CMS WordPress безкоштовна система управління сайтом: шаблони

CMS WordPress – це безкоштовна система управління контентом з відкритим вихідним кодом на основі PHP і MySQL. Особливості її включають в себе архітектуру плагінів і систему шаблонів. Ця платформа найбільше пов’язана з блогами, але вона підтримує і інші типи веб-контенту, включаючи більш традиційні списки розсилок та форуми, медіа-галереї та інтернет-магазини. «Вордпресс» використовується більш ніж на 60 мільйонах сайтів, у тому числі на 30,6 % з кращих 10 мільйонів веб-ресурсів станом на квітень 2018 року. WordPress – найпопулярніша в світі система керування сайтом. Цей движок також використовувався для інших областей додатків, таких як широкомовні системи відображення (PDS).

Що таке «Вордпресс»?

WordPress вперше був випущений 27 травня 2003 року Меттом Малленвегом і Майком Литтлом в якості основи b2/cafelog. Програмне забезпечення було випущено під ліцензією GPLv2 (або пізнішої версії). Щоб функціонувати, WordPress повинен бути встановлений на веб-сервері, будь то частина служби інтернет-хостингу або комп’ютер в якості мережного вузла. Локальний комп’ютер також може використовуватися для однокористувацького тестування і навчання.

Як це працює?

Що таке «Вордпресс» з технічної точки зору? WordPress має власну систему шаблонів з використанням процесора. Його архітектура є фронт-контролером, маршрутизирующим всі запити на нестатические URI один файл PHP, який аналізує URI і ідентифікує цільову сторінку. Це дозволяє підтримувати більш зручні для читання константи.

Теми

Користувачі CMS WordPress можуть встановлювати і перемикатися між різними темами. Вони дозволяють змінювати зовнішній вигляд і функціональність сайту без зміни основного коду або вмісту. На кожному сайті потрібно принаймні одна тема, і кожна з них повинна бути розроблена з використанням стандартів WordPress зі структурованим PHP, допустимим HTML (HyperText Markup Language) та каскадними таблицями стилів (CSS).

Теми або шаблони CMS WordPress можуть бути безпосередньо встановлені за допомогою інструменту адміністрування «Зовнішній вигляд», розташованого на панелі керування. Крім того, папки з ними можуть бути скопійовані в каталог (наприклад, через FTP). Коди PHP, HTML і CSS, що містяться в темах, що можуть бути безпосередньо змінені для їх зміни. Крім того, будь-яка тема може бути дочірньою, тобто наступній налаштування з іншого.

Теми CMS WordPress зазвичай поділяються на дві категорії: безкоштовні і преміальні. Перші перераховані у відповідному каталозі движка, а варіанти преміум-класу доступні для покупки від окремих розробників. Користувачі WordPress також можуть створювати і розробляти свої власні теми.

Плагіни

Плагиновая архітектура WordPress дозволяє користувачам розширювати можливості і функції сайту або блогу. Станом на березень 2017 року WordPress мав більше 55 286 плагінів, кожен з яких пропонує різні функції і можливості, що дозволяють користувачам адаптувати сайти до конкретних потреб. Ці налаштування варіюються від пошукової оптимізації до клієнтських порталів, що використовуються для відображення особистої інформації. Завдяки їх використання стало можливим створення інтернет-магазинів на CMS WordPress, наприклад.

Не всі доступні плагіни мінливі оновлення движка, в результаті вони можуть не працювати належним чином або взагалі не запускатися. Більшість розширень додаються в «Вордпресс» або шляхом їх завантаження, або за допомогою установки файлів вручну через FTP або панель інструментів.

Сторонні розробники пропонують плагіни CMS WordPress, велика частина яких є платними пакетами. Веб-розробникам, які хочуть створювати такі розширення, необхідно вивчити систему WordPress і всі її принципи.

