WordPressi kriitilised aspektid: arendaja vaade

Üha enam arendajaid kasutab CMS-i nagu WordPress, isegi kui neile see platvorm ei meeldi.

Kogenud arendajad eelistavad sageli kasutada kohandatud lahendusi, eriti kui olete programmeerimises väga hea arendaja. Kohandatud lahendusega saate luua väga elegantseid rakendusi, mis töötavad väga hästi. Kuid arendajad kasutavad CMS-i nagu WordPress, isegi kui neile see platvorm väga ei meeldi.

See artikkel on suunatud neile arendajatele ja käsitleb paljusid WordPressiga (WP) töötamisel tekkinud väljakutseid. Selgitame, mis need raskused on, ja anname ka soovituse: Pleski abi, mis pakub WP tööriistakomplekti, mis aitab tõesti arvesse võtta maailma kõige armastatuima CMS-i: WordPressi peamisi kriitilisi aspekte.

Miks arendajad WordPressi kasutavad

Ärge tehke viga, WordPress on kõige populaarsem CMS turul väga mõjuvatel põhjustel. Selles jaotises kirjeldame, miks CMS on nii populaarne isegi kogenud arendajate seas, kes saavad tegelikult ise koodi kirjutada.

Esiteks on WordPressi installimine ülilihtne. Kõik, mida vajate, on standardne LAMP/LEMP keskkond – Linux, Apache/Nginx, PHP ja MySQL/MariaDB DBMS-ina. Kui teil on see olemas, võite alustada WordPressi installimist.

Kohandamine on sama lihtne, sest WP CMS-iga on kaasas suur valik lisandmooduleid, sealhulgas teemasid esiosa välimuse ja tunde kohandamiseks ning funktsioone lisavad pistikprogrammid. Samuti on võimalik luua oma teema ja kogenud arendajad saavad ka ise pluginaid teha, kuid see protsess on keerulisem.

Võib-olla on WordPressi populaarsuse suurim põhjus muidugi asjaolu, et see on juurdepääsetav mittetehnilistele kasutajatele. Kui WP on installitud, ei nõua hästi toimimiseks kodeerimiskogemust ega tarkvara mõistmist, saavad algajad kasutajad avaldada veebisaidi ja seadistada WordPressi eksemplari kohe pärast tööd.

Mis täpselt on WordPressi probleem?

Maailma populaarseimal CMS-il on palju probleeme, millega arvestada. Me ei kavatse WordPressi probleemidest lärmi ajada, kuid järgnev on avameelne arutelu ja loodame, et selle uskumatult populaarse CMS-i arendusmeeskond võtab järgmisi punkte positiivse kriitikana. Siin on põhjus, miks me arvame, et WordPress on arendajatele pettumust valmistav:

Laialdaselt võimekas, kuid mitte kunagi suurepärane

WordPressi algus oli lihtne. WP sündis selleks, et olla platvorm neile, kes soovisid ajaveebi kirjutada ja avaldada. CMS on aastate jooksul täielikult muutunud ja nüüd ei sarnane selle tagasihoidlikule algusele. Mõned inimesed kasutavad seda põhisüsteemina terve saidi haldamiseks, veebipoodide platvormina ja isegi staatiliste saitide loomise viisina (hull, aga oleme seda ka aastate jooksul näinud)

See tõstab omamoodi esile, kui kohanemisvõimeline on CMS ja me nõustume selle väitega, kuid nii paindlikkuse probleem seisneb selles, et üheski rollis on raske silma paista. Üks viis selle mõistmiseks on vaadata läbi pistikprogrammide objektiivi: tuhanded saadaolevad WordPressi pistikprogrammid näitavad, kuidas inimesed püüavad sundida WordPressi olema millekski, mida ta lihtsalt ei ole või mis veelgi hullem, tegema midagi, mida ta ei ole võimeline tegema, või kui suudab, siis teeb see seda halvasti. Sel põhjusel, kui me kasutame WordPressi ja kasutame seda sageli ja meelsasti, ei laadi me seda kunagi pistikprogrammidega, mis pole tingimata vajalikud. Sel hetkel eelistame neid ise teha.

On selge, et WordPress on loodud selle "isetehtud" lähenemisviisi jaoks ja ilmselgelt on paindlikkus kahtlemata palju eeliseid. Kuid ilma kindlale ülesandele keskendumiseta näeb CMS palju vaeva, et pakkuda selget lahendust. See keskendumine püüdele olla kõigile kõike põhjustab suuri probleeme. Peame aga sellele tähelepanu juhtima: WordPress töötab endiselt hästi platvormina ajaveebide ja mittekeerukate veebisaitide ning e-kaubanduse saitide koostamiseks.

