Vai Tu jau atjaunināji savu WordPress?

[samurajs]

Uzlauzt var visu, ja tikai smadzene atbilstoši orientēta. Š ī ziņa gan būs mazliet par citu tēmu: kam man pūlēties un atjaunināties, ja manu lapu nelauž? Kad uzlauzīs, tad sākšu domāt! Tēmas vaininieks šoreiz ir somu firma ar fifīgu nosaukumu Klikki Oy, kura septembrī atklāja primitīvu, bet efektīgu ievainojamību visās vecākajās WordPress versijās v.3.0-3.9. Taisnība, lauzt var tikai tās lapas, kuras atbalsta komentēšanu bez ielogošanās. Bet tādu nav mazums.

Sākot ar WordPress 4.0, ievainojamība ir aizlāpīta un vairs nav aktuāla.

1. darbība: iecūkojam atbilstošu kodu komentāros (pilnizmēra bilde – klik!)

[img]https://notepad.lv/userpix/28_w2_1.png[/img]

2. darbība: kaitīgais kods apiet drošības pārbaudes un dod iespēju cūkoties globāli (pilnizmēra bilde – klik!) Protams, te nav parādītas tālākās nianses, lai kādam nerastos vēlme sākt masveidā piepildīt blogus ar kaķbildēm 🙂

[img]https://notepad.lv/userpix/28_w3_1.png[/img]

Un te bildīte, kura parāda, kādas WordPress versijas pasaule lieto. 84% sēž uz vecām versijām – tātad ir laužami.

[img]https://notepad.lv/userpix/28_w1_1.png[/img]

Avots

[Foxsk8]

Problēma ir tajā visā tāda, ka lapas īpašnieki, paši bieži vien neseko līdzi drošības jautāumiem, vai arī savlaicīgi nevēršas pie lapas izstrādātājiem, lai veiktu lapas uzlabošanas darbus.

Es bieži vien saviem klientiem piedāvāju drošu WordPress sistēmas, lapas atjaunošanu uz jaunāku versiju, jo bieži vien ir tā, ka dažādi WordPress spraudņi un papildinājumivar būt nesaderīgi ar jaunāku versiju, tāpēc tiek veikts “drošs upgreid” veids, respekt’xivi, visu projektu uzliekam uz citu serveri, kaut vai lokāli. Tajā veicam visas nepieciešamas izmaiņas: core atjaunošanu, spradņu atjaunšanu n padziļinātu pārbadi. Kad lokāli viss kārtībā, pārliekam jauno versijas kopu uz produkcijas serveri.

Diemžēl klienti, lapas īpašnieki par šādu papildus pakalpojumu pēc lapas izstrādes nevēlas, bet ja kaut kas notiks ar viņu lapu, piemēram pirms diviem gadiem izstrādā WP lapu, saprotams, ka neviens izstrādātājs par velti šo lapu neatjaunos. Pēc šī laika viņi vaino izstrādātāju, kaut kad ir bijuši ieteikumi, piedāvājumi apkalpot viņu lapu.

Wordpress pats par sevi paredz viena klikšķa atjaunināšanu, bet kā jau es minēju augstāk, tas nav drošs veids, kā veikt pilnīgu sistēmas atjaunošanu.

Parasti par WP lapas drošas atjaunošanas darbiem es ņemu no 3 -70 eiro, atkarībā no WordPress lapas sarežģītības un ādiņu, pluginu uzbūves.

[spoon]

Bet kā tad tu savādāk domāji? Uzbliezīs klientam lapu uzcaura dziņa un tad tik ik pa laikam slauksi piķi? Tipa “Ja gribi būt daudz maz drošs, ka pēkšņi no rīta atverot savu lapu neieraudzīsi kādu musulmaņu sviestu, tad maksā ragā!” un tā periodiski ik pēc laiciņa. Klients naudu ir samaksājis par konkrētu “preci” un viņs to tādu un tieši tādu varbūt grib lietot līdz savai pensijai. Kāda veln pēc viņam jāmaksā vēl papildus par to, ka tu viņam caurumainu preci esi nogrūdis? Ja kāds caur tavu izstrādāto “preci” kkur lien iekšā tad tev kā šīs “preces” autoram (kurš par to ir sanēmis prasīto atlīdzību) ir visa atbildība to novērst. Tas ka tā tipa nav tava problēma, bet “wrdpress problēma” ir sviests… klientam pa lielam pofig uz ko un kā tu tur taisi – wordpress, joomla, drupaļi, mambo dzambo vai pats no 0 kodē… Bet nu daļai sabiedrības šķiet normāli maksāt cilvēkam dubultā par viņa kļūdām…zināmi gadījumi, kad projektētājs izprojektē, noslauc kāpostu, kad jāsāk celt izrādās, ka izprojektētas galīgās auzas, tad nu projektētājs ņem un pārprojektē un atkal par to noslauc naudu, jo viņs taču paplidus strādājis 😀 Te kkas līdzīgs…

[Anonīms]

Pa pa spoon, nebrauc iekšā jūrā – vairāk šmigas!

Pēc Tavas loģikas sanāk, ka WP, kas izmanto PHP, MYSQL, iespējams arī apache vai ngnix, kas arī, laikam jau, tiek hostēts kaut kur.. ievainojamības tiek atklātas netikai frontend app. Sanāk ka foxim būtu jāuzņemas tas viss uz sevis, jo redz šādu tehnoloģisku paku šamais izvēlējies?

Necik sen, te pat notepad.lv bija kāds raksts, par audio decription, kur klausoties cpu proča svārstības caur audio, var dekodēt, kāda info tiek dzīta uz PC. Sanāk, netiešs drošības caurums iekš WP? Nedomāju gan.

Tehnoloģijas attīstās tādā tempā kādā tās attīstās. To pat var nosaukt par produktu amortizāciju.

[spoon]

Ja foksis uztur arī serveri, tad loģiski, ka viņš ir atbildīgs arī par servera drošību. Jeb arī tu gribi teikt, ka ja serveri paņems priekšā caur vecu mysql versiju, tad foksis visiem klientiem vēsā mierā varēs izsūtīt tekstu: “Serveri uzlauza vecas mysql versijas dēļ. Ja gribat lai jūsu lapa darbotos, es varu atjaunot versiju, bet tas maksās tik un tik…” 😀 Izvēloties open source dzini ir savi plusi un mīnusi, kodējot no 0 ir savi plusi un mīnusi utt. un ar tiem ir jārēķinās. Izvēlējies wordpress – tad rēķinies, ka tas nebūs “uztaisīju un aizmirsu” projekts, bet būs jātur versijas “up to date”

[Foxsk8]

Redzi, dzīvē tā nenotiek. Ja tu izvēlies WordPress tēmu, ar maksas ādu, piemēram, kā tas notiek diezgan bieži, klients maksā nevis par risinājumu, bet par tevis patērēto laiku, cik laika tev ir nepieciešams, salikt, sakonfigurēt open source risinājumus viņa vajadzībām un reāli nekurā brīdī tu nevari uzņemties lifetime garantiju, supportu. WordPress gadījumā klients pats var veikt update versijas, pats updeitot pluginus un pārējās lietas, tas viņam nav aizliegts. Tas būtu tas pats, meistars ieliek durvis, tu aizmirsti aizslēgt, pēc tam zagļi atnāk, aplaupa tevi, tu vaino meistaru, kas ielicis sliktas durvis. Pēc izstrādes, katrs tālāk ir atbildīts par savu mājas lapu, un ja vēlas var veikt apkalpošanu, pakalpojumus uz to. Nebūt nebūs tā, ka projekta cena, kas uz WP variantiem ir ne vairāk kā 300 – 500 eiro, man būtu šīs lapas jāsuportē visu mūžu. Vai nu supportē, dara pats pasūtītājs, ja viņam ir tādas iemaņas, ja nav pārliecības ko, kā darīt, vienmēr uztic šos uzdevumus zinošiem speciālistiem.

Kā jebkurai precei, pakalpojumam, arī izstrādāji dod savas garantijas, piemēram 1 gads, kura laikā tiek veikti sistēmas upgreidi, jaunākajos wordpresos jau ir iestrādāti automātiski sistēmas update procesi.

Vienkārši tas taču ir pašsaprotami, ka ne kurā sfērā, tu neiegūsi lifetime kā tādu tādā izpratnē. Tas pats varētu būt par auto, nopērc no salona, dod tev 5 gadus, šajā laikā viņi maina, labo, pēc tam ja plāno lietot līdz pensijai, visi izdevumi, remonti uz tevi vai nu dari pats, vai ved uz servisiem. Kāpēc ar webu būtu savādāk?

[APOC]

Manuprāt, problēma ir tajā, ka vairums šo gatavo CMS lieototāju mājas lapu izstrādei neinformē klientu par šādiem riskiem. Ä€tri uztaisa lapu un nodod projektu. Iesūc naudiņu un ķeras pie nākamā.

Ja klients tiktu attiecīgi informēts un tas tiktu atrunāts līgumā, ka lapas izstrādei ir izmantota gatava CMS sistēma, kuru nepieciešams nepārtraukti atjaunot drošības apstākļu dēļ, tad iespējams, ka klients neko tādu nemaz neizvēlētos. Samaksātu naudiņas par kārtīgu lapu, kuras izfukāšanas risks ir mazāks vai algotu supportu. Pie daža laba vietējā “speca” gan labāk ņemt lapu uz gatava CMS un cerēt, ka neizdrāzīs nekā ļaut kaut ko kodēt no 0. 😀

Par MySQL, PHP, Apache,… versijām. Par tām 100% ir atbildīgs servera uzturētājs. Viņam ir jāseko līdzi, lai šie produkti ir up to date un noteikti jāinformē klients par kaut kādu darbu veikšanu, risku pastāvēšanu. Ja tas nav iespējams dēļ kaut kādu klientu lapām, kuras ir arhaiskas un supports kā tāds nav vai nav nepieciešams, tad ir jāparedz risinājums kā šādus resursus izolēt. Tas ir, ja izdrāž arhaisko lapu, tad lai neparauj līdzi citu klientu resursus.

Tās tādas manas domas un noteikti kļūdos.

[spoon]

Nu nevajag salīdzināt pirkstu ar kaut ko citu… Tikpat labi es varu teikt, ka es nopērku sulas glāzes un ja es pats viņas nesasitu, tad viņas man paliks tādas kādas ir. visu nevar attiecināt vispārīgi. Nē nu ok, sava taisnība tev ir un pēc tava otrā komentāra saprotu no kuras puses tu uz to skaties, tikai viena piebilde – ja tu klientam to visu arī tā uzreiz apstāsti.

1) Varu par tiem 500euro izstrādāt jums lapu uz wordpress.

2) To lapu pēc izstrādes jums vai kādam citam čalim būs jāuztur regulāri atjaunojot pluginus/sistēmu.

3) Es to, protams, arī varu darīt, bet tas ir papildus maksas pakalpojms.

4) Ja tu to dari pats, jāievēro, ka var būt gadījumi, kad veicot šīs darbības lapa noklājas.

4.1) Tādā gadījumā

a) Es lapu varu pataisīt atkal lietojamu – protams, tas būs maksas pakalpojums.

b) Vari perties pats…

5) Ja laikā neatjaunosi, pastāv risks, ka lapu uzlauzīs.

5.1) Tādā gadījumā

a) Es tādā gadījumā atkal, protams, varu iesaistīties – bet tas atkal būs maksas pakalpojums

b) Peries pats kā māki.

Rezumējot visu – par šiem 500euro varu jums uztaisīt lapu, kura funkcionēs un izskatīsies tā kā tu vēlies nodošanas brīdī – vai viņa tāda būs arī rīt un parīt – neko nezinu.

Un tu reāli par visām šīm lietām informē klientu pirms noslēdz ar viņu līgumu?

[Foxsk8]

Parasti WordPress gribētāji zin kas tas tāds ir, bet ja nē, es vienmēr viņus informēju, un arī visos līgumos iekļauju, ka lapa tiek izstrādāta uz WordPress platformas, kā arī izmaksu tāmē, tiek iekļautas lietas, ko tad tieši izstrādātājs dara, kā arī tas viss tiek ielikts līgumos un detalizēti viss tiek izklāstīts, kā arī jau pie izstrādes sākuma tiek piedāvāts par ikmēneša maksu, kas nav liela, veikt sistēmas, lapas uzraudzību, monitoru, tehnisko atbalstu arī pēc izstrādes beigām. Tici vai nē, bet arī lielās web kompānijas lēnām sāk pāriet uz open source risinājumiem, uz wordpress sistēmām, jo 1. kārtām, vietējiem uzņēmumiem ap 80% nav līdzekļu, lai veidoto lapu uz custom CMS sistēmas, custom programmēšanas, viņiem pietiek ar standartizētiem risinājumiem, kas jau praksē ir sevi pierādījuši, un protams ir daudz kas atkarīgs no tā, kas šos open source CMS uzstāda, vai students vasja, vai eksperts, no tā arī veidojās izmaksas, drošība, tehniskā risinājuma kvalitātes līmenis, jo jebkuru CMS sistēmu pēc tam ir iespējams apaudzēt ar 101 funkciju, pluginiem, un ko tik vēl nē. Arī tos pašus WP skinus, var izveidot, strukturizēt 101 veidā, jo WP vari izmantot pats kā savu Frameworku, ar saviem MVC modeļiem, ielādes moduļiem, kontrolieriem un jebko citu, ko var ar php, mysql izdarīt.

Problēma ir tur, ka visi grib ātri, lēti un kvalitatīvi, ar supportu, kaudzi ekstrām par smieklīgu cenu.

Kas attiecās uz serveriem, bieži vien nākas ņemt VPS risinājumus, kur šobrīd tās cenu attiecības ar shared ir pārsvarā izlīdzinājušās. Tad par serveru supportēšanu, klients maksā hostinga kompānijai un viņam ir opcija, tehniskos darbus uzticēt hostinga kompānijai, kas apkalpo viņu privāto serveri, vai šos darbus uzticēt kādai 3 personai. Izstrādājs standartā nav par to atbildīgs, ja vien nav veikta kaut kāda papildus vienošanās.

[spoon]

Principā precīzi. Tik lielākā daļa to darboņu parasti izvēlas visu to informāciju nepateikt/noklusēt. Sak viss būs super duper… Un pēc tam – do dies lai nekas nenotiktu, pretējā gadījumā vai nu darbonis pazudis ar galiem, vai spēj tik skaitīt peso.

[Autors]

Ieraksti