WordPress kritiskie aspekti: izstrādātāja skatījums

Arvien vairāk izstrādātāju beidzot izmanto tādu CMS kā WordPress, lai gan viņiem nepatīk šī platforma.

Prasmīgi izstrādātāji bieži dod priekšroku pielāgotu risinājumu izmantošanai, it īpaši, ja esat izstrādātājs, kuram ļoti labi padodas kodēšana. Izmantojot pielāgotu risinājumu, varat izveidot ļoti elegantas lietojumprogrammas, kas darbojas ļoti labi. Tomēr izstrādātāji galu galā izmanto tādu CMS kā WordPress, pat ja viņiem šī platforma ļoti nepatīk.

Šis raksts ir paredzēts šiem izstrādātājiem, un tajā ir apskatītas daudzas problēmas, kas radušās, strādājot ar WordPress (WP). Mēs paskaidrosim, kas ir šīs grūtības, kā arī sniegsim ieteikumu: Plesk palīdzība, kas nodrošina WP rīku komplektu, kas patiešām palīdz ņemt vērā dažas no vissvarīgākajām pasaulē vismīļākajām CMS: WordPress.

Kāpēc izstrādātāji izmanto WordPress

Nekļūdieties, WordPress ir vispopulārākā CMS tirgū ļoti labu iemeslu dēļ. Šajā sadaļā mēs aprakstām, kāpēc CMS ir tik populāra pat pieredzējušu izstrādātāju vidū, kuri faktiski var rakstīt savu kodu.

Pirmkārt, WordPress ir ļoti viegli instalēt. Viss, kas Jums nepieciešams, ir standarta LAMP/LEMP vide – Linux, Apache/Nginx, PHP un MySQL/MariaDB kā DBVS. Ja jums tas ir, varat sākt instalēt WordPress.

Pielāgošana ir tikpat vienkārša, jo WP CMS ir aprīkots ar milzīgu papildinājumu klāstu, tostarp motīviem, lai pielāgotu priekšgala izskatu un darbību, un spraudņiem, kas papildina funkcionalitāti. Ir iespējams arī izveidot savu motīvu, un pieredzējuši izstrādātāji var izveidot arī savus spraudņus, taču šis process ir sarežģītāks.

Iespējams, lielākais WordPress popularitātes iemesls, protams, ir fakts, ka tas ir pieejams lietotājiem, kas nav tehniski. Kad WP ir instalēta, nav nepieciešama kodēšanas pieredze vai programmatūras izpratne, lai tā darbotos labi, iesācēji lietotāji var publicēt vietni un iestatīt WordPress gadījumu tūlīt pēc darba.

Kāda tieši ir WordPress problēma?

Pasaulē populārākajai SPS ir daudz problēmu, kas jāapsver. Mēs nedomājam sacelt traci par WordPress problēmām, taču šī ir atklāta diskusija, un mēs ceram, ka šīs neticami populārās SPS izstrādes komanda turpmākos punktus uztvers kā pozitīvu kritiku. Lūk, kāpēc mēs domājam, ka WordPress izstrādātājiem ir nomākta:

Plaši spējīgs, bet nekad izcils

WordPress sākums bija vienkāršs. WP radās, lai būtu platforma tiem, kas vēlējās rakstīt un publicēt emuāru. CMS gadu gaitā ir pilnībā mainījusies, un tagad tā nav līdzīga tās pazemīgajam sākumam. Daži cilvēki to izmanto kā pamatsistēmu, lai pārvaldītu visu vietni, kā platformu tiešsaistes veikaliem un pat kā veidu, kā ģenerēt statiskas vietnes (neprātīgi, bet mēs to esam redzējuši arī gadu gaitā).

