LH.pl · Dział pomocy
WordPress jest jednym z najczęściej używanych CMS do tworzenia stron internetowych. Coraz więcej użytkowników zainteresowanych jest prostym oraz szybkim stworzeniem strony www. Z każdym dniem odnotowuje się wzrost liczby stron, które zostały stworzone na WordPressie, a co za tym idzie coraz częściej stają się celem ataku wielu cyberprzestępców.
Potencjalna łatwość WordPressa sprawia jednak, że pojawia się konieczność odpowiedzialnego zarządzania stroną. Jednym z najważniejszych aspektów, o które powinnyśmy dbać jest regularne przeprowadzanie aktualizacji wtyczek, motywów oraz samego WordPressa.
WordPress pozwala dostosować to, w jaki sposób wykonywane są automatyczne aktualizacje, ale zanim przejdziemy do tego, jak to zmienić, zobaczmy, w jaki sposób są dokonywane domyślnie i zastanówmy się, czy warto to zmieniać.
Jakie są domyślne ustawienia aktualizacji w WordPressie?
WordPress niektóre aktualizacje wykonuje w sposób automatyczny, a niektóre wymagają ingerencji użytkownika.
Aktualizacje core, czyli samego WordPressa
Wersje główne (np. aktualizacje z 5.4 na 5.5) wprowadzają najczęściej nowe funkcje i NIE są instalowane automatycznie. Te aktualizacje można wykonać tylko z własnej inicjatywy, gdyż wprowadzają najwięcej zmian.
Wersje pomniejsze (np. z 5.4.1 na 5.4.2) to aktualizacje, które zawierają krytyczne poprawki i są instalowane automatycznie. W tych wersjach najczęściej znajdziemy poprawki bezpieczeństwa i błędów, bez żadnych wielkich nowości. Ich instalacja jest w zasadzie całkowicie bezpieczna, więc są instalowane bez ingerencji użytkownika.
Oprócz tego, WordPress automatycznie aktualizuje także pliki tłumaczeń systemowych.
Aktualizacje motywów i wtyczek
Motywy i wtyczki NIE są automatycznie aktualizowane do nowszych wersji. Owszem, istnieje mechanizm, dzięki któremu WordPress może poprzez API otrzymać sygnał o tym, że dana wtyczka lub motyw ma krytyczne luki w bezpieczeństwie i w specjalnych przypadkach wykonać automatyczną aktualizację, ale jest to rzadko spotykane. WordPress domyślnie jest skonfigurowany tak, aby motywy i wtyczki były aktualizowane tylko na komendę użytkownika.
Czy domyślne ustawienia są dobre?
Podsumowując, wiemy już, że WordPress na domyślnych ustawieniach automatycznie instaluje tylko pomniejsze wersje core, a resztę aktualizacji powinniśmy wykonywać samodzielnie.
Takie rozwiązanie jest kompromisem twórców WordPressa, aby zapewnić automatyczny dostęp do krytycznych poprawek bezpieczeństwa w core WordPressa.
To z pewnością odpowiedzialne podejście ze strony twórców. WordPress instaluje dla nas tylko najważniejsze poprawki bezpieczeństwa, a my dbamy o to, aby resztę aktualizacji wykonać we własnym zakresie, odpowiednio się do nich przygotowując (np. wykonując kopię zapasową).
Czy automatyczna aktualizacja WordPressa od A do Z to dobry pomysł?
Jeśli za każdym razem, gdy wchodzisz do panelu WordPressa widzisz informację o dostępnych nowych aktualizacjach wtyczek, motywów czy kolejnej dużej wersji WordPressa, to może do głowy wpaść Ci pomysł, aby to zautomatyzować. Innymi słowy, aby włączyć wykonywanie WSZYSTKICH aktualizacji od A do Z w sposób automatyczny. Czy to dobry pomysł, czy raczej przepis na pogrążenie swojej strony w błędach?
