Autoinstalatory WordPressa za i przeciw

Ostatnio trochę testowałem jak działają automatyczne instalatory WordPressa na różnych hostingach. Główne pytania na jakie chciałem znaleźć odpowiedzi to:

Czy autoinstalator zainstaluje aktualnego, gotowego do używania WordPressa?
Czy dokonana instalacja będzie bezpieczna?
Czy faktycznie warto stosować autoinstalatory?

Możesz też od ręki zobaczyć podsumowanie.

Przetestowałem 3 hostingi na których były autoinstalatory wyglądające autorskie i 2 na których były autoinstalatory wbudowane w popularne panele zarządzania hostingiem jak Direct Admin czy cPanel.

Wyniki testów są praktycznie jednoznaczne używając autoinstalatora zawsze coś się sypnęło mniej lub więcej. Wbrew temu co napisał Wojtek Babicz nawet Installatron w DirectAdmin (hekko.pl) czy Softaculous w cPanel (smarthost.pl) się nie sprawdziły do końca 🙁

Podsumowanie wad autorskich instalatorów home.pl, az.pl, dhosting.pl

Największym problemem ich autorskich autoinstalatorów WordPressa na tych hostingach są:

  • Nieaktualność.
    Zarówno sam instalowany WordPress jest nieaktualny i wymaga interwencji jak i wtyczki oraz motywy są przestarzałe. W az.pl jest instalowane wręcz już nieaktualna gałąź 4.8.x
  • Powtarzalność elementów.
    prefixy tabel są zostawione domyślne ‚wp_’, nazwy baz (będące zarazem nazwami użytkowników baz) są tworzone przez iterację
define('DB_USER', '06923328_0000004');
define('DB_USER', '06923328_0000005');
define('DB_USER', '06923328_0000006');
define('DB_USER', '06923328_0000007');
  • Brak możliwości zarządzania ścieżką instalacji
    każdy WordPress instaluje się w „jedynie słusznym” a zarazem przewidywalnym miejscu np. katalogu /autoinstalator/ i nie mamy wpływu na to 🙁
  • Narzucanie ustawień i konfiguracji
    ustawień których niekoniecznie się potrzebuje lub są wręcz złe przykładowo wymuszanie użytkownika o nazwie „admin”, instalacja WordPressa w trybie multisite, pre konfigurowane wtyczki, itd.
  • Bezsensownie zainstalowane wtyczki
    nie dość że wtyczki są nie działające z powodu złej wersji php na serwerze, to jeszcze instalują takie które wpisują dyrektywy do htaccess nie wspierane przez ten serwer. Żeby podnieś poziom abstrakcji te wtyczki po instalacji potrafią być domyślnie włączone!
  • Źle dobrany zestaw wtyczek
    często wtyczki mają wspomóc hosting nie użytkownika, wtyczki  marnej jakości jak „Really Simple SSL”, wtyczki do migracji (przy nowej stronie absolutnie nie potrzebne) czy też pagebuildery których stosowanie jest kontrowersyjne.
  • słabe hasła
    i to zarówno słabe hasła dostępowe do baz danych jak i słabe hasła użytkownika WordPressa którym jest domyślny „admin”

Cały wpis o tych autoinstalatorach jest podlinkowany w źródłach na dole artykułu.

WordPress instalowany przez Installatron w DirectAdmin na hekko.pl

W porównaniu do autoinstalatorów w home.pl az.pl czy dhosting.pl ich Installatron wypadł stosunkowo lepiej. Można wiele ustawić przed samą instalacją jak nazwę użytkownika WordPressa, jego ścieżkę w strukturze plików, w jaki sposób ma się aktualizować, czy aktualizacje mają obejmować wtyczki i motywy. Możliwość takiej wstępnej konfiguracji sprawia że można brać go pod uwagę.

Z drugiej strony nie wiedzieć czemu nazwa bazy danych i nazwa użytkownika są takie same (mimo że na hekko nie muszą) ale przyznaję że wygenerowane hasło do bazy ma największą moc z testowanych.

define('DB_PASSWORD', 'C.KmjcvdkhCrPEH217)32,.8');

Niestety domyślny prefix

$table_prefix = 'wp_'; 

wygląda źle, tak samo jak drugi człon nazwy bazy danych (i użytkownika zarazem).

define('DB_NAME', 'mondo_wp1');
define('DB_NAME', 'mondo_wp2');

Iteracja nie jest dobrym pomysłem przy nazywaniu baz, zdecydowanie można było lepiej to zrobić żeby złym ludziom utrudnić życie.

Kolejnym choć mniejszym problemem jest że na dzień dobry aktualizujemy bazę danych. Swoją drogą ciekawe czemu skoro to świeża instalacja?

