Jakich wersji WordPressa używamy, czyli balansowanie na granicy bezpieczeństwa

WordPress - statystykiNie od dzisiaj osoby zajmujące się mniej lub bardziej profesjonalnie WordPressem (włącznie ze mną) trąbią na prawo i lewo o konieczności jak najszybszego instalowania jego aktualizacji. W idealnym świecie wszystkie strony wykorzystujące ten CMS powinny używać jego najnowszej wersji, ale rzeczywistość jest niestety daleka od ideału. Jak wielka jest skala problemu można się przekonać przeglądając oficjalne statystyki, publikowane (w nieco ukryty sposób) na oficjalnej stronie WordPressa.

Na wstępie warto zwrócić uwagę, że dane na wykresach zawierają drobną nieścisłość. Po wskazaniu kursorem myszy dowolnego wycinka pojawia się „dymek” z liczbą i procentami. Liczba ta nie oznacza liczby stron korzystających z danej wersji oprogramowania – to po prostu procent z ogólnej liczby witryn, przedstawiony z dokładnością do trzech miejsc po przecinku.

Jakich wersji WordPressa używamy?

Statystyki biorą pod uwagę wersje główne WordPressa – czyli na przykład wersje 3.4, 3.4.1 i 3.4.2 są na wykresie przedstawione jako wersja 3.4.

Aktualna wersja 3.5 (wydana nieco ponad 2 miesiące temu) jest obecna na raptem 21,4% wszystkich witryn. To niepokojąco mała liczba. Poprzednia wersja 3.4 działa na kolejnych 31,3% stron – tak dużą liczbę można wytłumaczyć opóźnieniami w aktualizacji związanymi na przykład z problemami z kompatybilnością szablonów i wtyczek, głównie tych tworzonych na zamówienie. Wprawdzie wersje testowe (beta i Release Candidate) kolejnych wydań WordPressa są udostępniane na co najmniej kilka tygodni przed oficjalną premierą, ale najwyraźniej deweloperzy nie zaprzątają sobie nimi głowy. A powinni, bo dzięki nim mogą odpowiednio wcześniej przetestować i dostosować swoje dzieła do kolejnej wersji CMSa.

Jak nietrudno zauważyć, z wersji starszych niż 3.4 (a więc sprzed co najmniej pół roku) korzysta ponad 47% stron, a aż 19% wszystkich witryn używa nie aktualizowanej od ponad dwóch lat wersji 3.0! Osobiście uważam, że większość z nich została po prostu porzucona i pozostawiona bez żadnej opieki. Ciekawy jestem jak wiele z nich zostało zainfekowanych i służy za darmową powierzchnię reklamową autorom złośliwych skryptów.

Dwa pozostałe wykresy przedstawiają używane wersje PHP i bazy danych MySQL. Pocieszający jest praktycznie niewidoczny udział PHP 4 (poniżej 0,3%). Trzeba jednak pamiętać, że aktualizacje tych narzędzi leżą w gestii firm hostingowych, a nie osób prowadzących strony.

Skąd biorą się te dane?

Dane, na podstawie których są generowane te statystyki, pochodzą z mechanizmu automatycznych aktualizacji. WordPress dwa razy dziennie sprawdza czy nie jest dostępna jego aktualizacja (sprawdza również aktualizacje zainstalowanych szablonów i wtyczek), a przy tej okazji wysyła na serwery Automattic kilka informacji o naszej stronie, takich jak zainstalowana wersja WordPressa, używana wersja PHP i MySQL, język strony czy jej adres URL.

Bezpośredni link

  • Osobiście obawiam się że po aktualizacji coś przestanie mi działać. Jest to pewnie spowodowane brakiem zaufania do WP. Podobnie miałem z aktualizacjami Windows co zupełnie zmieniło się 7 lat temu po przesiadce na OS X.

    • Miałem okazję poznać kilka osób z podobnym do Twojego podejściem – a poznałem je przy okazji usuwania malware z ich stron. ;)

      Jest co najmniej kilka możliwości na sprawdzenie czy po aktualizacji Twoja strona będzie działać jak trzeba – najprostszym jest zrobienie jej klona (Przenoszenie strony na inny serwer) i uruchomienie aktualizacji. Zajmie to nie więcej niż godzinę, a naprawdę nie ma co ryzykować.

  • Mi z kolei aktualizacja nie konczy sie pomyslnie…’An automated WordPress update has failed to complete’…

    • Przyczyn może być wiele. Zawsze jednak możesz zaktualizować WordPressa ręcznie przesyłając pliki na serwer przez FTP.