WordPress frissítés: ami muszáj az muszáj!

Utolsó frissítés: · Szerző: · Wordpress · 9 hozzászólás
WordPress Frissítés - ne húzd ha nem muszáj

A rendszeres WordPress frissítés elengedhetetlen ahhoz, hogy a honlapod stabil legyen. Az enyémet meghekkelték – olvasd el és tanulj tőlem!

Két okból osztom meg ezt a tanulságos történetet veled.

  1. Szeretnék segíteni, hogy veled ne essen meg hasonló.
  2. Szeretném eloszlatni a WordPress sebezhetőségéről szóló legendákat. (Igen, az enyémet éppen meghekkelték… akkor meg hogyan?) – Olvasd tovább és megtudod!

Meghekkelték a honlapomat

Nem ezt, egy másikat. A Rántott hús wokban gasztroblogom Facebook oldalán szombat reggel megjelentettem egy receptet, amire pár órával később ezt a megjegyzést kaptam a telefonomra:

– Kár, hogy nem működik a link… 🙁

Bevallom meglepett a dolog. Először ránézésre próbáltam megmondani, mi lehet a baj a linkkel, de az jónak tűnt. Valami átmeneti szerverhiba, gondoltam, és leültem az asztali gép elé.

SEO tanfolyam banner

Rákattintottam a linkre, és tényleg nem működött. 404 error – page not found, de nem úgy, ahogy annak lennie kellett volna. Sehol a fejléc, a képek és a körítés. Mintha a tartalomkezelő nem működött volna.

Itt már elkezdtem gyanakodni, de azért nagyon még nem aggódtam. Megnézem a főoldalt, gondoltam, és így is tettem. Kitöröltem az url (oldal internetes címe) végéről mindent, hogy a főoldalra dobjon.

Na ez volt az, amikor a szemeim hatalmasra nyíltak és a szívinfarktus kerülgetett.

A háttér: 2 éves WordPress verzió és a cipész cipője

Wordpress verziók

WordPress verziók 3.1 – 3.5

De mielőtt elmondanám, hogy mit láttam a főoldalon, nézzük kicsit a hátteret.

A naptár 2013. május 11-ét mutatott, a honlap alatt pedig a WordPress 3.1.2. futott – 2011 áprilisi verzió. Nagy hiba.

Amikor a blogomat két éve elindítottam, nemigazán foglalkoztam azzal, hogy mit és hogy csináljak meg benne. Írni akartam és nem kulcsszavakkal bűvészkedni, egy nap alatt szükségem volt egy honlapra. A WordPress egyébként éppen ebben zseniális, hogy ezt is lehetővé teszi.

SEO tanfolyam banner

A szerveremen akkor nem jelentek meg a WordPress automatikus frissítések, így teljesen elfelejtkeztem róla. Amikor ezt valamikor egy évvel később javítottuk, már a 3.4. verziónál jártunk, és akkor már nem akartam automatikusan ráfrissíteni.

WordPress frissítés: bonyolult vagy nem?

A WordPress automatikus frissítése egyáltalán nem bonyolult. Az ember megnyomja a szemét amúgy is kibökő “Automatikus frissítés” gombot, és a dolog nagyjából kész. Nem árt hozzá az adatbázist lementeni, de normális sablonokkal és bővítményekkel nem igazán tud a dolog mellé menni.

Persze csak akkor, ha időben elvégzed, és mindig az utolsó előtti verzióról frissítesz a legutóbbira.

De itt másról volt szó. 3.1 helyett 3.4 az testvérek között is 3 nagyobb verzió, aminél már nem mertem megkockáztatni az automatikus frissítést. Ráadásul az egy eredetileg ingyenes sablon volt, amibe nagyon sok helyen belenyúltam. Elvileg a módosításaim nem okozhattak gondot frissítéskor, és a sablon készítőjét is úgy ismerem, mint aki megbízható munkát ad csak ki a kezéből. De azért sose tudni.

Úgy voltam vele, hogy majd egyszer rászánok egy szabad délelőttöt, leülök és szépen kézzel frissítem, és ha esetleg közbejön valami, akkor majd lesz időm kijavítani. Lehetőleg hét elejét, merthogy a blogon akkor van a legkevesebb látogató, de semmiképp sem szombatot, ami mindig a legerősebb nap.

Na és mit láttam a képernyőn, amitől szívinfarktust kaptam?

Amikor a főoldalra mentem, egyáltalán nem az fogadott, amit bármelyik honlap tulajdonosa látni szeretne. Nagy fehér háttérrel a szerver könyvtár tartalmát listázta ki a böngésző.

Paff. Szombat reggel, a legerősebb nap a héten. Ez a blog nekem nem üzlet, csak presztízs. De ahhoz meg már elég sokat elértem vele, hogy most hagyjam napokig vagy akár csak órákig állni. Aztán meg az sem mutat jól a biztonság szempontjából, ha a böngészővel valaki ilyen szinten hozzáfér a fájljaidhoz. Nem igazán szerettem volna így hagyni.

WordPress frissítés manuálisan: a megoldás

Egy pillanatra elgondolkoztam. Szerezzek valahonnan egy 3.1.2-es index.php fájlt? De ekkor már a verzióban sem voltam biztos… Ráadásul ha volt egy ilyen régi, hibás verzió, akkor azt nem kellene tovább toldozni-foldozni, és végül is bebetonozni.

Úgy döntöttem, hogy nem marad más választásom, megcsinálom a régóta halogatott frissítést.

Kényszerű WordPress frissítés 3.1-ről 3.5-re

Legelőször is csináltam gyorsan egy üres index.html fájlt, és feltettem a gyökérkönyvtárba. Legalább tálcán ne kínáljam az újabb támadás lehetőségét azoknak, akik a főoldalra érkeznek – még mindig jobb, ha egy üres képernyőt látnak.

Egyetlen dolgot mentettem le. Ez pedig a sablon teljes tartalma (wp-content/sablon) volt. Talán felelőtlennek tűnhet, de úgy döntöttem nem bajlódom az adatbázis mentésével. Ha ép maradt akkor úgyis mindegy, ha belenyúltak akkor is. Viszont gyorsan akartam eredményt.

Kitöröltem a gyökérkönyvtárból az oda nem illő fájlokat. Megért volna egy misét ezeket végignézni, mert nagyon nem kellettek volna oda. De tényleg gyorsan akartam eredményt, és úgy gondoltam, hogy ha végzek, akkor is lesz majd jobb dolgom, mint ezeket elemezgetni. Azért alapvetően én marketing szakember és vállalkozó vagyok, aki mellesleg ért a programozáshoz. Van jobb dolgom annál, mint kódokat meg logokat nézegetni hosszú éjszakákon át. 🙂

Aztán letöltöttem és kicsomagoltam a WordPress legfrissebb verzióját. Én az angol verziót használom mindig, ezt is lehet magyarosítani, de erről majd egy külön cikket tervezek.

A szerveren ftp segítségével letöröltem a wp-admin és wp-includes könyvtárakat. (Manuális frissítésnél ez előtt nem ártott volna kikapcsolni a bővítményeket, de az admin felülethez sem fértem hozzá.)

Feltöltöttem az új wp-admin és wp-include fájlokat. Megjegyzem, hogy az itthon ADSL-lel elérhető 300kbps feltöltés most kifejezetten csigalassúnak tűnt.

Feltöltöttem a wp-content könyvtárba az amúgy egyetlen index.php fájlt, felülírva a régit.

A gyökérkönyvtárba felöltöttem az összes fájlt, ami nem mappában volt, felülírva a régieket.

WordPress újraindítása

Vettem egy nagy levegőt, és nyomtam egy frissítést a honlap kezdőoldalára. Kattogott-kerregett-berregett egyet, de legnagyobb meglepetésemre és örömömre ott voltak előttem kedvenc receptjeim. Kicsit viharvertem – a fényképek nem látszottak, a slider a főoldalon nem működött – de azért már ez is eredmény.

Megpróbáltam belépni az admin felületre, és legalább már nem az üres képernyő fogadott. A WordPress kiírta, hogy sérült az adatbázis és helyre kell hoznia. Kattintottam a gombra és vártam. Szerencsére nem kellett sokat, és hamarosan egy olyan üzenetet kaptam, hogy minden rendben, most már beléphetek.

A marketing és a háttérmunka

Zöldség curry kókusztejben

Innentől igyekszem rövidebbre fogni. Az első lépésem az volt, hogy valamennyire gondoskodjak a látogatóimról. Mivel ismerem a WordPresst és írtam már néhány sablont, ezért nem okozott gondot megtalálni azt a pontot, ahol a fejléc alá be tudtam szúrni egy üzenetet. Támadás ért, fényképek nem jók, bocs. Halványpiros háttérrel és piros kerettel, hogy minden látogató jól lássa.

A Facebookra is kiírtam, hogy most már lehet jönni és megnézni a kókusztejben főtt zöldség curry receptjét.

A következő dolgokra volt még szükség:

  • Azonnal kikapcsoltam a cache plugint. Nem tudtam és nem is akartam tudni, hogy milyen tartalmat szolgál ki ennyi változtatás után, úgyhogy jobbnak tartottam leállítani teljesen addig, amíg rendbe nem teszek mindent.
  • A képek nem sérültek, csak a bélyegképek kiírása nem működött. Ehhez a kódból ki kellett szedni a thimthumb scripteket – már amúgy is aktuális lett volna.
  • A slidert frissíteni kellett. A régit nem tudtam működésre bírni, ezért lecseréltem a Smooth Sliderre, amit mostanában sikeresen használtunk ügyfelek honlapján. Igen, itt ismét volt azért egy kis előnyöm az átlag felhasználóhoz képest: pillanatok alatt tudtam, hogy hová nyúljak és a beállítás is pár perc volt. Ez most így nem egy dizájn-csoda, de negyedóra alatt kész volt.
  • Levettem a kis feliratot, hogy az oldal nem működik tökéletesen.
  • Egyenként frissítettem az összes plugint. Bevallom őszintén, ezeket sem frissítettem egy éve legalább. Nem volt kedvem ugyanis olyan helyzetbe kerülni, hogy egy frissített plugin keveredik össze a korábbi WordPress verzióval, hát most megkaptam.
  • Amennyire lehet, átnéztem a honlapot. Egyetlen szembetűnő hibát találtam, ez pedig a hasonló bejegyzések kezelése. Itt a plugin frissítése során a beállítások nem maradtak meg (fontos: több mint egy éves verzióra frissítettem rá!), ezeket kézzel helyreállítottam.
  • Végül visszakapcsoltam a cache plugint. Ekkora tartalomnál és látogatottságnál – generált kategória oldalakkal együtt kb. 400 oldal és napi 1500-2000 látogató – már bizony érezhetően és lényegesen gyorsabb volt a tartalom kiszolgálás így.

Nagyjából ennyi. Még egy kis tesztelgetés, és a honlap most már teljesen működőképesnek tűnt és tűnik. Ilyenkor nem mondom, hogy nem nézek rá a szokásosnál kicsit gyakrabban, de egyéb extrát nem terveztem vele.

A tanulság: a WordPress frissítése nem kérdés

Talán nem töltöttem így el több időt, mintha minden egyes önálló frissítést – beleértve a bővítményeket is – időben megcsinálok, és folyamatosan cserélem/javítom azt, amit most megtettem.

De: akkor megspóroltam volna az idegeskedést, és még egy fontos dolgot. Most megúsztam ennyivel, de akár nagyobb kárt is csinálhattak volna.

És az is fontos, hogy ez nekem most kb. 2 óra volt, de nem először látok WordPresst belülről, és tudom, hogy mikor mihez nyúljak. Az átlag felhasználó számára – és ez így van rendjén egy széles közönségnek tervezett tartalomkezelőnél – az itt leírtak egy része nem biztos, hogy a kisujjában van.

Nem spórolhatod meg magadnak azt az időt, hogy rendszeresen frissítsd a WordPresst és a bővítményeket. A WordPress igenis biztonságos, és ha kicsit körülnézel a fejlesztés előtt, akkor a sablonod vagy a pluginjaiod sem fognak összeakadni az újabb verziókkal.

De ha – úgy mint én – hagyod, hogy a korábbi verziók biztonsági rései tárt karokkal várják a károkozókat, akkor bizony ne lepődj meg, ha látogatók, megrendelők és bevétel helyett egyik nap csak az üres képernyőt nézed. Csak azt ne mondd, hogy a WordPress nem volt elég biztonságos…

Címkék

·

A véleményed fontos. Mondd el, mit gondolsz!

  1. Susi szerint:

    Kedves Balázs!
    Nagyon örülök, hogy számodra ilyen egyszerű volt a javítás, mert értesz hozzá. Sajnos én viszont nem sokat értettem abból, hogy mit is tettél a javítás érdekében.
    Azt tudom, hogy folyamatosan frissíteni kell a WordPress-t, mert erre felhívták a figyelmemet már 2 éve, mikor először lettek vírusosak az oldalaim. Akkor állítólag kiirtották a tárhelyem kezelői, de szerintem nem teljesen, mert azóta én ugyan rendszeresen frissítek, mégis többször merültek fel problémák.
    Februárban például egy póker oldal hirdetése takarta el az oldalam nagy részét. 2 hete pedig már a Google fenyegetett meg az egyik oldalam letiltásával adathalászat miatt. A tárhelyem is rám dörmögött, hogy miért akarok én 54000 levelet egyszerre kiküldeni? :-/
    Most megbíztam valakit, hogy tegye rendbe az oldalakat, de nem egyszerű. Már állítólag nincs vírus, de a védelmet nem minden oldal fogadja el, a bosziplaza-ról például a védő-plugin hatására eltűntek a képek, ezért ki kellett kapcsolni.
    Szóval, a lényeg az, hogy a frissítés nem gátolja meg a támadásokat. Ezt most a saját bőrömön tapasztalom. Imádom a WordPresst, de örülnék valami hatásosabb tanácsnak, mert már túl sok időmet és pénzemet emésztették fel a támadások.
    Minden jót!
    Susi

    • Szilágyi Balázs szerint:

      Szia Susi!

      A másik forrása a támadásoknak a sablonok és bővítmények. Sablonoknál sajnos nem mindenki játszik tisztán, és az ingyenesség azt jelenti, hogy így vagy úgy teleszemeteli az oldaladat. Én csak megbízható forrásból származó (értsd: amit valamilyen tapasztalt szakember ajánl) sablont és minél kevesebb bővítményt tanácsolok telepíteni.

  2. Az első szívbaj után nagyjából kezelhető a szitu, hál’ Istennek. Fontos tudni, hogy a WordPress semmivel nem gagyibb vagy kevésbé biztonságosabb, mint bármelyik másik. Sok ügyfelünk tart tőle, és inkább bajlódik egy nehézkes cms-sel, pl. joomlával, pedig a nyílt forráskód nem azt jelenti, hogy bárki hozzáférhet.. örülök, hogy megoldódott nálad, azaz megoldottad – ez kiváló példa arra, hogy a helyzet igenis bukta nélkül is lezárható.

  3. Kriszta szerint:

    Kedves Balázs,
    A pontban van egy jó nehány mondat, mozzanat, amelyet nem is értek.
    Én a frissítése két mindig elvégeztem, ám menteni nem szoktam, mert hogy azt sem tudom, hogyan csináljam.
    Írtál már posztot a menésről?

    • Szilágyi Balázs szerint:

      Szia Kriszta!

      Igen, ez egy kicsit technikaibb poszt volt, ezért is tettem a haladó kategóriába. 🙂

      Mentésről nem írtam még, de tervezem.