Tas parāda, cik pielāgojama ir SPS, un mēs piekrītam šim apgalvojumam, taču problēma, kas ir tik elastīga, ir tāda, ka kļūst grūti izcelties jebkurā atsevišķā lomā. Viens no veidiem, kā to saprast, ir ieskatīties spraudņa objektīvā: tūkstošiem pieejamo WordPress spraudņu parāda, kā cilvēki mēģina piespiest WordPress kļūt par kaut ko tādu, kas tā vienkārši nav, vai vēl ļaunāk, darīt kaut ko tādu, ko tas nespēj izdarīt, vai, ja izdodas, tas to dara slikti. Šī iemesla dēļ, kad mēs lietojam WordPress un lietojam to bieži un labprāt, mēs nekad neielādējam to ar spraudņiem, kas nav noteikti nepieciešami. Tajā brīdī mēs labprātāk tos darām paši.

Skaidrs, ka WordPress ir paredzēts šai "pašizveidotajai" pieejai, un elastībai, bez šaubām, ir daudz priekšrocību. Taču bez lielas koncentrēšanās uz konkrētu uzdevumu CMS daudz pūlas, lai piedāvātu skaidru risinājumu. Šī koncentrēšanās uz centieniem būt viss ikvienam rada milzīgas problēmas. Tomēr mums tas ir jānorāda: WordPress joprojām labi darbojas kā platforma emuāru un nesarežģītu vietņu un e-komercijas vietņu veidošanai.

Uzlauzumi un plaisas: WordPress var būt atvērtas durvis

Īsāk sakot, WordPress tiek uzlauzts visu diennakti, un tā ir lielākā sūdzība, ko esam dzirdējuši no izstrādātāju pasaules. To nevar noliegt, CMS ir pilna ar drošības caurumiem, tā nekad nebeidzas. Tas ir kā īsa sega: jūs to noregulējat no vienas puses, un tā atsedzas no otras puses. Daļēji uzlaušanas gadījumu skaits ir saistīts ar WordPress popularitāti, kā arī tāpēc, ka WordPress ir atvērtā pirmkoda.

Tā kā CMS atvērtā pirmkoda kodu var skatīt ikviens, tas ļauj hakeriem atrast koda nepilnības. Mēs negribam teikt, ka atvērtā pirmkoda kods ir slikta pieeja, taču mēs domājam, ka WordPress CMS atvērtā pirmkoda būtība veicina tās nebeidzamās drošības problēmas.

Analīze liecina, ka WordPress vietnes veido vairāk nekā ceturto daļu interneta. WordPress komanda to zina un cenšas darīt visu iespējamo, lai pārliecinātos, ka SPS ir droša, taču, tā kā izstrādes cikli mūsdienās ir tik ātri, var būt grūti pilnībā nodrošināt sarežģītu lietojumprogrammu. Un, ja drošības pasākumi neizdodas, miljoniem vietņu var tikt apdraudēta.

Mums nav acīmredzama risinājuma WordPress drošības izaicinājumiem, izņemot, protams, acīmredzamo “atjauniniet savu WordPress instanci”. Pat tad WordPress izlaišanas cikls rada unikālas un bezgalīgas problēmas.

Daudzi cilvēki saka, ka rūpēties par WordPress drošību ir vienkārši, un tas lielā mērā ir taisnība, taču rodas jautājums, kāpēc vietņu īpašniekiem būtu jāveido uzdevumu saraksts, lai pārliecinātos, ka WordPress ir drošs? Kāpēc šī WordPress drošības daļa nav pieejama?

