WordPress 3.8.3 aneb dozvuky bezpečnostní aktualizace

Neuplynul ani týden a už tu máme další email o provedené automatické aktualizaci. WordPress 3.8.3 vyšel právě dnes a opravuje dvě nepříjemné chyby (podrobnosti), které se projevily až po instalaci minulé verze. WordPress 3.8.2 totiž opravoval několik bezpečnostních problémů, ale u jednoho z nich bohužel následovaly poměrně závažné vedlejší efekty.

Celé to způsobila oprava ve WordPressu 3.8.2, která měla zabránit Spolupracovníkům neoprávněně publikovat příspěvky (problém). Následně se totiž zjistilo, že přestala fungovat sekce “Rychlý příspěvek” na Nástěnce v administraci. Zákeřný však byl zejména fakt, že přestala fungovat jen na první pohled, ale když jste tam něco napsali a chtěli to uložit jako Koncept (pro budoucí použití), tak se vlastně nic neuložilo. Pokud jste se v této chvíli lekli a raději to už dále nezkoušeli, tak se WordPress 3.8.3 pokusí tento ztracený text obnovit. Mimochodem, vývojáři na to měli pouze 7 dní, protože pak jsou specifická data (tzv. auto-draft) automaticky odstraněna. Pokud jste to ale zkoušeli několikrát a stále nevěřili svým vlastním očím, tak bude bohužel obnoven pouze poslední pokus (a ostatní jsou nenávratně ztraceny). Pomocí tohoto nástroje asi nikdo nepsal žádný román nebo důležitý text, ale pokud jste se stali obětí této chyby, tak to na důvěře asi moc nepřidá.

Souvisejícím problémem se staly také hromadné úpravy (problém). Pokud chcete upravovat najednou několik příspěvků a třeba jim hromadně přidat nějaký štítek, tak mohl být u všech zvolených příspěvků také hromadně změněn jejich autor (samozřejmě jen pokud je na webu registrováno více autorů).

Každopádně se po dlouhé době objevily zase problémy, kdy mohli uživatelé přijít o data nebo nechtěně změnit některé informace. Naštěstí to automatická aktualizace právě urychleně řeší a za pár hodin se popisované problémy stanou minulostí. Ale nezapomínejme a pravidelně zálohujme :-)

Kromě WordPressu 3.8.3 vyšel také WordPress 3.7.3, který opravuje stejné chyby pro uživatele, kteří se z nějakého důvodu obávají novějších verzí :-) A WordPress 3.9 se patrně opravdu objeví již tento týden, alespoň zatím tomu vše nasvědčuje.

Používáte vůbec někdo funkci “Rychlý příspěvek” pro okamžité zachycení nějaké důležité myšlenky? A co hromadné úpravy? Nebo se tu objeví i nějaký “šťastlivec”, který si zmiňované chyby zažil přímo na vlastní kůži?

Nejoblíbenější hosting pro WordPress WEDOS.cz

16 komentářů u „WordPress 3.8.3 aneb dozvuky bezpečnostní aktualizace“

  1. Díky za oznámení, říkal jsem si, co se děje…

    Rychlý příspěvek jsem v životě nepoužil, ale věřím, že pro někoho to může být dost užitečná funkce.

  2. To já zase občas rychlý příspěvek použiju, když si chci rychle něco poznamenat. Na publikování je k ničemu.

    Jinak taky jsem si říkal co se děje, musím na noc vypínat telefon aby mě ty zprávy nebudily :-D

  3. Po automatické aktualizaci na verzi 3.8.3 mám plně nefunkční web a nedostanu se ani do administrace. Na každé stránce i přihlašovací do administrací, na všech subdoménách mám vždy stejnou hlášku “Zvolený obsah už není nadále dostupný, protože byl tento web archivován nebo zakázán.”
    Před asi 3mi dny teda 12.4. bylo vše funkční. Na FTP nevypadá nic podezřelého a hosting který mám na Wedosu mi potvrdila podpora , že je u nich vše v pořádku. Neumíte někdo pomoci – na fórech po aktualizaci na tuto verzi stejný problém nezaznamenal. Ta aktualizace proběhla dnes ráno. (1010@1010.cz nebo tel. 608100006)

  4. Martin Dvořák: To je hláška z Multisite verze, kdy web někdo označí, aby byl archivován. Opravdu to souvisí s aktualizací na WordPress 3.8.3? Nedošlo k nějaké aktualizaci pluginu či šablony? Zkoušel jste natvrdo deaktivovat všechny pluginy (přejmenovat složku wp-content/plugins)? Neměl k webu administrátorský přístup ještě někdo jiný? Nedostanete se ani do administrace sítě webů (wp-admin/network)?

  5. Nedostanu se do žádné administrace z asi 7mi subdomen. Nic jsem poslední dobou neměnil a žádná hesla kromě mne nikdo nezná. Přestalo to fungovat všechno najednou. Všechny stránky generujou jen tuto hlášku. Po přejmenování složky Plugins se nic nemění. Nedělal jsem žádné změny. Po automaticke aktualizaci verze 3.8.2 (8.4) bylo vše funkční a v sobotu kdy jsem byl na webu naposledy bylo také vše v pořádku. Netuším co se mohlo stát.