Na to pytanie nie ma krótkiej i jednoznacznej odpowiedzi. To wszystko zależy od tego, jak zbudowana jest Twoja strona, z jakich wtyczek oraz motywu korzysta oraz jakie jest jej przeznaczenie.
Na bardzo prostych stronach z niewielką ilością wtyczek, bez mocno ingerujących w system modyfikacji automatyczne aktualizacje mogą się sprawdzić, gdyż, w teorii, nie ma tu zbyt wielu rzeczy, które mogą ulec uszkodzeniu lub utracić kompatybilność z nową wersją jakiejś wtyczki. Z pewnością polecalibyśmy to jednak tylko użytkownikom, którzy wiedzą, z czym wiążą się automatyczne aktualizacje i są świadomi ryzyka, że pod ich nieobecność aktualizacje np. wtyczek mogą coś popsuć. Warto w takiej sytuacji tworzyć automatyczne kopie zapasowe, aby zawsze mieć pod ręką świeży backup.
Nie wykonujesz regularnych kopii zapasowych swojej strony? Nie szkodzi, my wykonujemy automatyczne kopie bezpieczeństwa WordPressa |
Jeśli jednak masz sklep lub stronę generującą dużą ilość ruchu, której funkcjonalność jest uzależniona od wielu wtyczek, a motyw został przez Ciebie zmodyfikowany, to automatyczne aktualizowanie wszystkiego bez nadzoru zamiast zaoszczędzić czas może w praktyce go zmarnować poprzez przysporzenie dodatkowych problemów. Trzeba o tym pamiętać, gdyż o ile wykonanie wszystkich aktualizacji w WordPressie jest niezmiernie ważne, to należy to robić w sposób odpowiedzialny i bezpieczny, a automatyczna aktualizacja WordPressa w tle niekoniecznie do takiego sposobu należy.
Co się może stać, gdy automatyczna aktualizacja WordPressa i jego komponentów zawiedzie?
Każda duża aktualizacja WordPressa do wyższej wersji głównej, a także aktualizacja wtyczki czy motywu może powodować problemy z kompatybilnością. To właśnie dlatego WordPress automatycznie instaluje tylko pomniejsze wersje, a resztę pozostawia do zrobienia użytkownikowi.
Przejawiać to się może np. poprzez nieprawidłowe wyświetlanie szablonu strony www, uszkodzenie niektórych funkcji na stronie (np. brak komentarzy), a nawet całkowite uszkodzenie witryny i wyświetlenie błędu 500 każdemu odwiedzającemu. Gdy pójdzie coś nie tak, a Ciebie nie będzie akurat przy komputerze, strona będzie uszkodzona lub niedostępna dopóki tego nie naprawisz.
Owszem, prędzej czy później i tak przyjdzie Ci zaktualizować stronę i przejść na nowszą wersję główną WordPressa, ale bezpieczniej będzie, gdy ten proces odbędzie się pod Twoim czujnym okiem, tuż po wykonaniu świeżej kopii zapasowej, a nie automatycznie w środku nocy, gdy już spisz, a ewentualne problemy rozwiążesz dopiero rano.
Co więcej, wykonując aktualizację ręcznie, widzisz, co dokładnie w danej chwili aktualizujesz. Gdy po aktualizacji danej wtyczki wystąpi na stronie błąd, to wiesz już, że to właśnie ona go spowodowała. Wiesz już, gdzie szukać problemu. W przypadku automatycznej aktualizacji wtyczek nie masz tego komfortu, gdyż nie wiesz, w czym tkwi błąd. Więcej czasu zajmie Ci zdiagnozowanie, co w zasadzie go powoduje.
Poza aktualizacją samego WordPressa oraz jego komponentów duże znaczenie odgrywa posiadana wersja PHP. Bardzo często działanie wtyczek czy też różnego rodzaju motywów uzależnione jest od wersji PHP na Twojej stronie. Po aktualizacji może pojawić się konieczność zmiany ustawień PHP na serwerze, a to nie zostanie już wykonane automatycznie. Jeśli tak się stanie pod Twoją nieobecność, to do momentu, gdy tego nie zmienisz, strona po automatycznej aktualizacji nie będzie działać.
Jak włączyć automatyczną aktualizację WordPressa w tle?
Jeśli zdecydowałeś, że mimo wszystko chcesz automatycznie aktualizować wtyczki, motywy oraz core WordPressa do najnowszej wersji głównej, to wykonaj poniższe czynności. Automatyczne aktualizacje WordPressa możesz uruchomić na dwa sposoby – ręcznie lub za pomocą wtyczki.
Uwaga! Wszelkie zmiany wykonujesz na własną odpowiedzialność. Zanim zmodyfikujesz ustawienia automatycznej aktualizacji, zapoznaj się z tym, w jaki sposób domyślnie WordPress wykonuje aktualizacje, a także jakie ryzyko lub obowiązki pojawią się, gdy zmienisz te ustawienia.
Ustawienie ręczne w plikach wp-config.php oraz functions.php:
Automatyczne aktualizacje core WordPressa możemy skonfigurować w pliku wp-config.php (główny folder WordPressa). Z kolei automatyczne aktualizacje motywów i wtyczek konfigurujemy w pliku functions.php (folder z Twoim motywem potomnym).
Należy zalogować się na swój serwer FTP odnaleźć pliki wp-config.php oraz functions.php. Wskazane pliki pobieramy na dysk lokalny i otwieramy za pomocą edytora kodu np. Notepadqq lub Brackets. Wykonujemy sobie ich backup na dysku (gdyby coś poszło nie tak), a następnie dopisujemy pożądane dyrektywy:
Włączenie automatycznej aktualizacji core do głównych wersji systemu (wp-config.php):
define( 'WP_AUTO_UPDATE_CORE', true );
Uruchomienie automatycznej aktualizacji wtyczek (functions.php):
add_filter( ‘auto_update_plugin’ , ‘__return_true’ );
Aktywacja automatycznej aktualizacji motywów (functions.php):
add_filter( ‘auto_update_theme’ , ‘__return_true’ );
Ustawienie automatyczne za pomocą zainstalowania odpowiedniej wtyczki
Automatyczna aktualizacja WordPressa może być skonfigurowana także za pomocą odpowiedniej wtyczki. Warto jednak pamiętać, że instalacja wtyczki to nijako ułatwienie lecz będzie zajmować nam miejsce na serwerze i potencjalnie zmniejszać poziom bezpieczeństwa strony www. Wtyczka, która pozwoli na wykonywanie automatycznych aktualizacji to np. Easy Updates Manager.
Aby uruchomić wtyczkę należy zalogować się do swojego kokpitu WordPressa. Następnie przechodzimy do opcji “Wtyczki” → “Dodaj nową”. W dalszej części w oknie wyszukiwania należy wpisać nazwę wtyczki, czyli „Easy Updates Manager”. Po wyszukaniu i zainstalowaniu wtyczki należy wybrać opcję „Włącz wtyczkę”.
Po prawidłowym zainstalowaniu wtyczki w sekcji „Kokpit” pojawi się nowa opcja „Update Options”. W tej zakładce będziesz mieć możliwość konfiguracji oraz weryfikowacji aktualizacji wykonywanych przez wtyczkę. Możesz osobno kontrolować, które komponenty mają się automatycznie aktualizować.
Jak wyłączyć automatyczną aktualizację WordPress?
Jeśli chcesz wycofać zmiany lub całkowicie zrezygnować z automatycznych aktualizacji określonych lub wszystkich komponentów, to również można to zrobić albo ręcznie, albo za pomocą tej samej wtyczki, co wyżej. Pamiętaj że jeśli zdecydujesz się wyłączyć wszystkie automatyczne aktualizacje, to koniecznie sprawdzaj samodzielnie dostępność nowych uaktualnień i wykonuj je na bieżąco, aby utrzymać stronę w oparciu o aktualne komponenty.