Häkid ja praod: WordPress võib olla avatud uks

Lühidalt öeldes häkitakse WordPressi ööpäevaringselt ja see on suurim kaebus, mida oleme arendajamaailmalt kuulnud. Ei saa salata, CMS on täis turvaauke, see ei lõpe kunagi. See on nagu lühike tekk: sa reguleerid seda ühelt poolt ja see avaneb teiselt poolt. Osaliselt on häkkimiste arv tingitud WordPressi populaarsusest, aga ka sellest, et WordPress on avatud lähtekoodiga.

Kuna igaüks saab vaadata CMS-i avatud lähtekoodiga koodi, võimaldab see häkkeritel leida koodi nõrkusi. Me ei taha öelda, et avatud lähtekoodiga kood on halb lähenemisviis, kuid arvame, et WordPressi CMS-i avatud lähtekoodiga olemus aitab kaasa selle lõpututele turvaprobleemidele.

Analüüs näitab, et WordPressi saidid moodustavad enam kui veerandi Internetist. WordPressi meeskond teab seda ja püüab teha kõik endast oleneva, et tagada CMS-i turvalisus, kuid kuna arendustsüklid on tänapäeval nii kiired, võib keeruka rakenduse täielik turvamine olla keeruline. Ja kui turvaalased jõupingutused ebaõnnestuvad, võivad miljonid veebisaidid olla ohus.

Meil pole WordPressi turvaprobleemidele muud ilmset lahendust kui loomulikult ilmselge "värskenda oma WordPressi eksemplari". Isegi siis toob WordPressi väljalasketsükkel endaga kaasa ainulaadseid ja lõputuid probleeme.

Paljud inimesed ütlevad, et WordPressi turvalisuse eest hoolitsemine on lihtne ja see on suures osas tõsi, kuid küsimus on selles, miks peaksid saidiomanikud WordPressi turvalisuses veendumiseks ülesandeloendi koostama? Miks pole see WordPressi turvaosa karbist väljas?

• Kellelgi on lihtne WordPressi täitmisfaili üles laadida ja see valik peaks vaikimisi olema piiratud. Pahatahtliku koodiga faili PHP-skripti üleslaadimiseks piisab veidi nutikast inimesest ja teie sait satub ohtu.
• Praegu saab suvandeid konfigureerida failisüsteemis. Selle asemel peaks WordPress selle eemaldama ja eeldama, et failisüsteem on kirjutuskaitstud. Kuigi WordPressi tuum seda teeb, ei järgi pistikprogrammid seda käitumismustrit. Kui leiate pistikprogrammi, mis muudab aktiivse tootmise ajal oma konfiguratsioonifaili, lõpetage selle kasutamine. See viitab kirjutatavale failisüsteemile ja sellest tulenevalt lihtsale viisile pahatahtlike muudatuste tegemiseks. Üks lahendus on faili wp-config.php eemaldamine süsteemi juurtest (WordPress töötab niikuinii), kuid see ei ole täielik turvagarantii ja igal juhul takistab see paljude teadvuseta arendajate poolt käsitsi kirjutatud pluginate korrektset toimimist.
• Vaikimisi võimaldab WordPress kasutajatel teha nii palju sisselogimiskatseid, kui neile meeldib. See avab ukse jõhkra jõu rünnakule, kus häkkerid proovivad juhuslikke paroole seni, kuni sisselogimine õnnestub. WordPressi CMS peaks installimisel keelama piiramatud sisselogimiskatsed.

See ei ole ammendav loetelu, see on vaid paar punkti. Ilmselgelt ei saa suur tarkvaralahendus, eriti avatud lähtekoodiga lahendus, olla rünnakule täiesti haavamatu. Kuid meie mõte on selles, et tõsised arendajad ei soovi WordPressi kasutada just seetõttu, et see on nii haavatav. Kogenud arendajad eelistaksid ehitada uhiuue rakenduse, mis vastab elegantselt nende vajadustele ja mida saab rangelt kaitsta – tundmatute tulevaste haavatavuste pärast muretsemata.

