Τι έγινε τελικά με την αναβάθμιση του WordPress που κατέληξε σε φιάσκο;

02/11/2020 0 comments 34 Reads

Όσο και να μην "πάω" το WordPress, δεν μπορούμε να παραλείψουμε το γεγονός ότι "τροφοδοτεί" μεγάλη μερίδα του διαδικτύου. Η τελευταία του αναβάθμιση ωστόσο είχε κάποια θεματάκια.

Η ομάδα ανάπτυξης του WordPress, σε μια σειρά λανθασμένων κινήσεων, ανέβασε μια ελαττωματική ενημέρωση που κατέστησε αδύνατη την εγκατάσταση νέων ιστότοπων WordPress. Παρότι σταμάτησαν άμεσα τη διάθεση των ενημερώσεων, σε μια προσπάθεια να διορθώσουν αυτήν την -προβληματική- ενημέρωση, η κίνηση τους αυτή δημιούργησε ακόμη περισσότερα προβλήματα, απαιτώντας μια επείγουσα ενημέρωση-fix για την επίλυση όλων των προβλημάτων.

Ελαττωματική η ενημέρωση ασφαλείας του WordPress 5.5.2

Το φιάσκο ξεκίνησε στις 29 Οκτωβρίου 2020 με μια συνηθισμένη ενημέρωση για την αντιμετώπιση κρίσιμων ζητημάτων ασφάλειας. Το WordPress 5.5.2 προοριζόταν για την αποτροπή ζητημάτων όπως Cross Site Request Forgeries, XSS (Cross Site Scripting) και άλλων.

Δυστυχώς, η ενημέρωση εισήγαγε επίσης ένα σφάλμα που προκάλεσε την αποτυχία νέων εγκαταστάσεων WordPress. Σύμφωνα με την ανακοίνωση του WordPress:

WordPress 5.5.2 …makes it impossible to install WordPress on a brand new website that does not have a database connection configured. This release does not affect sites where a database connection is already configured, for example, via one-click installers or an existing wp-config.php file.

Προκειμένου να επιλυθεί αυτό το πρόβλημα, το WordPress σταμάτησε την έκδοση 5.5.2 από την κυκλοφορία σε περισσότερους ιστότοπους. Και τότε μία άλλη ενημέρωση άρχισε να ρολάρει αυτόματα.

Η ενημέρωση του WordPress Alpha που ανέβηκε κατά λάθος

Παρότι η ομάδα του WordPress σταμάτησε τις περαιτέρω ενημερώσεις και ενώ ήταν απασχολημένη με την προετοιμασία του WordPress 5.5.3 για να διορθώσει το προηγούμενο σφάλμα, οι αυτόματες ενημερώσεις του WordPress άρχισαν να προωθούν ξανά μια ενημέρωση.

Αλλά επειδή η έκδοση 5.5.2 δεν ήταν διαθέσιμη, το αυτοματοποιημένο σύστημα του WordPress επέλεξε μια έκδοση Alpha του WordPress για λήψη και εγκατάσταση, που δεν θα έπρεπε να σταλεί υπό κανονικές συνθήκες, αφού οι ενημερώσεις alpha δεν "προωθούνται" αυτόματα για τα sites.

Τι πήγε στραβά;

Το πρόβλημα παρουσιάστηκε όταν το σύστημα δεν είχε κάποια ενημέρωση για να στείλει, παρότι "έβλεπε" ότι υπήρχε διαθέσιμη ενημέρωση και έτσι άνοιξε την κερκόπορτα για την ενημέρωση μιας alpha έκδοσης. Αυτό το ζήτημα αντιμετωπίστηκε έτσι ώστε αυτό το σενάριο να μην επαναληφθεί στο μέλλον.

Από την επίσημη ανακοίνωση:

…that won’t be done again. Now seems like a good time to document a correct and proper way of “stopping” a release in progress, which honestly had not been attempted before. Stopping a release is actually pretty simple if they had made the correct change, so while their attempt was a reasonable assumption to make, it turned out to be wrong.

The release system is complicated, and trying to do things with it that haven’t been anticipated and documented led to unexpected results. This will be improved through documentation and better code and management of the release system itself.

WordPress 5.5.3 Alpha

Το πρόβλημα με την εγκατάσταση του WordPress Alpha ήταν ότι εισήγαγε επιπλέον θέματα του WordPress, καθώς και ότι και εγκατέστησε το Akismet (όπως γίνεται σε κάθε νέα εγκατάσταση). Οπότε και οι διαχειριστές θα πρέπει είτε να τα διαγράψουν, είτε να τα ενημερώσουν ώστε να αποφύγουν κάποιο κενό ασφαλείας στο μέλλον. Κάτι άλλο λάθος δεν υπήρχε με την συγκεκριμένη αναβάθμιση.

Σύμφωνα με την ανακοίνωση του WordPress:

Earlier today the auto-update system for WordPress updated some sites from version 5.5.2 to version 5.5.3-alpha. This was due to an error caused by preparations being made for the 5.5.3 release.

The 5.5.3-alpha version at this point was functionally identical to 5.5.2 as no development work had been started on 5.5.3, however the following changes may have been made:

The default “Twenty” themes installed as part of the pre-release package. The “Akismet” plugin installed as part of the pre-release package.

Το θέμα που αφορά την συγκεκριμένη κίνηση με την αυτόματη αναβάθμιση και έφερε πολλά αρνητικά σχόλια, έχει να κάνει με το ότι θα μπορούσε κάποιος που είναι μέσα στην ομάδα, να προσθέσει κακόβουλο κώδικα και να ρολάρει την αναβάθμιση, κάτι που θα επηρέαζε χιλιάδες ιστότοπους με WordPress.