W przypadku większości wtyczek oraz motywów informują nas one o możliwości aktualizacji do nowszej wersji. Sprawdzisz to logując się do swojego kokpitu WordPressa → zakładka Aktualizacje. |
Ręczna dezaktywacja automatycznych aktualizacji
Należy zalogować się do FTP, a następnie zmodyfikować pliki wp-config.php oraz functions.php. Jeśli już wcześniej wprowadzałeś zmiany, to możesz je wycofać, usuwając swoje wpisy. Alternatywnie możesz wykorzystać poniższe dyrektywy i wymusić za ich pomocą wyłączenie specyficznych typów aktualizacji:
Całkowite wyłączenie WSZYSTKICH typów automatycznych aktualizacji od A do Z (wp-config.php):
define( 'AUTOMATIC_UPDATER_DISABLED', true );
Pełna dezaktywacja automatycznego aktualizowania core WordPressa (wp-config.php):
define( ‘WP_AUTO_UPDATE_CORE’ , false );
Wyłączenie automatycznej aktualizacji wtyczek (functions.php):
add_filter( ‘auto_update_plugin’ , ‘__return_false’ );
Wyłączenie automatycznej aktualizacji motywów (functions.php):
add_filter( ‘auto_update_theme’ , ‘__return_false’ );
Ustawienia wtyczki “Easy Updates Manager”
Podobne ustawienia znajdziesz we wtyczce Easy Updates Manager, gdzie możesz wyłączyć nawet te aktualizacje, które domyślnie są wykonywane automatycznie. Do całkowitego wyłączenia możesz skorzystać z przełącznika Disable All Updates lub wyłączyć indywidualnie wybrane aktualizacje.
Jeśli jednak zechcesz wycofać zmiany, które wprowadziłeś wcześniej, to najlepiej wejść do ustawień wtyczki i przywrócić oryginalną konfigurację aktualizacji, klikając WordPress Default Settings. Następnie należy przejść do sekcji „Wtyczki” i dezaktywować wtyczkę Easy Updates Manager, po czym ją usunąć – nie będzie już potrzebna.
Co zrobić, kiedy automatyczna aktualizacja WordPressa zawiedzie?
Może się tak zdarzyć, że automatyczne aktualizacje spowodują problem z wyświetlaniem Twojej strony www. Bardzo często w takiej sytuacji problemem jest brak kompatybilności między wersją WordPressa, a zainstalowanymi już komponentami strony. W takiej sytuacji może nas uratować kopia zapasowa.
W ramach usług posiadanych w LH.pl masz możliwość przywrócenia backupu serwera np. dla konkretnego katalogu lub bazy danych. Kopię zapasową przywracają nasi administratorzy bezpłatnie. Możesz także przywrócić ją samodzielnie poprzez połączenie z serwerem backupowym.
Podsumowanie
Możliwość uruchomienia automatycznych aktualizacji daje dużą swobodę w działaniu. Z drugiej strony domyślne ustawienia aktualizacji WordPressa nie zostały skonfigurowane przez przypadek. Jest to zdecydowana i przemyślana strategia, którą wdrożono dla naszego dobra, aby WordPress aktualizował automatycznie tylko to, co jest najbardziej krytyczne.
Pamiętaj, że przy aktualizacji WordPressa zawsze może coś pójść nie tak. Nie oznacza to, że powinieneś unikać aktualizacji – absolutnie nie, są one krytyczne dla zachowania bezpieczeństwa strony. Jednak im więcej aktualizacji skonfigurujesz w sposób automatyczny, tym większe ryzyko, że coś na stronie może się zepsuć pod Twoją nieobecność. Działa to także w drugą stronę – jeśli z jakiegoś powodu zdecydujesz się wyłączyć wszystkie automatyczne aktualizacje, to musisz pamiętać o tym, aby aktualizować wszystko na bieżąco samodzielnie. W przeciwnym wypadku zwiększasz ryzyko infekcji witryny.