  6. Martin Dvořák: Zkuste se podívat do databáze, na tabulku wp_blogs, zda nejsou weby archivované a pokud ano, tak to můžete zkusit změnit. A zkuste zapřemýšlet, zda jste to nemohl v administraci nějak nechtěně způsobit, protože si nedokážu moc představit, že by to způsobil WordPress 3.8.3. I když kdo ví :-)

  7. Dobrý den!
    Jde nějak automatické aktualizace vypnout?
    Jak je možné, že mi info o provedené aktualizaci přijde na mail a má tvar wordpress@mojedoména.cz?!!

  8. zeman:
    Postup vypnutí celé automatické aktualizace nebo jen části vč. e-mailových upozornění je popsán tady.
    Proč se divíte tomu e-mailu, to je standard ;)

  9. Bugner
    Děkuji.
    Zajímavé, kdejaký prd je v menu, toto v editaci php.
    Čemu se divím?!! Jak může cizí strana využívat mail, ve kterém je za @ moje doména?
    Vám by se líbilo, když by nezávisle na vás “chodily” maily s odesílatelem např.: cokoliv@martinbugner.com ?

  10. Martin Dvořák: Nakonec jsem to raději nahlásil vývojářům a neodmítli to ihned jako nesmysl nebo pokus o hack, takže je dost dobře možné, že jde o nějaký skrytý problém WordPressu, který se objeví jen v určitých případech. Stížnosti se občas objevují i v anglickém fóru, takže se to třeba někdy v budoucnu dořeší.

    zeman: Jen pro zajímavost – jaký je důvod pro vypínání automatických aktualizací?

    Email wordpress@mojedoména.cz je používán pouze v případě, že je na adrese mojedoména.cz nainstalován WordPress. Přijde mi to logické a snad by to nemělo ničemu vadit. Je to podle mě proto, aby nebyly problémy s odesíláním u některých webhostingů (některé umožňují např. odesílat pouze z hostovaných domén). Podrobnější vysvětlení naleznete přímo ve zdrojovém kódu. Změnit to můžete snadno pomocí filtru wp_mail_from nebo jednoduchého pluginu WP Mail From II.

    Martin Burger: Díky za odkaz!

  11. admin
    1. nemám rád JAKÉKOLIV automatické aktualizace (AA)
    2. jsem uživatel, ne “otrok” užívaného – čekám volbu AA odmítnout
    3. i poslední aktualizace WP ukázaly, že ne vždy je to krok k lepšímu – proč nepočkat na odstranění problémů, které aktualizace vytvořila
    4. email z mé domény patří mě, ať má jaký chce alias, je to nepochopitelné? Nikde jsem neodsouhlasil, že instalací WP může být RS (či kým???) užíván.

  12. Ad 1) Rozumím, ale je to trochu zatvrzelý postoj a generalizace je vždy nebezpečná :-) Vždy je třeba zvážit, zda se konkrétní automatické aktualizace (např. u WordPressu) přece jen nevyplatí povolit.

    Ad 2) Ano, tato volba tam samozřejmě je (viz výše zmiňovaný odkaz), ale protože si ji přeje změnit jen velmi málo uživatelů, tak jsou aktualizace defaultně zapnuté a pokud je nesnášíte, tak je můžete vypnout. Ale není třeba nutit 99 % uživatelů, aby to museli nastavovat nebo jen přemýšlet o tom, k čemu to je asi dobré (nebo špatné).

    Ad 3) Právě, že poslední aktualizace ukázaly, že to je dobré, i když to tak třeba na první pohled nevypadá. Automaticky byly opraveny bezpečnostní problémy a nemusíte to nadále řešit. Bezpečnostní chyby byly zveřejněny a pokud neaktualizujete, tak vystavujete web riziku zneužití. Ano, opravy způsobily související problémy, ale byly následně urychleně opraveny. Nyní je vše v pořádku, automatické aktualizace fungují, web je bezpečný, kde je tedy problém?

    Ad 4) Souhlasil jste s tím ve chvíli instalace WordPressu na svou doménu. Dal jste mu tím přístupy k serveru, databázi, atd. Pokud se vám odesílaný email nelíbí, tak to můžete snadno změnit. Nevidím v tom problém, použité řešení je dostatečně vysvětleno přímo vývojáři a podobné emaily chodí pouze administrátorům (nebo lidem, které administrátor schválí). A administrátor je zase ten, kdo to tam celé nainstaloval a zprovoznil (a může změnit).

  13. zeman:
    Mně nevadí, že mi WordPress posílá e-mail z mé domény, když jsem ho k tomu zmocnil. Zatím to WP nezneužil :)

    Automatické aktualizace mi trochu ulehčují práci, protože ručně aktualizovat těch několik desítek webů co mám na starosti by byl asi noční opruz. Občas se objeví zádrhel, ale ten je vždy na straně pluginu. Pak je třeba zvážit jestli plugin aktualizovat nebo vyhodit.

    *admin: Ouvej, jmenuji se Martin a příjmením BUGNER, ne Burger… Tak raději to křestní ;)

  14. Martin Bugner: Naprostý souhlas! Za zkomoleninu jména se omlouvám, docela by mě zajímalo jestli se občas objevuje nebo jsem se ustřelil jenom já :-( A ještě jednou díky za velkorysý příspěvek na českou lokalizaci WorPressu!

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *