CMS WordPress – это бесплатная система управления контентом с открытым исходным кодом на основе PHP и MySQL. Особенности ее включают в себя архитектуру плагинов и систему шаблонов. Эта платформа больше всего связана с блогами, но она поддерживает и другие типы веб-контента, включая более традиционные списки рассылок и форумы, медиа-галереи и интернет-магазины. «Вордпресс» используется более чем на 60 миллионах сайтов, в том числе на 30,6 % из лучших 10 миллионов веб-ресурсов по состоянию на апрель 2018 года. WordPress – самая популярная в мире система управления сайтом. Этот движок также использовался для других областей приложений, таких как широковещательные системы отображения (PDS).
Что такое «Вордпресс»?
WordPress впервые был выпущен 27 мая 2003 года Мэттом Малленвегом и Майком Литтлом в качестве основы b2/cafelog. Программное обеспечение было выпущено под лицензией GPLv2 (или более поздней его версии). Чтобы функционировать, WordPress должен быть установлен на веб-сервере, будь то часть службы интернет-хостинга или компьютер в качестве сетевого хоста. Локальный компьютер также может использоваться для однопользовательского тестирования и обучения.
Как это работает?
Что такое «Вордпресс» с технической точки зрения? WordPress имеет собственную систему шаблонов с использованием процессора. Его архитектура является фронт-контроллером, маршрутизирующим все запросы на нестатические URI на один файл PHP, который анализирует URI и идентифицирует целевую страницу. Это позволяет поддерживать более удобные для чтения константы.
Темы
Пользователи CMS WordPress могут устанавливать и переключаться между различными темами. Они позволяют изменять внешний вид и функциональность сайта без изменения основного кода или содержимого. На каждом сайте требуется по крайней мере одна тема, и каждая из них должна быть разработана с использованием стандартов WordPress со структурированным PHP, допустимым HTML (HyperText Markup Language) и каскадными таблицами стилей (CSS).
Темы или шаблоны CMS WordPress могут быть непосредственно установлены с помощью инструмента администрирования «Внешний вид», расположенного на панели управления. Кроме того, папки с ними могут быть скопированы в каталог (например, через FTP). Коды PHP, HTML и CSS, содержащиеся в темах, могут быть напрямую изменены для их изменения. Кроме того, любая тема может быть дочерней, то есть наследующей настройки из другой.
Темы CMS WordPress обычно подразделяются на две категории: бесплатные и премиальные. Первые перечислены в соответствующем каталоге движка, а варианты премиум-класса доступны для покупки от отдельных разработчиков. Пользователи WordPress также могут создавать и разрабатывать свои собственные темы.
Плагины
Плагиновая архитектура WordPress позволяет пользователям расширять возможности и функции сайта или блога. По состоянию на март 2017 года WordPress имел более 55 286 плагинов, каждый из которых предлагает различные функции и возможности, позволяющие пользователям адаптировать сайты к конкретным потребностям. Эти настройки варьируются от поисковой оптимизации до клиентских порталов, используемых для отображения личной информации. Благодаря их использованию стало возможным создание интернет-магазинов на CMS WordPress, например.
Не все доступные плагины изменчивы к обновлениям движка, в результате они могут не работать должным образом или вообще не запускаться. Большинство расширений добавляются в «Вордпресс» либо путем их загрузки, либо при помощи установки файлов вручную через FTP или панель инструментов.
Сторонние разработчики предлагают плагины CMS WordPress, большая часть которых являются платными пакетами. Веб-разработчикам, которые хотят создавать такие расширения, необходимо изучить систему WordPress и все ее принципы.
Мобильные телефоны
Существуют собственные приложения по работе в «Вордпресс» для WebOS, Android, iOS (iPhone, iPod Touch, iPad), Windows Phone и BlackBerry. Все они разработаны Automattic и имеют такие возможности, как добавление новых сообщений и страниц в блогах, комментирование, модерирование комментариев, ответ на комментарии в дополнение к возможности просмотра статистики.
Другие особенности
CMS WordPress также поддерживает интегрированное управление ссылками, поисковую систему, чистую структуру постоянной ссылки и возможность присвоения нескольким категориям сообщений. Также в движок по умолчанию включены автоматические фильтры, обеспечивающие стандартизованное форматирование и стилирование текста в сообщениях (например, преобразование обычных котировок в смарт-кавычки).
WordPress также поддерживает стандарты Trackback и Pingback для отображения ссылок на другие сайты, которые сами связаны с записью или статьей. Сообщения «Вордпресс» можно редактировать в HTML, используя визуальный редактор или один из нескольких доступных плагинов, которые позволяют использовать различные настраиваемые функции редактирования.
Многопользовательский режим
До версии 3 WordPress поддерживал один блог для каждой установки, хотя несколько параллельных копий могли запускаться из разных каталогов, если они настроены на использование отдельных таблиц базы данных. WordPress Multisites (ранее называемый Multi-User, MU или WPMU) был дистрибутивом, созданным для обеспечения возможности существования нескольких сайтов в рамках одной установки, которые могут управляться централизованным сопровождением. Эта версия позволяет размещать свои собственные блоги, а также контролировать и модерировать их с единой панели. WordPress MS добавляет восемь новых таблиц данных для каждого блога.
Уязвимости
Многие проблемы с безопасностью были обнаружены в программном обеспечении в разное время, особенно в 2007, 2008 и 2015 годах. Согласно аналитическим данным, «Вордпресс» в апреле 2009 года имел семь неустраненных уязвимостей (из 32 общеизвестных). Особенно это касалось сайтов на бесплатном хостинге с CMS WordPress.
