Недостатки wordpress

10 лет назад разработчики создали wordpress, и так как у нас каждый второй житель Земли любит делиться мыслями, вести блоги, то блоговый движок стал одним из самых популярных, и в 2013 году по статистики использования cms занял 1 место.

Ниже я перечислил недостатки, которые, по моему мнению, имеются в wordpress:

1. 20% из топ 50 популярных wordpress плагинов содержат уязвимости

В июне 2013 компания компания Checkmarx опубликовало доклад Состояние безопасности 50 топовых плагинов wordpress, где содержались результаты проверки наиболее популярных wordpress плагинов.

20% из 50 топовых плагинов, скаченные 8 млн раз, содержат уязвимости такие, как SQL инъекции, XSS, CSRF, подделка межсайтовых запросов, Path Traversal.

7 из 10 плагинов электронной коммерции, скаченные более 2 млн раз, содержат уязвимости SQLi, XSS, C SRF, RFI/ LFI и PT.

2. Как взломать wordpress сайт меньше, чем за 5 минут.

Как известно по умолчанию при установки wordpress идёт плагин антиспам Akisment. По сути Akisment слабо справляется, и от окончательного спама спасает только капча для комментариев. Было бы здорово, если бы по умолчанию находился плагин, устанавливающий лимиты на авторизацию, тк по мнению команды Security.net сайт на wordpress можно взломать меньше, чем за 5 минут. В феврале было опубликовано видео, где Security.net и Дре Армеда показали, как можно взломать сайт на wordpress с помощью утилиты wpscan за менее, чем 5 минут, а так же дали свои рекомендации по безопасности wordpress. С рекомендациями по защите wordpress сайта от хакерских атак вы можете ознакомиться в статье Защита сайтов на wordpress.

3. История о том, как пользователи обновили плагин и заразили свои сайты

Любой человек может загрузить свой плагин или шаблон на wordpress.org, а затем обновлять его сколько вздумается, хоть каждый день. Вебмастерам, которые имеют большое кол-во установленных плагинов можно только посочувствовать, они будут обновлять плагины целыми днями.

Команда security.net весной 2013 опубликовали статью на своём блоге, где рассказывали о случае, когда плагин Social Media Widget, скаченный почти 1 млн раз, с очередным обновлением внедрял вредоносный код и распространял СПАМ.

Мне кажется, что обновления плагинов или шаблонов чисто физически не могут проверяться и контролироваться automatic – создателями wordpress. Могу сказать, что существуют плагины, которые обновляются почти каждый день.

4. Перевод, который нужно ждать. Движок, который нужно всегда обновлять.

Единственным исключением является релиз версии 3.8, который был переведён заранее. В остальных релизах, перевод приходилось ждать 3-5 дня. Если вы используете другие проекты, так как bbpress форум или buddypress социальная сеть, то перевод на русский вам придётся ждать полгода или год и более, пока вы не переведёте сами. Те пользователи, которые переводили через Poedit по 1500 строк и более, знают, что перевод за 1-2 дня можно и не сделать, а понадобится большее кол-во времени. По этой причине, если вы используйте плагин buddypress на своём сайте с большой посещаемостью, то вам придётся перевести новую версию плагина заранее, а затем уже загрузить на свой сайт, то есть тратить своё время. Хорошо, если ваш сайт приносит прибыль, и трата времени будет не напрасна.

Все проекты wordpress, buddypress, bbpress создаются таким образом, что в дальнейшем всегда находятся уязвимости. Обновления проектов содержат исправление каких-либо багов, поэтому использование всех предыдущих релизов для крупных интернет-сайтов ненадёжно.

5. Шаблоны и плагины, которые лучше не использовать

Когда веб-мастер решил ознакомится с движком, он находит сайт ru.wordpress.org. Далее, что он видит? Только две полезные вкладки Форум и Документация в верхнем меню, которые реально могут пригодится. Но нет вкладок шаблоны и плагины, за то они есть на официальном английском сайте, то есть вы должны знать неплохо английский язык, чтобы спокойно перемещаться на сайте wordpress.org.

Предположим, вы не так хорошо знаете английский, то вы ищите в поисковике фразу wordpress шаблоны. По данному запросу выводятся сайты с шаблонами на русском, но с ссылками в футере в лучшем случае, а в худшем с вредным кодом. Вирус и вредный код вы обнаружите, когда ваш сайт будет взломан, поэтому весьма осторожно нужно отнестись к чужим темам и плагинам и всегда проверять их. Платные плагины и шаблона тоже уязвимы.

Не каждый пользователь знает, что шаблон можно перевести самостоятельно, примерно, за 15 минут с помощью плагина codestyling localization, который переводит 90% всех тем. Подробнее смотрите в статье Три способа перевода wordpress шаблонов на русский язык. Эту информацию вы не найдёте на форуме или в разделе документации, которая рассчитана на англоязычного пользователя. И как вы поняли, что в Документации содержится лишь малая часть информация, которая бы пригодилась русскоязычному пользователю. Не нравится – читайте и переводите сами на официальном сайте.

wordpress

Итоги:

WordPress — это почти 20% всех сайтов в мире. С такой популярностью сложно не иметь претензий со стороны пользователей и разработчиков. К. Ковшенин.

Причина по которой люди используют cms, в том, что они не могут написать свою. Не потому, что они не хотят, просто нет хороший знаний php, как языка программирования.
Wordpress не плохой блоговый движок, на нём можно сделать небольшой магазин или даже социальную сеть, форум. Сложно говорить о том, что wordpress  – это универсальный движок, тк для некоторых задач использование wordpress превращается в сплошную головную боль. Существуют другие движки, такие же open sourse, более приветливые и функциональные. Никто не говорит, что wordpress нельзя использовать, и данная статья напугает пользователя в выборе cms. Нет, я считаю, что данная статья лишь поможет пользователю, он будет знать о недостатков, которые реально есть и большая часть существует из за нерешённых организационных вопросов.