• Kāds var viegli augšupielādēt izpildāmo failu pakalpojumā WordPress, un šī opcija pēc noklusējuma ir jāierobežo. Ir nepieciešams tikai nedaudz gudrs cilvēks, lai PHP skriptā augšupielādētu failu ar ļaunprātīgu kodu, un jūsu vietne tiek apdraudēta.
• Pašlaik opcijas var konfigurēt failu sistēmā. Tā vietā WordPress vajadzētu to noņemt un pieņemt, ka failu sistēma ir “tikai lasāma”. Lai gan WordPress kodols to dara, spraudņi neievēro šo uzvedības modeli. Ja saskaraties ar spraudni, kas maina konfigurācijas failu, kamēr tas tiek aktīvi ražots, pārtrauciet tā lietošanu. Šāda rīcība norāda uz rakstāmu failu sistēmu un līdz ar to vienkāršu veidu, kā veikt ļaunprātīgas izmaiņas. Viens no risinājumiem ir noņemt failu wp-config.php no sistēmas saknes (WordPress darbojas tik un tā), taču tas negarantē pilnīgu drošību un jebkurā gadījumā neļauj pareizi darboties daudziem spraudņiem, kurus neapzināti izstrādātāji ir uzrakstījuši ar rokām.
• Pēc noklusējuma WordPress ļauj lietotājiem veikt tik daudz pieteikšanās mēģinājumu, cik viņi vēlas. Tas paver durvis brutāla spēka uzbrukumam, kurā hakeri turpina izmēģināt nejaušas paroles, līdz pieteikšanās ir veiksmīga. WordPress CMS instalēšanas laikā ir jāatspējo neierobežoti pieteikšanās mēģinājumi.

Šis nav pilnīgs saraksts, tie ir tikai daži punkti. Acīmredzot liels programmatūras risinājums, īpaši atvērtā pirmkoda risinājums, nevar būt pilnībā neaizsargāts pret uzbrukumu. Taču mūsu viedoklis ir tāds, ka nopietni izstrādātāji nelabprāt izmanto WordPress tieši tāpēc, ka tas ir tik neaizsargāts. Prasmīgi izstrādātāji vēlētos izveidot pavisam jaunu lietojumprogrammu, kas eleganti atbilst viņu vajadzībām un ko var stingri aizsargāt, neuztraucoties par nezināmām nākotnes ievainojamībām.

Vai arī, pēc iespējas labāk izmantojot PLESK iestatījumus un neielādējot WordPress ar “nav ieteicams” ​​vai vēl ļaunāk “bezmaksas” vai vēl ļaunāk slikti uzrakstītiem spraudņiem (lai varētu spriest par to, ir nepieciešama pieredze šajā jomā), jūs joprojām varat padarīt WordPress par lielisku platformu arī drošības ziņā. Bet tā vairs nav "dari pats" vadība, vajadzīga eksperta roka.

Spraudņi kā problēmu avots

Labs izstrādātājs neizmanto spraudni pirmajā iestrēgšanas reizē. Tā vietā labi izstrādātāji cenšas izveidot vienkāršu un elegantu risinājumu. Gluži pretēji, vienmēr paļauties uz spraudņiem, meklējot tos internetā vai paļaujoties uz kopienas ieteiktajiem, ir ļoti nepareizs domāšanas veids.

Galu galā spraudnis atvieglo konkrētu funkciju pievienošanu WordPress, kas padara WP pieejamo spraudņu plašo klāstu par SPS priekšrocību, taču tas ir arī risks. Lai arī spraudņi var padarīt lietas vieglākas un ātrākas, spraudņi ir saistīti arī ar daudziem drošības riskiem un vienlaikus liek jums izvēlēties WP versiju, kuru varat izmantot, un vienlaikus palielināt savu WordPress instanci, pārsniedzot jebkādus ilgtspējīgus pasākumus, anulējot vai mazinot jūsu tiešsaistes klātbūtni, vietnes atvēršanas ātrumu un tādējādi arī sasniedzamību un līdz ar to pareizu indeksēšanu meklētājprogrammās.

Spraudņi un drošība

Vispirms apskatīsim drošības problēmas, ko rada spraudņi. Viens ziņojums liecina, ka vairāk nekā puse no zināmajām WordPress drošības problēmām izriet no spraudņiem. Izstrādātāji ir pakļauti jebkurai labajai praksei, ko ievēro spraudņu veidotājs, kas var nebūt tik laba. Tāpēc kā izstrādātājam pirms spraudņa izmantošanas tas rūpīgi jāpārbauda. Zināmā mērā šis pārbaudes process var novērst laiku, ko ietaupāt ar spraudņiem, tāpēc jūs varētu arī apsvērt iespēju no jauna izstrādāt vietnei nepieciešamo funkciju.