Кроме того, в январе 2007 года многие высокопрофильные блоги, раскрученные при помощи поисковой оптимизации (SEO), а также запущенные с участием AdSense, были прицельно атакованы. Отдельная уязвимость на одном из серверов позволила злоумышленнику внедрить открытый код для некоторых загрузок WordPress 2.1.1. В последующей версии движка эта проблема была устранена, и разработчик рекомендовал всем пользователям немедленно обновиться.
В мае 2007 года исследование показало, что 98 % блогов WordPress, которые были запущены несколькими годами ранее, были малопригодными для использования, поскольку они использовали устаревшие и неподдерживаемые версии программного обеспечения. Чтобы устранить эту проблему, разработчики сделали обновление ПО намного проще - «одним нажатием» автоматизированного процесса, начиная с версии 2.7 (выпущенной в декабре 2008 года). Тем не менее параметры безопасности файловой системы, необходимые для включения процесса обновления, могут нести дополнительные риски в плане безопасности.
В июне 2013 года было обнаружено, что некоторые из 50 наиболее загружаемых плагинов WordPress были уязвимы для обычных веб-атак, таких как SQL-внедрение и XSS. Отдельная проверка 10 лучших расширений для электронной торговли показала, что семь из них были небезопасными. В стремлении повысить надежность и упростить процесс обновления в WordPress 3.7 были введены автоматические обновления фона.
Отдельные установки «Вордпресс» могут быть защищены плагинами безопасности, которые предотвращают отображение данных пользователей, скрывают ресурсы и препятствуют зависанию. Пользователи также могут защищать свои установки движка, предпринимая такие шаги, как обновление всех версий самого движка, тем и плагинов, использование только доверенных дополнений, редактирование файла .htaccess сайта для предотвращения множества типов атак и блокировка неавторизованного доступа к конфиденциальным файлам. Современные руководства включают в себя разные шаги, в том числе и совершение действий, направленных на то, как скрыть CMS WordPress, чтобы тип движка было невозможно определить.
Особенно важно обновлять плагины WordPress, потому что потенциальные хакеры могут легко перечислить все расширения, которые использует сайт, а затем запустить сканирование для поиска любых уязвимостей против них. Если таковые обнаружены, они могут быть использованы для загрузки злоумышленниками своих собственных файлов (например, скрипта PHP-оболочки), которые собирают конфиденциальную информацию.
Разработчики могут также использовать инструменты для анализа потенциальных пробелов, в том числе WPScan, WordPress Auditor и Sploit Framework, разработанные 0pc0deFR. Эти типы инструментов исследуют известные уязвимости, такие как CSRF, LFI, RFI, XSS, SQL-внедрение и так далее. Однако не все пробелы могут быть обнаружены инструментами, поэтому рекомендуется проверять код плагинов, тем и других надстроек от других разработчиков.
В марте 2015 года многие эксперты по безопасности и поисковым системам сообщили, что плагин SEO для WordPress под названием Yoast, который используется более чем 14 миллионами пользователей во всем мире, имеет уязвимость, которая может привести ко взлому, при котором хакеры могут делать слепые SQL-внедрения. Чтобы исправить эту проблему, разработчики сразу же внедрили новую версию 1.7.4 того же расширения, чтобы избежать каких-либо помех в сети из-за сбоя в безопасности.
В январе 2017 года эксперты обнаружили уязвимость в API-интерфейсе WordPress REST, которая позволила бы любому не прошедшему проверку подлинности пользователю изменять какую-либо электронную почту или страницу на сайте с WordPress 4.7 или выше. После уведомления об этом разработчиков движка в течение шести дней был выпущен высокоприоритетный патч к версии 4.7.2, который устранил проблему.
Развитие платформы
Минимальное требование к версии PHP для WordPress - это PHP 5.2, выпущенный 6 января 2006 года, который при этом не получил никаких исправлений по безопасности с 6 января 2011 года. В отсутствие конкретных изменений в коде форматирования по умолчанию на сайтах на WordPress используется элемент canvas, позволяющий определить, способен ли браузер правильно отображать emoji.
WordPress также разрабатывается сообществом активных пользователей, включая группу добровольцев, которые тестируют каждый выпуск. У них имеется ранний доступ к новым сборкам, бета-версиям и кандидатам на выпуск. Ошибки регистрируются в специальном списке рассылки или в инструменте проекта Trac.
Несмотря на то что WordPress был в значительной степени развит сообществом пользователей, он по-прежнему тесно связан с Automattic - компанией, основанной Мэттом Малленвегом. 9 сентября 2010 года Automattic передала товарный знак WordPress недавно созданному фонду WP, который является зонтичной организацией, поддерживающей всю систему управления сайтом (включая программное обеспечение и архивы для плагинов и тем), bbPress и BuddyPress.
Конференции разработчиков и пользователей WordCamp
WordCamps - это случайные, локально организованные конференции, охватывающие все, что связано с WordPress. Первым таким событием стало мероприятие в августе 2006 года в Сан-Франциско, которое длилось один день и которое посетило более 500 участников. Первый WordCamp за пределами США состоялся в Пекине в сентябре 2007 года. С тех пор такие конференции проводятся в более чем 207 городах в 48 разных странах мира. Таким образом, все пользователи WordPress, которые любят публичные выступления, могут зарегистрироваться и выступить на очередной сессии.
Поддержка
Основной сайт поддержки движка - WordPress.org. Он содержит как руководство и фактические уроки CMS WordPress, так и живой репозиторий для информации и документации. Известен и форум на этом ресурсе, который представляет собой активное онлайн-сообщество пользователей.