Il giorno dopo che WordPress ha rilasciato un aggiornamento critico per la sicurezza 5.5.2, correggendo un bug di esecuzione di codice remoto e nove difetti aggiuntivi, è stata costretta a rilasciare un secondo aggiornamento e poi un terzo aggiornamento 5.5.3.
Il singhiozzo è legato alla funzione di aggiornamento automatico di WordPress che ha iniziato a inviare accidentalmente a 455 milioni di siti Web un aggiornamento di WordPress (5.5.2) che ha causato il crash delle nuove installazioni di WordPress. Dopo aver realizzato l’errore, ha frenato il lancio e inavvertitamente ha attivato una versione Alpha di WordPress da scaricare per alcuni clienti.
Il problema è stato risolto rapidamente il 30 ottobre, ma non prima che gli operatori del sito WordPress segnalassero nuove installazioni di WordPress non riuscite e altri che si lamentassero per le pagine di accesso di amministrazione interrotte. WordPress ha affermato che è ora disponibile un aggiornamento finale 5.5.3.
“WordPress 5.5.2 ha causato un problema con l’installazione di pacchetti ZIP disponibili su WordPress.org per le nuove versioni di 5.5.x, 5.4.x, 5.3.x, 5.2.xe 5.1.x. Il problema riguarda solo le nuove installazioni di WordPress senza un file wp-config.php esistente”, ha affermato la società.
Di male in peggio
Successivamente, le cose si sono intensificate.
“Mentre si lavorava per preparare WordPress 5.5.3, il team di rilascio ha tentato di rendere 5.5.2 non disponibile per il download su WordPress.org per limitare la diffusione del problema indicato nella sezione precedente, poiché l’errore riguardava solo le nuove installazioni. Questa azione ha comportato l’aggiornamento di alcune installazioni a una versione preliminare ‘5.5.3-alpha’ “, ha scritto il team di WordPress.
L’aggiornamento alpha ha causato più preoccupazione che problemi tecnici per gli amministratori del sito. La versione non pronta per la prima serata installava i vecchi temi predefiniti “Twenty” e il plug-in “Akismet” come parte del pacchetto pre-release 5.5.2-alpha.
Gli utenti di WordPress hanno espresso sgomento e confusione per il fatto che i diversi siti che hanno gestito hanno iniziato a visualizzare il messaggio “BETA TESTER: questo sito è configurato per installare automaticamente gli aggiornamenti delle future versioni beta” sulla loro console di amministrazione.
“Questi temi e plug-in non sono stati attivati e quindi rimangono non funzionanti a meno che non siano stati installati in precedenza”, ha spiegato WordPress.
Ha spiegato che l’installazione di WordPress può essere ripristinata alla 5.5.2 visitando il pannello di aggiornamento (visitando Dashboard> Aggiornamenti) e facendo clic sul pulsante Reinstalla WordPress.
“In questo modo otterrai una nuova copia di WordPress, ma non influirà sui tuoi contenuti o sui file caricati.”
Mentre la maggior parte dei clienti di WordPress, in generale, non ha segnalato alcun problema tecnico, un certo numero di utenti ha osservato anomalie di configurazione di WordPress inspiegabili.
“Questo potrebbe aver cambiato qualcosa nella configurazione del server MySQL? Uso Moodle sullo stesso sito di WordPress e tutti i miei siti Moodle ricevono un errore di scrittura del database”, ha scritto un utente .
Aggiornamento automatico: attendibilità testata
Le patch pasticciate evidenziano le preoccupazioni degli utenti riguardo alla mancanza di controllo sulla funzione di aggiornamento automatico di WordPress.
“Questa è un’altra lezione su quanto sia potente il meccanismo di aggiornamento automatico per WordPress. Centinaia di milioni di siti si comportano come zombi, facendo tutto ciò che l’API di aggiornamento automatico sbagliata gli dice di fare”, ha scritto Knut Sparhell nel forum di WordPress.
Un altro amministratore di WordPress identificato come pcdeveloper ha sottolineato che,
“Questo è un serio problema di sicurezza in quanto uno sviluppatore canaglia potrebbe eliminare codice dannoso in un aggiornamento che nessun altro controlla…”
Sparhell ha espresso esasperazione per il fatto che non esisteva un modo semplice per attivare e disattivare gli aggiornamenti automatici di WordPress. “Questo è preoccupante”, ha detto.
WordPress consente agli utenti di disabilitare gli aggiornamenti automatici sia per la manutenzione maggiore o minore che per gli aggiornamenti di sicurezza. Tuttavia, come ha sottolineato Samuel Wood, un collaboratore del forum WordPress,
“Ora sembra un buon momento per documentare un modo corretto e appropriato di ‘interrompere’ una versione in corso.”
“Questa è in realtà una funzionalità del programma di aggiornamento e il risultato di un tentativo errato di interrompere gli aggiornamenti durante la preparazione della versione 5.5.3”, ha scritto Wood. “Fondamentalmente, l’endpoint dell’API per il controllo della versione ti informerà dell’ultima notte… se pensa che tu stia già utilizzando una versione nightly. Lo verifica in diversi modi, uno dei quali è confrontando quella che sa essere l’ultima versione rilasciata con quella che la tua installazione segnala come propria versione.”
Un altro sviluppatore identificato come @paulstenning ha espresso preoccupazione, affermando:
“Ho aggiunto questo a wp-config.php su tutti i nostri siti per ora per evitare ulteriori problemi durante il fine settimana
define ('WP_AUTO_UPDATE_CORE', false)."
Parola ufficiale di WordPress
WordPress nel frattempo esorta i suoi utenti ad aggiornare alla versione stabile di WordPress 5.5.2.
“Questa versione di manutenzione risolve un problema introdotto in WordPress 5.5.2 che rende impossibile installare WordPress su un nuovo sito Web che non dispone di una connessione al database configurata. Questa versione non influisce sui siti in cui è già configurata una connessione al database, ad esempio tramite programmi di installazione con un clic o un file wp-config.php esistente.”
Aggiunge: “Se non sei su 5.5.2 o hai gli aggiornamenti automatici per versioni minori disabilitati, aggiorna manualmente alla versione 5.5.3 scaricando WordPress 5.5.3 o visitando Dashboard → Aggiornamenti e fai clic su Aggiorna ora.”