  4. Chance szerint:

    Sziasztok. 🙂

    Újszülött WP felhasználó vagyok. Elég küzdelmes utam volt. Én WP-Arcade plugint futtatok, ami a lételemem, de egyben az időrablóm is. Mivel az oldalam fő profilja a játék, nem engedhettem olyan okos tanácsoknak, hogy kapcsoljam ki a fő pluginomat, akkor nem is csinálnék weboldalt ennyi erővel. Minden a pluginom és a hozzá tartozó sablon körül forog. Az első próbatétel a játékok elindítása volt, folyamatosan 404-es hibát dobott. Némi beállítás után (fél óra vaktában lövöldözés) működött. Aztán telepítettem a pluginokat. Ész nélkül, habzsoltam a trendibbnél trendibb cuccokat. Örültem, hogy a WP milyen tuti kis cucc. Aha, aztán elszállt minden. 😀 A fő pluginom nem akart házasodni a kommerszekkel. Hiányoltam a fejlettebb felhasználói csoportokat, a jogosultságok, hozzáférések finomhangolását (azelőtt smf, nuke-evo, phpbb motorokkal ütöttem el az időmet) és egy csomó mindent, amit megszoktam a többi motoron. A lényeg, hogy 48x telepítettem újra a WP-t, mire azt mondtam, oké, maradhat. Mindig üres tárhelyre, szűz adatbázisra tettem fel, ez volt az agymenésem. 🙂 Szépen duruzsolt a játékosoldal, boldog és elégedett voltam, regisztráltak szépen a játékosok. Hehe… napi több ezer új regisztrációm volt. Próbálkoztam pluginokkal, hogy elejét vegyem a népvándorlásnak, kevés sikerrel. Aztán rátaláltam a wang-guard nevű csodára, amivel házasodott az arcade-om végre. Kissé szigorúra vettem a beállításokat, a mai napig így üzemel. Aztán egyik nap levél jött a szolgáltatótól, hogy feltörték az oldalam, lekapcsolták a weboldalt. Na, biztonsági mentés nem volt természetesen (benne volt az árban pedig, mindegy), mindent elölről kezdtem. Már rutinosan, 1óra alatt mindennel kész voltam tokkal-vonóval, csak a játékokat kellett újra feltelepítenem. Közben frissítettem én is szorgalmasan, míg a 3.6 megtréfált. Arcade lehörrent, omlott az oldal. Nyomtam a tárhely visszaállítása gombot, üzenet, nincs mentett adat. Szépen kimazsoláztam a mappákat, amiket nem akartam újra telepíteni, és feltelepítettem az utolsó, működő WP-t. Aaaahhhh, zakatolt, minden szuper volt. Ma reggel 500-as hibakód. Így találtam erre a honlapra. 🙂 Most a rendszergazdára hagytam a javítást, gyorsan csinálok is egy mentést mindenről, amíg jó. Tetszik a WP, de vannak hibák, amik zavarnak. Pl. fizetett tartalomnál kiírja, hogy X pontot kell fizetned a tartalom megtekintéséért, de ezzel egyidejűleg betölti a tartalmat és innentől fizetni sem kell. 🙂 Túlságosan nagy szerelem volt köztem és a phpbb közt, de megszűnt a támogatás, nincs több frissítés, muszáj volt váltanom. Ez az én WP történetem, tanuljatok a hibáimból, sok durrogástól kímélitek meg magatokat. 🙂 Megyek is menteni.

  5. Kuti István szerint:

    Mit sem ér a frissítés védelem nélkül! Mit sem ér a védelem ellenőrzés nélkül. Főleg, ha ezeket nem automatizálom. Mindemellett FTP oldalon is kell egy “jócsomó” dolgot tenni… A biztonsági mentés pedig szerintem nem a mi dolgunk, vagyis nem a felhasználóké. Olyan tárhelyszolgálató kell, ahol ez automatikus és a helyreállítás miatt nem kell őket zavargatnom. És még egy… A saját gép védelme, a következő kérdés: ha a jelszavaim lehalászhatók a gépemről, akkor nincs az a védelem, ami biztonságot jelentene. Van egy olyan honlapom, amire havonta több tízezer (nem tévedés: több 10 e!) támadási kísérlet történik. Természetesen ezeket pedig regisztrálni kell. Nem folytatom…
    Ma már nyugodtan alszom: bár bosszant, hogy nem lehet mit tenni a hekkerekkel ellen. (likvidálásra 🙂 gondolok nem a védekezésre…)

Mit gondolsz? Szólj hozzá te is!


Ajándék SEO ellenőrző lista!

43 pontos lista + 1 ajándék videó!

Töltsd le most ingyenes SEO ellenőrző listát, és csatlakozz Te is ahhoz a több ezer magyar vállalkozóhoz, akiknek már segítettem több látogatót és több vevőt szerezni!