• Решено rusoch

    (@rusoch)


    Добрый день,
    Получил емейл об автообновлении WordPress сайта http://rusoch.fr. Через пару часов Яндекс.Метрика мне сообщила, что мой сайт стал недоступен, а еще через некоторое время служба безопасности хостинга написала, что заблокировала сайт из-за спама в комментариях блога. Комментарии тщательно модерируются, защищены цифровой каптчей и еще каким-то плагином.
    Хостинг потребовал заменить пароль на FTP и вычистить все вредное из комментов, в качестве условия активации сайта. В комментах ничего крамольного нет. Все проверки показали отсутствие инфекции, кроме мизерного числа безобидных веб-линков в старых комментах.
    Складывается впечатление, что у хостинга произошла автоматическая реакция на вторжение программы обновления без согласования, через все его и мои защиты. Либо в обновленной версии появились такие элементы, которые восприняли старые комменты как заспамеренные, и это увидел автомат хостера.
    Просьба проверить возможность таких последствий автообновления. В противном случае нам нужно будет еще тщательнее искать проблему в своем сайте.
    Заранее благодарен.

Просмотр 10 ответов — с 1 по 10 (всего 10)
  • Модератор Yui

    (@fierevere)

    永子

    это глюк хостинга а не автообновления,
    вы первый у кого хостер так отреагировал

    define( 'AUTOMATIC_UPDATER_DISABLED', true );

    добавление этого в wp-config.php отключит автообновление
    будете обновляться по старому, нажатием кнопочки

    вот вам урок — не нужно автообновления. подпишитесь на рассылку выхода, увидели, что вышло, через неделю лезем на форумы смотрм, что е из проблем. бекапим сайт, базу, обновляемся. смотрим проблемы. и решаем их на основе форума. а не так как ща — вин 10 и ВП решили, что автообновление недостойно внимания админов. вот и получайте. кстати есть пару плагинов запрещающих автообновление, наз. не помню.

    теперь только «руками» лазить и смотреть че не так. и не факт что у вас. а хостер данные не предоставит, даже если ошибся.

    Модератор Sergey Biryukov

    (@sergeybiryukov)

    Live and Learn

    Алгоритм проверки комментариев в WordPress 4.2.5 не менялся.

    Всего было пять исправлений, вот полный список:
    https://core.trac.wordpress.org/log/branches/4.2/?rev=34197&stop_rev=33587

    Модератор Yui

    (@fierevere)

    永子

    увидели, что вышло, через неделю лезем на форумы смотрм, что е из проблем.

    Gu не надо так, это применимо к мажорным релизам, а вот минорные релизы включают в себя исправления безопасности и ошибок, их надо накатывать как можно раньше

    просто сам механизм автообновления иногда на живых сайтах плохо отрабатывает, 4.3.1 например очень медленно скачивался после выхода, 20-30 Кб-с всего

    Gu не надо так, это применимо к мажорным релизам, а вот минорные релизы включают в себя исправления безопасности и ошибок, их надо накатывать как можно раньше

    предыдущее минорное обновление поломало мне шорткоды на сайте, а я это заметил только через неделю с лишним. вот тебе и минорное обновление 🙂

    Автор rusoch

    (@rusoch)

    Спасибо за ваши суждения, собратья и сестры.
    Но остались вопросы. Сложу их сюда, а потом для корректности дам в отдельных топиках.
    Сайт был авто-обновлен до 4.2.5 с указанием, что уже есть 4.3.1. В форумах пишут, что она уже устарела и не поддерживается. Вопрос, почему сразу не автообновили до 4.3.1 и стоит ли сразу вручную обновиться до нее, как это предлагается в емейле об автообновлении.
    Может ли быть, что при автообновлении до 4.2.5 аккумулированные в ней релизы безопасности засекли и указали отсутствие в файле wp-config.php записи о втором пользователе базы данных.
    И нужно ли вообще этого второго пользователя прописывать в wp-config.php?

    Модератор Yui

    (@fierevere)

    永子

    предыдущее минорное обновление поломало мне шорткоды на сайте, а я это заметил только через неделю с лишним

    https://make.wordpress.org/core/2015/07/23/changes-to-the-shortcode-api/
    что вообщем-то было анонсировано, хотя в чейнжлог явно не попало то, что все будет переломано

    ну и это было скорее исключение, просто было иначе не исправить дыру в безопасности… они старались

    что вообщем-то было анонсировано, хотя в чейнжлог явно не попало то, что все будет переломано

    не было там ничего анонсировано.
    вообще ни слова.
    этот анонс вышел одновременно с выходом этой минорной версии, поэтому ни один человек заранее подготовиться к нему не успел. как написал сергей — это было сделано, чтобы не дать злоумышленникам времени на эксплуатацию уязвимости. итоге закономерен — тысячи неработающих сайтов.

    Автор rusoch

    (@rusoch)

    Как всегда, не совсем ясно, почему, но мой сайт час назад открылся. Добро пожаловать во французскую, но русскую газету.
    С автообновлением я примирился. Действительно, оборонную операцию вордпрессовцы провели грамотно. Пожалуй, могло быть гораздо печальнее. Спасибо всем. Для меня топик урегулирован.

Просмотр 10 ответов — с 1 по 10 (всего 10)
  • Тема «Сайт заблокирован хостингом после автообновления» закрыта для новых ответов.