Мобільні телефони

Існують власні програми по роботі в «Вордпресс» для WebOS, Android, iOS (iPhone, iPod Touch, iPad, Windows Phone, BlackBerry. Всі вони розроблені Automattic і мають такі можливості, як додавання нових повідомлень і сторінок в блогах, коментування, модерування коментарів, відповідь на коментарі у доповнення до можливості перегляду статистики.

Інші особливості

CMS WordPress також підтримує інтегроване управління посиланнями, пошукову систему, чисту структуру постійної посилання і можливість присвоєння декільком категоріям повідомлень. Також в движок за замовчуванням включені автоматичні фільтри, що забезпечують стандартизоване форматування і стилирование тексту в повідомленнях (наприклад, перетворення звичайних котирувань в смарт-лапки).

WordPress також підтримує стандарти Trackback і Pingback для відображення посилань на інші сайти, які самі пов’язані із записом або статтею. Повідомлення «Вордпресс» можна редагувати HTML, використовуючи візуальний редактор або один з декількох доступних плагінів, які дозволяють використовувати різні настроювані функції редагування.

Багатокористувацький режим

До версії 3 WordPress підтримував один блог для кожної установки, хоча кілька паралельних копій могли запускатися з різних каталогів, якщо вони налаштовані на використання окремих таблиць бази даних. WordPress Multisites (раніше званий Multi-User, MU або WPMU) був дистрибутивом, створеним для забезпечення можливості існування декількох сайтів в рамках однієї установки, які можуть управлятися централізованим супроводом. Ця версія дозволяє розміщувати свої власні блоги, а також контролювати і модерувати їх з єдиної панелі. WordPress MS додає вісім нових таблиць даних для кожного блогу.

Уразливості

Багато проблем з безпекою були виявлені у програмному забезпеченні в різний час, особливо у 2007, 2008 і 2015 роках. Згідно з аналітичними даними, «Вордпресс» у квітні 2009 року мав сім неусунутих вразливостей (з 32 загальновідомих). Особливо це стосувалося сайтів на безкоштовному хостингу з CMS WordPress.

Крім того, в січні 2007 року багато високопрофільні блоги, розкручені за допомогою пошукової оптимізації (SEO), а також запущені з участю AdSense, були прицільно атаковані. Окрема уразливість на одному з серверів дозволила зловмиснику впровадити відкритий код для деяких завантажень WordPress 2.1.1. В наступної версії движка ця проблема була вирішена, і розробник рекомендував всім користувачам негайно оновитися.

У травні 2007 року дослідження показало, що 98 % блогів WordPress, які були запущені кількома роками раніше, були малопридатними для використання, оскільки вони використовували застарілі і підтримуються версії програмного забезпечення. Щоб усунути цю проблему, розробники зробили оновлення набагато простіше – «одним натисканням» автоматизованого процесу, починаючи з версії 2.7 (випущеної в грудні 2008 року). Тим не менш параметри безпеки файлової системи, необхідні для включення процесу оновлення, можуть нести додаткові ризики в плані безпеки.

В червні 2013 року було виявлено, що деякі з 50 найбільш завантажуваних плагінів WordPress були уразливі для звичайних веб-атак, таких як SQL-впровадження та XSS. Окрема перевірка 10 найкращих додатків для електронної торгівлі показала, що сім з них були небезпечними. У прагненні підвищити надійність і спростити процес оновлення WordPress 3.7 були введені автоматичні оновлення фону.

Окремі установки «Вордпресс» можуть бути захищені плагінами безпеки, які запобігають відображення даних користувачів, приховують ресурси і перешкоджають зависання. Користувачі також можуть захищати свої установки движка, роблячи такі кроки, як оновлення всіх версій самого движка, тем і плагінів, використання тільки довірених додатків, редагування файлу .htaccess сайту для запобігання безлічі типів атак і блокування несанкціонованого доступу до конфіденційних файлів. Сучасні керівництва включають в себе різні кроки, у тому числі, і вчинення дій, спрямованих на те, як приховати CMS WordPress, щоб тип рушія було неможливо визначити.

