochvalu. Snažím se sledovat dění kolem WordPressu a zas oceňuji ty překlady i informace zde. ;-)
Taky mě napadlo, zda se tam někdy něco vůbec při těch drobnějších aktualizacích mění. Tak uvidíme, jestli bude bezpečnostní aktualizace 2.8.5 :-X :-D
“Pomocí automatické aktualizace jde jen o dvě kliknutí myší navíc”
– Pokud ovšem máte hodně velký memory limit, což je na většině hostingů problém. Takže nakonec je stejně potřeba stáhnout celý balík nové verze a nahrát přes FTP. Jenže pak si zase přepíšete vlastnoručně upravené soubory :-( Rozhodně by tedy bylo lepší, kdyby se při aktualizaci daly ke stažení jen změněné soubory a plná verze by byla jen pro nové instalace.
A vůbec, verze 2.8.x se mi nějak nelíbí, nevšiml jsem si žádné změny k lepšímu – systém je ještě pomalejší, ještě náročnější na paměť, pluginy pro starší verze najednou přestaly fungovat a nové verze k dispozici nejsou, chyby a nedodělky (např. správa médií) přetrvávají…
Ale to sem asi nepatří. Vám každopádně děkuji za skvělý překlad a rychlou aktualizaci!
Zdravim, mozna ted budu za trotla a sypu si popel na hlavu a predem se omlouvam. ale nasel jsem chvilku cas, chci si udelat nejake zmeny na webu a co nevidim… automaticka aktualizace s castinou. Ok, rikam kliknu a ono to po me chce nejakej server login a heslo… a napoveda odkazuje na tenhle server. ale tady zadne login ani heslo nejni… :( Prosim co ted???
aha… to je login a heslo na http://FTP... bingo!
Prosím o češtinu pro 2.8.5.