Või kasutades PLESK-i sätteid parimal viisil ja mitte laadides WordPressi “ei soovita” või veel hullem “tasuta” või veel hullem veel halvasti kirjutatud pluginaid (selle kohta hinnangu andmiseks on vaja kogemusi sellel alal), saate siiski muuta WordPressist suurepärase platvormi ka turvalisuse mõttes. Aga see pole enam "ise-ise" juhtimine, vaja on asjatundlikku kätt.

Pluginad kui probleemide allikas

Hea arendaja ei kasuta pistikprogrammi, kui ta esimest korda kinni jääb. Selle asemel püüavad head arendajad ehitada lihtsa ja elegantse lahenduse. Vastupidi, alati toetumine pistikprogrammidele, otsides neid Internetist või tuginedes kogukonna soovitatud programmidele, on väga vale mõtteviis.

Lõppkokkuvõttes muudab pistikprogramm WordPressile konkreetsete funktsioonide lisamise lihtsaks, mis muudab WP jaoks saadaolevate pistikprogrammide laia valiku CMS-i tugevuseks, kuid see on ka risk. Nii palju kui pistikprogrammid võivad asju lihtsamaks ja kiiremaks muuta, kaasnevad pistikprogrammidega ka palju turvariske ning samas sunnivad nad valima WP versiooni, mida saad kasutada, ning samal ajal paisutama oma WordPressi eksemplari üle igasuguste jätkusuutlike meetmete, nullides või õõnestades sinu veebis kohalolekut, saidi avamise kiirust ja seega ka ligipääsetavust ning järelikult ka õiget indekseerimist otsingumootorites.

Pluginad ja turvalisus

Kõigepealt vaatame pistikprogrammide loodud turbeprobleeme. Üks aruanne viitab sellele, et üle poole teadaolevatest WordPressi turvaprobleemidest tulenevad pistikprogrammidest. Arendajad peavad järgima kõiki häid tavasid, mida pistikprogrammide tegija järgib – mis ei pruugi olla nii hea. Seetõttu peaksite arendajana pistikprogrammi enne selle kasutamist põhjalikult testima. Teatud määral võib see kontrolliprotsess eemaldada pistikprogrammidega säästetud aja, Nii et sel hetkel võiksite sama hästi kaaluda saidile lisamiseks vajaliku funktsiooni nullist väljatöötamist.

WP versioonide piirangud

"Versioonipiiranguna" tuntud pistikprogrammid võivad piirata, millist WP CMS-i versiooni saate käitada. Nüüd on WordPress oma väljalasketsükliga väga agressiivne, seega annab ta regulaarselt välja uue värskenduse ja tegelikult juhtub sageli, et platvorm annab igal kuul välja mitu väikest versiooni või paiga. See on arusaadav, kuna WP meeskond fikseerib pidevalt rünnakuvektoreid. Kuid kõigil neil värskendustel on probleem: WP-värskendus võib pistikprogrammi rikkuda, mistõttu teie sait lakkab töötamast või jookseb kokku.

Loomulikult peate oma CMS-i ajakohasena hoidma, kuid pistikprogrammide kehtestatud versioonipiirangud võivad selle töö keeruliseks muuta. Mõned pistikprogrammide arendajad testivad ja värskendavad pidevalt oma pistikprogramme, kuid see väike "maailm" esmaklassilised pistikprogrammid see ei esinda enamust. Väljaspool neid esmaklassilisi pistikprogramme on reaalne oht, et WP versiooniuuendus võib saidi sõna otseses mõttes rikkuda.

Plugin puhitus

Oletame, et enamik arendajaid teab, et oluline on luua lahja projekte, mis ei kasuta liigset koodi. Nüüd vastavad mõned pistikprogrammid sellele põhimõttele, kuid paljud pistikprogrammid on väga ülespuhutud, kuna need pistikprogrammid püüavad lahendada kõiki kasutaja probleeme. Tavaliselt leiab arendaja, et pistikprogramm lahendab ühe probleemi, pakkudes samal ajal lahendust viiekümnele muule probleemile, mis pole tema saidiga seotud. (Teemadest ja "ehitajatest" rääkimata).

Pistikprogrammid katkestavad teie WordPressi töövoo

Lõpuks, veel üks levinud probleem, mida paljud pistikprogrammid loovad, on asjaolu, et pistikprogramm võib WordPressis kasutajakogemust takistada. See sõltub paraku mõjust bloat pluginad WordPressist. Näiteks võib pistikprogramm täielikult muuta postituse loomise ja levitamise viisi kogu saidil.