Ierobežojumi WP versijām

Spraudņi, kas pazīstami kā “versijas ierobežojumi”, var ierobežot, kuru WP CMS versiju varat palaist. Tagad WordPress ir ļoti agresīvs ar savu izlaišanas ciklu, tāpēc tas regulāri izlaiž jaunu atjauninājumu, un patiesībā bieži gadās, ka platforma jebkurā mēnesī izlaiž vairākas nelielas versijas vai ielāpus. Tas ir saprotams, jo WP komanda nemitīgi fiksē uzbrukuma vektorus. Tomēr visiem šiem atjauninājumiem ir problēma: WP atjauninājums var sabojāt spraudni, izraisot vietnes darbības pārtraukšanu vai avāriju.

Protams, jums ir jāatjaunina SPS, taču spraudņu noteiktie versiju ierobežojumi var apgrūtināt šo darbu. Daži spraudņu izstrādātāji vienmēr testē un atjaunina savus spraudņus, taču šī mazā "pasaule" premium spraudņi tas nepārstāv vairākumu. Ārpus šiem premium spraudņiem pastāv reāls risks, ka WP versijas jauninājums var burtiski sabojāt vietni.

Spraudņa uzpūšanās

Pieņemsim, ka lielākā daļa izstrādātāju zina, ka ir svarīgi veidot vienkāršus projektus, kuros netiek izmantots lieks kods. Tagad daži spraudņi atbilst šim principam, taču daudzi spraudņi ir ļoti uzpūsti, jo šie spraudņi mēģina atrisināt visas lietotāja problēmas. Izstrādātājs bieži konstatē, ka spraudnis atrisina vienu problēmu, vienlaikus piedāvājot risinājumu piecdesmit citām problēmām, kas nav saistītas ar viņa vietni. (Nemaz nerunājot par tēmām un "celtniekiem").

Spraudņi pārtrauc jūsu WordPress darbplūsmu

Visbeidzot, vēl viena izplatīta problēma, ko rada daudzi spraudņi, ir tas, ka spraudnis var kavēt lietotāja pieredzi pakalpojumā WordPress, diemžēl tas ir atkarīgs no efekta uzpūst spraudņus no WordPress. Piemēram, spraudnis var pilnībā mainīt ziņas izveidi un izplatīšanu visā vietnē.

Tā rezultātā WP izstrādātāji ļoti bieži saskaras ar problēmu, jo viņiem šķiet, ka viņiem ir pārāk daudz jāstrādā ar spraudni, nevis vienkārši jāizmanto spraudnis. Neizbēgami izstrādātāji uzņemas šo spraudņu apiešanas procesu, jo šķiet, ka šis spraudnis atrisina procesa problēmu (kuras neizbēgami nav).

Tīmekļa arhitektūra ir attīstījusies

Mēs jau minējām, ka WordPress pastāv jau ilgu laiku. Kad tā tika izveidota, izstrādātāji pieņēma, ka vietne vienmēr izmantos vienu serveri līdzās vienai failu sistēmai. Tomēr izstrādātāji arvien vairāk izmanto tā saukto mikroservera arhitektūru, kas izmanto vairākus mezglus. Viņi to dara, jo šis darba veids ir mērogojamāks un elastīgāks. Taču WordPress izmantošana sarežģītā arhitektūrā var radīt problēmas, piemēram, gandrīz ekskluzīva FTP izmantošana WP CMS atjauninājumiem.

Mūsdienu izstrādātāji acīmredzot domā, ka koda atjaunināšana, izmantojot FTP, ir tikai arhaiska. Izstrādātāji parasti izmanto noteiktu darbplūsmu, lai iespējamās problēmas varētu apturēt, pirms kods sāk darboties. Tas nozīmē, ka izstrāde tiek veikta lokāli, kods tiek kontrolēts ar versiju, un kods tiek pārbaudīts arī automātiski – tas viss notiek nepārtrauktā integrācijas procesā. Tātad, vienkārši ielādējot jaunu kodu vidē, kurā darbojas īsas cilpas, kas nozīmē, ka pastāv liela varbūtība, ka lietas var noiet greizi.