Skoro nówka instalacja więc tłumaczenia też powinny być aktualne, ale coś chyba jednak nie zadziałało bo oczekiwały na ręczną aktualizację 🙁

jest lepiej przy tym autoinstalatorze niż przy autorskich wynalazkach, ale do poprawności instalacji WordPressa trochę brakuje 🙁

WordPress instalowany przez Softoculous z cPanel na smarthost.pl

IMHO to najlepszy z testowanych 5 instalatorów.

Posiada zalety wymienionego wyżej Installatrona (duża możliwość wstępnej konfiguracji) ale też nie wiem czy z powodu ograniczeń jego samego czy ograniczeń smarthost.pl nazwa bazy i nazwa użytkownika są takie same 🙁

Generowane automatycznie hasła do bazy mają tylko 10 znaków

 define('DB_PASSWORD', 'p3B!S1038[');

więc nie jest to to, co tygryski lubią najbardziej. Zwłaszcza porównując do hekko.pl gdzie generowane hasła do baz mają 24 znaki wygląda ubogo.

Cieszą faktycznie różne prefiksy tabel pomiędzy instancjami, choć generowane są też trochę kulawo bo na bazie ciągu wp.._

$table_prefix  = 'wp1b_';

Nazwy generowanych baz mają podobną ułomność zaczynając się od wspólnej części nazwakonta_wp  (jak w Installatronie) choć na zdecydowany plus że nie ma iteracji a nawet długość nazwy bazy może być różna. Można spokojnie przyjąć wyższą losowość nazw niż w pozostałych rozwiązaniach które testowałem.

define('DB_NAME', 'arossmar_wp432');
define('DB_NAME', 'arossmar_wp7');

Troszkę wyższy poziom niż w Installatronie mają też generowane hasła użytkownika. Łapią się już jako średnie a nie słabe w algorytmach WordPressa, jednak wymagają ręcznej poprawki żeby były bezpieczne.

średniej jakości hasło wygenerowane z autoinstalatora

Podsumowanie

Faktycznie instalatory jak Installatron z Direct Admin czy Softoculous z cPanel dają lepsze instalacje niż wynalazki naklepane/zaadoptowane przez home.pl, az.pl czy dhosting.pl. Jednak i one nie są pozbawione wad które można bez problemu ominąć instalując WordPressa po bożemu „z palca”

uproszczona ściąga instalacji WordPressa poniżej 🙂

  • na hostingu załóż bazę o unikalnej nazwie, a w niej załóż użytkownika bazy o nazwie unikalnej i innej niż nazwa bazy
  • zadbaj aby hasło użytkownika bazy było długie i zawierało różne znaki duże – małe – specjalne – cyfry
  • jeśli możesz odbierz nadmiar uprawnień utworzonemu użytkownikowi bazy, nie musi móc wszystkiego
  • pobierz najnowszą wersję WordPressa z wordpress.org  i wgraj na serwer do katalogu jaki lubisz i na który masz ustawioną domenę/subdomenę (nie zapomnij rozpakować co pobrałeś 😉
  • przeprowadź pieciominutową instalację wypełniając raptem kilka pól, nie zapomnij nadać adminowi jakąś ciekawą nazwę (np. z @ w środku) i daj adminowi silne hasło (może być to automatyczne)

Dzięki ręcznej instalacji boty (nastawione na domyślne ustawienia i proste hasła) w większości przypadków zetrą sobie zęby na Twoim WordPressie i go nie przejmą, a i niejeden zły człowiek puści Ci parę bodajów, oraz odejdzie zniesmaczony brakiem szybkiego sukcesu.

Zysk z korzystania autoinstalatorów jest w większości przypadków nikły lub żaden. Bajery w stylu klikam w panelu hostingu coś tam i loguję się do mojego WordPressa są marne bo i tak muszę się gdzieś zalogować. Zresztą do tak ważnego panelu jak centrum zarządzania hostingiem powinno się logować jak najrzadziej (bo tam zbyt wiele można popsuć) a nie przy każdym pisaniu notki na bloga czy zatwierdzaniu komentarzy.

Jeżeli zwykła instalacja WordPressa Cię przerasta to poproś kogoś by zainstalował go za Ciebie, zabezpieczył i wziął twój serwis w opiekę. Autoinstalatory i wyklikiwanie stron są fajne a nawet jakoś działają.  Jednak jeśli nagle twój serwis zacznie udawać bank i np. kraść hasła to już nie będzie fajnie. Przyjdą smutni Panowie i będą zadawać dziwne pytania.

Warto się albo douczyć samemu albo zlecić komuś instalację, bo jak widać z testów autoinstalatory mają jeszcze dość długą drogę żeby zainstalować poprawnie i co ważniejsze bezpiecznie WordPressa.


Przydatne:

Wątek w QA: Autoinstalatory WordPressa na 5 hostingach za i przeciw


Wnioski z porównania autoinstalatorów WordPressa na 5 różnych hostingach. Wyślij Tweeta