Selle tulemuseks on probleem, millega WP arendajad sageli silmitsi seisavad. Neile tundub, et nad peavad pistikprogrammi liiga palju ümber töötama, selle asemel, et seda lihtsalt kasutada. Paratamatult võtavad arendajad selle pistikprogrammidest möödahiilimise protsessi enda peale, sest see pistikprogramm võib tunduda lahendavat protsessiprobleemi (mida paratamatult pole).

Veebiarhitektuur on arenenud

Mainisime juba, et WordPress on olnud juba mõnda aega. Selle loomisel eeldasid arendajad, et veebisait kasutab ühe failisüsteemi kõrval alati ühte serverit. Arendajad kasutavad aga üha enam nn mikroserveri arhitektuuri, mis kasutab mitut sõlme. Nad teevad seda seetõttu, et selline tööviis on skaleeritavam ja paindlikum. Kuid WordPressi kasutamine keerulise arhitektuuriga võib tekitada probleeme, näiteks FTP peaaegu eranditult kasutamine WP CMS-i värskenduste jaoks.

Kaasaegsed arendajad arvavad ilmselt, et koodi värskendamine FTP kaudu on pelgalt arhailine. Arendajad kasutavad tavaliselt kindlat töövoogu, et võimalikud probleemid saaks peatada enne, kui kood hakkab tööle. See tähendab, et arendus toimub kohapeal, koodi kontrollitakse versiooniga ja seda koodi testitakse ka automaatselt – seda kõike pideva integreerimisprotsessi kaudu. Niisiis, lihtsalt uue koodi laadimine keskkonda, mis töötab lühikesi ahelaid, mis tähendab, et on suur tõenäosus, et asjad võivad valesti minna.

Paigutamise probleemist suurem on lihtsalt eeldus, et töötame ühe failisüsteemiga ühes sõlmes. Mitme sõlmega veebiserverite klaster parandab nii riistvaratõrkeid kui ka jõudlust, mistõttu seda lähenemisviisi kasutatakse üha enam. WP-l on aga takistus, kuna FTP kaudu teema või pistikprogrammi värskenduse installimine tähendab, et korraga saab värskendada ainult ühte failisüsteemi. Nii et mitme sõlmega klastri puhul peate selle värskenduse tegema iga sõlme jaoks.

Arendajad saavad sellest probleemist mööda minna, kuid see jääb raskuseks, mida ei ole lihtne lahendada. Lisaks nõuab protsess, et failisüsteem oleks kirjutatav, mis omakorda toob kaasa suure turvaprobleemi andmebaasile, mis on WordPressi tuksuv süda.

Orvuks jäänud andmed ja andmestruktuur üldiselt

Alguses on WordPressi andmestruktuur lihtne. Peagi selgub aga, et WP andmebaasis on üleliigseid tabeleid. Näiteks miks tuleb metaandmed jagada kahte tabelisse: üks nimega "wp_posts" ja teine ​​"wp_postmeta"? Kas pole parem lisada kõik andmed ühte tabelisse? Sama kehtib ka kommentaaride tabeli kohta, millel on metaandmete jaoks teine ​​seotud tabel.

Tulemuseks on see, et kogu andmebaasi jääb lisaandmeid. Jah, WP sisaldab mõningaid funktsioone, mis aitavad vähendada orbandmete mõju, kuid funktsioonid ebaõnnestuvad, kui peate manipuleerima tuhandete ridade arvuga. Põhimõtteliselt põhjustavad WordPressi funktsioonid serveri ajalõppusid ja põhjustavad mälulekkeid ning pole lihtsalt tõhusad.

Muidugi saate lihtsalt vähendada orvuks jäänud andmeid, kirjutades selleks otse SQL-päringuid. Kuid õigete SQL-päringute kirjutamiseks peate põhjalikult mõistma, kuidas tabelid on ühendatud. Andmete eraldamise määr WordPressi andmebaasis osutub lihtsalt üleliigseks.

Mida teeb WordPressi Plesk Toolkit asjade paremaks muutmiseks

Pleski WordPressi tööriistakomplekt on lihtne viis WordPressi eksemplari seadistamiseks ja kohandamiseks ühelt juhtpaneelilt. Saate seda kasutada seni, kuni see on teie veebisaidile installitud. Siin on mõned valdkonnad, kus WordPressi tööriistakomplekt aitab WP eest hoolitseda.