Особливо важливо оновлювати плагіни WordPress, тому що потенційні хакери можуть легко перерахувати всі розширення, які використовує сайт, а потім запустити сканування для пошуку будь-яких вразливостей проти них. Якщо такі виявлені, вони можуть бути використані для завантаження зловмисниками своїх власних файлів (наприклад, PHP скрипта-оболонки), які збирають конфіденційну інформацію.

Розробники можуть також використовувати інструменти для аналізу потенційних прогалин, у тому числі WPScan, WordPress Auditor і Sploit Framework, розроблені 0pc0deFR. Ці типи інструментів досліджують відомі уразливості, такі як CSRF, LFI, RFI, XSS, SQL-впровадження і так далі. Однак не всі прогалини можуть бути виявлені інструментами, тому рекомендується перевіряти код плагінів, тим і інших надбудов від інших розробників.

У березні 2015 року багато експертів з безпеки і пошуковим системам повідомили, що SEO плагін для WordPress під назвою Yoast, який використовується більш ніж 14 мільйонами користувачів у всьому світі, має вразливість, яка може призвести до зламування, при якому хакери можуть робити сліпі SQL-впровадження. Щоб виправити цю проблему, розробники відразу ж впровадили нову версію 1.7.4 того ж розширення, щоб уникнути будь-яких перешкод в мережі із-за збою в безпеці.

У січні 2017 року експерти виявили уразливість в API-інтерфейсу WordPress REST, яка дозволила б будь-який не пройшов перевірку автентичності користувачеві змінювати яку-небудь електронну пошту або сторінку на сайті з WordPress 4.7 або вище. Після повідомлення про це розробників движка протягом шести днів був випущений высокоприоритетный патч до версії 4.7.2, який усунув проблему.

Розвиток платформи

Мінімальна вимога до версії PHP для WordPress – це PHP 5.2, випущений 6 січня 2006 року, який при цьому не отримав жодних виправлень безпеки з 6 січня 2011 року. У відсутність конкретних змін в коді форматування за замовчуванням на сайти на WordPress використовується елемент canvas, що дозволяє визначити, чи здатний браузер правильно відображати emoji.

WordPress також розробляється спільнотою активних користувачів, включаючи групу добровольців, які тестують кожен випуск. У них є ранній доступ до нових збірок, бета-версій і кандидатам на випуск. Помилки реєструються в спеціальному списку розсилки або на інструменті проекту Trac.

Незважаючи на те що WordPress був значною мірою розвинений спільнотою користувачів, він як і раніше тісно пов’язаний з Automattic – компанією, заснованою Меттом Малленвегом. 9 вересня 2010 року Automattic передала товарний знак WordPress нещодавно створеному фонду WP, який є зонтичної організацією, що підтримує всю систему управління сайтом (включаючи програмне забезпечення та архіви для плагінів і тем), bbPress і BuddyPress.

Конференції розробників та користувачів WordCamp

WordCamps – це випадкові, локально організовані конференції, що охоплюють все, що пов’язано з WordPress. Першою такою подією стало захід у серпні 2006 року в Сан-Франциско, яке тривало один день і яке відвідало понад 500 учасників. Перший WordCamp за межами США відбувся в Пекіні у вересні 2007 року. З тих пір такі конференції проводяться в більш ніж 207 містах 48 різних країнах світу. Таким чином, всі користувачі WordPress, які люблять публічні виступи, можуть зареєструватися і виступити на черговій сесії.

Підтримка

Основний сайт підтримки движка – WordPress.org. Він містить як керівництво і фактичні уроки CMS WordPress, так і живої репозиторій для інформації і документації. Відомий і форум на цьому ресурсі, який представляє собою активну онлайн-спільнота користувачів.