Lielāks par ielāpu problēmu ir vienkārši pieņēmums, ka mēs strādājam ar vienu failu sistēmu vienā mezglā. Vairāku mezglu tīmekļa serveru kopa uzlabo gan aparatūras kļūmes, gan veiktspēju, tāpēc šī pieeja tiek pieņemta arvien vairāk. Tomēr WP ir šķērslis, jo motīva vai spraudņa atjauninājuma instalēšana, izmantojot FTP, nozīmē, ka vienlaikus var atjaunināt tikai vienu failu sistēmu. Tātad, izmantojot vairāku mezglu kopu, jums ir jāsaskaras ar šī atjauninājuma veikšanu katram mezglam.

Izstrādātāji var apiet šo problēmu, taču tā joprojām ir problēma, kuru nav viegli atrisināt. Turklāt procesam ir nepieciešams, lai failu sistēma būtu rakstāma, kas savukārt rada lielas drošības problēmas datu bāzei, kas ir WordPress pukstošā sirds.

Bāreņu dati un datu struktūra kopumā

Sākumā WordPress datu struktūra ir vienkārša. Tomēr drīz vien atklājas, ka WP datubāzē ir liekas tabulas. Piemēram, kāpēc metadati ir jāsadala divās tabulās: viena ar nosaukumu "wp_posts" un otra ar nosaukumu "wp_postmeta"? Vai nav labāk visus datus iekļaut vienā tabulā? Tas pats attiecas uz komentāru tabulu, kuras metadatiem ir otra saistīta tabula.

Rezultāts ir tāds, ka visā datu bāzē paliek papildu dati. Jā, WP ir iekļauti daži līdzekļi, kas palīdz samazināt bezsaimnieka datu ietekmi, taču funkcijas neizdodas, ja nepieciešams manipulēt ar tūkstošiem rindu skaitu. Būtībā WordPress funkcijas izraisa servera taimautu un atmiņas noplūdes, un tās vienkārši nav efektīvas.

Protams, varat izvēlēties vienkārši samazināt bāreņu datus, tieši rakstot SQL vaicājumus, lai to izdarītu. Bet jums ir rūpīgi jāsaprot, kā tabulas ir savienotas, lai jūs varētu rakstīt pareizos SQL vaicājumus. Datu atdalīšanas pakāpe WordPress datu bāzē vienkārši izrādās lieka.

Ko dara Plesk Toolkit for WordPress, lai uzlabotu lietas

Plesk WordPress rīkkopa ir vienkāršs veids, kā iestatīt un pielāgot WordPress gadījumu, izmantojot vienu vadības paneli. Varat to izmantot tik ilgi, kamēr tas ir instalēts jūsu vietnē. Šeit ir dažas jomas, kurās WordPress rīkkopa palīdz rūpēties par WP:

Drošības vadība

Izmantojot rīku komplektu, jūs varat automātiski aizvērt acīmredzamākos drošības caurumus. Piemēram, varat pārslēgt XML uz RPC ping atpakaļ, pārliecināties, vai mape “wp-content” ir droša un daudz ko citu. Rīku komplekts parāda jūsu vietnes drošības statusu un atzīmē problēmas ar “bīstamību” vai “brīdinājumu”, kas ir ieteikums drošības uzlabošanai.

WP instances atjaunināšana

Pieejams kā papildinājuma līdzeklis rīkkopā 3.x un jaunākās versijās, viedie atjauninājumi ļauj uzturēt ražošanas vietni un vienlaikus to atjaunināt, neriskējot uzlauzt vietni. Rīks pārbauda problēmas, kas var rasties atjaunināšanas dēļ, un pateiks, vai pastāv kāds risks.