Turvahaldus

Tööriistakomplekti abil saate kõige ilmsemad turvaaugud automaatselt sulgeda. Näiteks saate lülitada XML-i tagasi RPC-pingile, veenduda, et kaust „wp-content” on turvaline, ja palju muud. Tööriistakomplekt kuvab teie saidi turvaoleku ja märgib probleemid "oht" või "hoiatus", mis on soovitus turvalisuse parandamiseks.

WP eksemplari värskendamine

Tööriistakomplektis 3.x ja uuemates versioonides lisafunktsioonina saadaval olev nutikate värskenduste funktsioon võimaldab teil tootmissaiti töös hoida ja seda samal ajal värskendada, ilma et peaksite saiti rikkuma. Tööriist kontrollib värskenduse tõttu tekkida võivaid probleeme ja annab teile teada, kas on mingisugune oht.

Kloonimine

Põhjuseid, miks võiksite oma WordPressi saidist koopia teha, on palju. Näiteks võib teil olla lavastussait, kus saate muudatusi enne avaldamist testida. Kui olete valmis, soovite saidi sisu kopeerida.

Või teil võib olla avalik sait ja soovite sellest teha koopia, millele te ei soovi, et avalikkusel oleks juurdepääs. Teine näide on professionaalsed arendajad, kellel on WordPressi installi näidiskoopia ja kes soovivad seda, sealhulgas teemasid ja pistikprogramme, automaatselt kloonida.

Meil on ka kliente, kes soovivad erinevatel põhjustel saidist paar koopiat teha, näiteks näidata, kuidas sait mõne muudatusega teistsugune välja näeb.

Ükskõik, mis teie põhjustel on, muudab WordPressi tööriistakomplekti kloonimise tööriist hõlpsaks kõike, sealhulgas saidifaile, saidi andmebaasi ja kõiki WP CMS-i sätteid, kopeerida.

Sünkroonimine

Erinevatel põhjustel võiksite veenduda, et kaks WordPressi veebisaiti ühtivad. WP Toolkit võimaldab teil automaatselt sünkroonida nii WP andmebaasi kui ka kõiki WP-faile.

Kui teil on oma saidi lavastuskoopia ja teie avalik koopia töötab mujal, võite soovida saidid sünkroonida, kuna soovite kopeerida lavastussaidil tehtud muudatused WP reaalajas saidile.

Samamoodi võiksite kopeerida mõned andmed tootmiskohast oma lavastuseksemplari, et saaksite kontrollida, kas lavastusversiooni tehtud muudatused mängivad reaalajas andmetega kenasti kokku. Või muutmise saidil tehtud muudatused põhjustasid muudatuse teie andmebaasi tabelites. Sel juhul võimaldab tööriistakomplekt neid muudatusi oma andmebaasiga sünkroonida ainult soovi korral.

Teine WP Toolkiti sünkroonimisfunktsiooni kasutusjuhtum on olukord, kus arendaja on värskendanud lavastussaiti WordPressi jaemüügiversioonile ja soovib muudatusi peegeldada reaalajas saidil.

Teil on võimalus sünkroonida kogu WP CMS või ainult mõned selle osad. Seega saate peegeldada oma WP faile, selle andmebaasi või mõlemat. Pakkumisel on veelgi detailsust, kuna saate valida kogu andmebaasi või ainult tabelite või isegi tabelite sünkroonimise vahel, mis on lähteallikas, kuid mida ei ole sihtkohas. Samuti on võimalik peegeldada üksikuid tabeleid.

Veajaht WP-s

Plesk WordPress Toolkit võimaldab ka arendajatel automaatselt tuvastada ja parandada veebisaidi allika vigu, lubades selle silumisrežiimi.

Järeldus.

Pärast kõike ülaltoodut on selge, et ülimalt oluline on valida mitte ainult arendaja, kellega koostööd teha, või agentuur, kes saab teid jälgida, vaid eelkõige hostimine, millel teie saiti WordPressis majutada. Isegi nendest asjadest saame aru, mida tähendab professionaalsel hostimisel tume sait või mitte.

WordPress ei ole lihtsalt käsitletav "objekt". Muidugi tunnete end vabalt, arvate, et te ei vaja arendajat või pole agentuuriga seotud, arvate, et on imeline, kui saate seda teha üksi, kuid tegelikult ütleb tõde vastupidist ja täna ei ole turvalisus enam teisejärguline, vaid esmatähtis ka tulenevalt kohustustest ja vastutusest kolmandate osapoolte ees.