Je garde en permanence une version à jour de Wordpress sur mon ordi pour voir comment ils évoluent et depuis quelques temps, côté mise à jour, ce message est affiché :
Vous avez la dernière version de WordPress. Les prochaines mises à jour de sécurité seront appliquées automatiquement.
Est-ce que c’est réellement une bonne idée (avec les potentielles incompatibilités qui pourraient survenir) ? Et si oui est-ce qu’il faudrait implémenter ça du côté de Dotclear ?
Si oui :
- Seulement pour corriger les failles de sécurité
- Pour les mises à jour de versions mineures (correction de bugs)
- Quelle que soit la version — a priori je serais plutôt contre cette option, trop de risque de casser des choses
Z’en dites ?
Ajout de 10:45
Tu vas prendre énormément de responsabilités sans avoir les moyens de les assurer. Très mauvaise idée.
Voilà ce que me dit un ami sur Twitter quand il a lu ce que je proposais.
Effectivement c’est un aspect que je n’avais pas envisagé !
1 De Da Scritch -
Que chez moi, avec un dotclear multiblog, et des droits applicatifs qui empêchent le serveur web de manipuler une partie des fichiers PHP par sécurité, cette fonction ne pourra marcher.
Qui plus est, on n’est pas à l’abri d’une attaque en supply-chain, d’un man-in-the-middle ou encore d’un site en prod ultra sensible qui ne doit pas être modifier à certaines heures.
Je le proposerai en plugin, peut-être …
2 De Franck -
Je crois que je vais oublier l’idée et laisser les administrateurs se charger de l’opération comme depuis un bail ;-)
3 De Bernard -
J’aime pô les automatismes.. A tous les logiciels installés sur mes ordis, je demande de m’informer avant des mises à jour possibles… Non mais !
Pour ce qui concerne Dotclear, je teste d’anciennes versions en local —depuis 2.9, et, pour celles-là, j’ai bloqué les maj dans le config.
Je suis aussi contre la/les mises à jours automatiques car, par moment, cela peut prendre du temps alors même qu’on en train de modifier ou éditer quelque chose: si on a pas un ordi/système/hébergement avec une connexion au top, amha, y a un risque que ça coince quelque part….. Donc je me dois de surveiller ;-)
Un plugin pour faire cela ? Pourquoi pas. Mais, vu mes différentes versions je préfèrerais — je suis enclin à imaginer…, un plug qui permettrait de faire des mises à jour étape par étape —version/version Un plug qui me dirait, par ex:
4 De Tomek -
Pas fan du tout, perso… j’ai quelques sites que je gère avec WP, j’ai toujours peur d’un bug ou d’une incompatibilité suite à une mise à jour.
5 De Marie-Aude -
J’ai toujours désactiver les mises à jour automatiques. Maintenant, je sais ce que je fais et je surveille mon admin. Quand j’interviens chez certains clients qui n’ont pas fait de mises à jours depuis des mois (35 mois le record), et qui réagissent quand ils se sont fait hackés, je me dis que les mises à jour de sécurité en automatique, ce n’est pas une mauvaise idée.
Maintenant, en plus, on a la possibilité de gérer ce choix, individuellement, par plugin. Or, c’est surtout du côté des plugins que viennent les problèmes de mise à jour. Donc c’est “non” , on teste avant, on ne fait pas en milieu de journée
6 De FantomeDuPogo -
On peut très bien laisser le choix de la mise à jour automatique ou pas. A l’utilisateur d’assumer.
Personnellement je suis plutôt mise à jour auto, même si parfois on a des montées de stress.
Il m’est arrivé qu’un plugin soit planté suite à une mise à jour…
7 De RaphAstronome -
Il faudrait que cela reste optionnel en tout cas.
Peut être pas dotclear lui même mais juste un “écran de sécurité” un peu à la façon de SPIP. En plus cela serait bien plus léger.
Aussi faire encore plus attention à la sécu (d’ailleurs le code des MàJ sont signés avec GnuPG ou autre ?) car en cas de compromission du serveur la mise à jour partirait quasi tout de suite à toutes les installations au lieu de seulement la partie qui a fait la mise à jour avant de s’en rendre compte.
8 De notafish -
Automatisme : surtout pas, malheureux ! C’est comme ça que j’ai cassé tout plein de sites Wordpress. Wordpress, c’est le mal.
Je veux bien que tu réfléchisses à du “flat file” en revanche … (je sais, je sors).
9 De Franck -
Pour répondre à RaphAstronome, les archives de mises à jour sont accompagnées d’un hash à vérifier, si nécessaire. Par contre elles ne sont pas signées.
10 De Franck -
notafish qu’est-ce que tu entends par flat-file ? Côté données ?
Si c’est ça, ça va pas être simple simple puisqu’on s’appuie pas mal sur l’aspect relationnel (cascade) des gestionnaires de bases de données et là je ne sais pas si c’est Ok.
Par ailleurs, question Perfs, c’est comment ?
11 De Cunegonde -
Moi j’aime bien les messages de mise à jour qui arrivent vers des 13 du mois. J’aime bien cliquer et que tout se passe bien.
12 De Bernard -
Vu que les 13 sont aussi un vendredi, on pourrait imaginer que la mise à jour semi-manuelle permettrait de gagner un cado pour l’effort consenti: par ex un an d’abonnement gratuit à Dotclear ????
13 De Franck -
Ah non, l’abonnement gratuit d’un an est réservé à nos clients VIP ;-)
14 De Bernard -
Dommage…. Cela aurait pu permettre de gratifier les utilisateurs de maj faite main…