Klonazione

Ir daudz iemeslu, kāpēc jūs varētu vēlēties izveidot savas WordPress vietnes kopiju. Piemēram, jums varētu būt izveidošanas vietne, kurā varat pārbaudīt izmaiņas pirms tiešraides. Kad tas ir gatavs, vēlaties kopēt vietnes saturu.

Vai arī jums ir publiska vietne un vēlaties izveidot tās kopiju, kurai nevēlaties, lai sabiedrība varētu piekļūt. Vēl viens piemērs ir profesionāli izstrādātāji, kuriem ir WordPress instalācijas modeļa kopija un kuri vienkārši vēlas to automātiski klonēt, tostarp motīvus un spraudņus.

Mums ir arī klienti, kuri dažādu iemeslu dēļ vienkārši vēlas izveidot dažas vietnes kopijas, piemēram, lai parādītu, kā vietne var izskatīties savādāk ar dažām izmaiņām.

Neatkarīgi no jūsu iemesla, klonēšanas rīks WordPress rīkkopā ļauj viegli kopēt visu, tostarp vietnes failus, vietņu datu bāzi un visus WP CMS iestatījumus.

Sinhronizācija

Dažādu iemeslu dēļ, iespējams, vēlēsities pārliecināties, vai divas WordPress vietnes atbilst. WP Toolkit ļauj automātiski sinhronizēt gan WP datu bāzi, gan visus WP failus.

Ja jums ir savas vietnes iestudējuma kopija, kamēr jūsu publiskā kopija darbojas citur, iespējams, vēlēsities sinhronizēt vietnes, jo vēlaties kopēt izlaiduma vietnē veiktās izmaiņas WP tiešraides vietnē.

Tāpat, iespējams, vēlēsities kopēt dažus datus no ražošanas vietas savā instalācijas instancē, lai varētu pārbaudīt, vai izlaiduma versijā veiktās izmaiņas atbilst tiešraides datiem. Vai arī izmaiņas, ko veicāt savā izlaiduma vietnē, izraisīja izmaiņas jūsu datu bāzes tabulās. Šādā gadījumā rīkkopa ļauj sinhronizēt šīs izmaiņas ar datu bāzi tikai tad, ja vēlaties.

Vēl viens WP rīkkopas sinhronizācijas funkcijas izmantošanas gadījums ir tas, ka izstrādātājs ir atjauninājis iestudējuma vietni uz WordPress mazumtirdzniecības versiju un vēlas atspoguļot izmaiņas tiešā vietnē.

Jums ir iespēja sinhronizēt visu WP CMS vai tikai dažas tās daļas. Tātad jūs varat atspoguļot savus WP failus, tā datu bāzi vai abus. Piedāvājumā ir arī papildu precizitāte, jo varat izvēlēties, vai sinhronizēt visu datubāzi vai tikai tabulas, vai pat tabulas, kas ir avotā, bet nav galamērķī. Ir iespējams arī atspoguļot atsevišķas tabulas.

Kļūdu medības WP

Plesk WordPress rīkkopa arī ļauj izstrādātājiem automātiski noteikt un labot vietnes avota kļūdas, iespējojot tās atkļūdošanas režīmu.

Secinājums.

Pēc visa iepriekš minētā ir skaidrs, ka kļūst ārkārtīgi svarīgi izvēlēties ne tikai izstrādātāju, ar kuru sadarboties, vai aģentūru, kas var jums sekot, bet galvenokārt mitināšanu, kurā mitināt jūsu vietni pakalpojumā WordPress. Pat no šīm lietām mēs saprotam, ko nozīmē profesionāla hostinga vietne vai nē.

WordPress nav viegli apstrādājams “objekts”. Protams, jūs jūtaties brīvi, jūs domājat, ka jums nav vajadzīgs izstrādātājs vai neesat piesaistīts aģentūrai, jūs domājat, ka ir brīnišķīgi, ka varat to izdarīt pats, taču patiesībā patiesība saka ko citu, un šodien drošība ir tēma, kas ir vairs nav sekundāra, bet primāra arī saistībā ar saistībām un atbildību pret trešajām personām.