vermin.eu.org

Ledwo zdążyłem podnieść WP do 2.1.1 a tu okazuje się, że konieczne jest przejście o wersję wyżej, ponieważ, jak piszą w ogłoszeniu, nawaliło bezpieczeństwo i jakiś cracker podmienił pliki na zawierające exploita. nie dotyczy to wszystkich, jedynie tych, którzy ściągali nową wersję w przeciągu ostatnich czterech dni.

Co jest dobre w tej sytuacji? Cóż, podano informację o konieczności migracji, podano mniej więcej od kiedy występuje problem, podano informację jak sobie z tym poradzić. Wszystko pięknie i ładnie.

Co mi się nie podoba? Dwie rzeczy. Z informacji można wywnioskować gdzie powinno się szukać exploita (na pewno w theme.php oraz w feed.php z katalogu wp-includes), na pewno w przesyłaniu zmiennych zawierająch suffixy “ix” oraz “iz”. Trochę z tego można wywnioskować, ba, biorąc pod uwagę, że nowa wersja zmienia nazwy plików, które zostały zmodyfikowane wystarczy porównać instalację 2.1.1 oraz 2.1.2 i już mamy rzecz na taleczu. Skoro tyle zostało po dane, to czemu…

Jednocześnie update robi dwie rzeczy - wiadomo, że upgrade zajmuje trochę czasu. Wiadomo też, że przy szczególnej zmianie z 2.1.1 do 2.1.2 tylko niektóre z nich ulegną podmianie, niektóre trzebawypada skasować.

…nie można wprost podać tej informacji (jak już przy jednym sec releasie było) i wydać paczki z szybką łątką, tylko trzeba przechodzić przez dość długotrwały proces aktualizacji? Ciut to bez sensu i denerwujące. Nie wspominam już o full-disclosure bo i tak info o tej dziurze niedługo się pojawi i tak. Ale co tu narzekać - trzeba przejść aktualizację i tyle. Again.

Ponieważ w wyżej wzmiankowanych dniach będę wizytował Lądek (konkretnym, ale nie jedynym powodem jest koncert NIN 11.03 w Brixton), jestem otwarty na pomysł wypicia jakiegoś piwka lub lampki wina. Tym razem nie planuję robić żadnego wardrivingu, ponieważ ruszam w wersji lite, nieuzbrojony w nowoczesną technologię. So… Anyone?

Ciut późno postanowiłem się przesiąść na nowego wordpresa, czując, że będzie to wymagać czasu. Nawyki administratora pomogły - po pierwsze poczekać, aż młodzi, chętni zrobią wielki rush na technologię i odbiją się od niej, następnie zobaczyć jaki wygenerowali feedback i rozpocząć własne testy. Ta chwila przejścia pozwoliła mi także upewnić się, że wszystkie moje pluginy działają poprawnie, a także przyjrzeć się kilku nowym, które muszę umieścić na stronie.

Sama przesiadka odbyła się prawie bez problemów - niestety własny locale.php powodował wywrócenie instalacji, trzeba było odświeżyć kilka pluginów, ponadto hardcodowane dodatki wywracały layout (ale to dzieje się po każdym update).

Właśnie - tamten layout mi się przejadł, znalazłem coś nowszego. Lepiej? Gorzej? Wymaga kilku poprawek (chociażby implementacji dodatków, które hardcodowałem w tamtym layu - chyba czas przejrzeć te wszystkie widgety…), ale jest (dla mnie przynajmniej) świeższy.