WordPress. Почему стоит опасаться бесплатных тем
Я использую WordPress почти два года, и мне очень нравится эта CMS. Но, как в любой сложной системе, в ней существуют недостатки, которые, на мой взгляд, требуют особого внимания. Один из них - это темы оформления, которые в настоящее время строятся на базе Pure PHP шаблонов. Несмотря на все положительные стороны данного подхода использовать его в WordPress кажется мне нецелесообразным.
В WordPress предусмотрен целый набор специальных функций, которые называются template tags. Эти функции скрывают прямые обращения к базе данных и предоставляют некоторый интерфейс для создания тем. Но эти ограничения чисто организационного плана. На самом деле, в теле шаблона можно использовать любые функции PHP или WordPress. Можно, например, осуществлять чтение или запись в базу данных напрямую, минуя предоставленный интерфейс.
Опасность такого подхода заключается в том, что вместе с темой оформления в блог может быть внедрен любой код, как полезный так и вредоносный. WordPress стремительно распространяется в Интернете и этой системой пользуются не только программисты и веб-разработчики, но люди чья специальность далека от программирования. Поэтому проверить несет ли в себе тема потенциальную угрозу или нет, у них просто нет возможности.
Даже такие элементарные действия как проверка целостности скаченного файла посредством сверки контрольных сумм или электронной подписи не используются ни на официальном сайте WordPress.org, ни, тем более, на множестве неофициальных блогов.
На мой взгляд, если проект предназначен для широкого круга людей, лучше ограничивать функционал во всех местах где это возможно. Например в данном случае, лучше использовать простейший шаблонизатор с жескто заданным набором тегов, нежели развязывать руки и разрешать практически все на что способен PHP.
Несмотря на то, что многим кажется, будто блог это игрушка и не может нести существенной угрозы, на мой взгляд это не так. В ситуации всеобщего доверия дург к другу очень легко им воспользоваться и подсунуть под видом новой бесплатной темы любой вредоносный код, например реализующий одну из следующих задач:
- Рассылка почтовых сообщений (спама);
- Скачивание и выполнение скриптов на сервере жертвы;
- Размещение скрытых ссылок на страницах блога.
К этому списку можно было бы добавить и реализацию DDOS атак посредством уязвимости в PingBack сервере WordPress-а, о которой я писал ранее.
Чтобы обезопасить себя и других блогеров от нецелевого использования ресурсов хостинга на котором расположен блог, лучше создавать свои учетные записи на специально предназначенных для этого площадках. Например, у меня некоторое время существовало несколько блогов на www.blogger.com и это меня вполне устраивало, до тех пор пока я не понял, что блогинг мне очень интересен и я хочу заняться этим делом более серьезно.
Я прекрасно понимаю тех людей, кто не хочет зависеть от кого-либо кроме себя и хочет иметь личный stand alone блог. Но я так же понимаю, что свой блог - это не только большие возможности, но и дополнительная ответственность, нести которую готов далеко не каждый.
Тем кто не хочет пускать дело на самотек могу дать такой совет: прежде чем устанавливать новую тему, проведите хотя бы беглый осмотр скаченных фалов. Если в них присутствуют функции по работе с файлами или базой данных ( это можно отследить по наличию SQL запросов), то лучше такую тему не использовать. Если же вы совсем не знакомы с PHP, и не можете провести даже поверхностный анализ, то лучше использовать только темы скаченные с официального сайта WordPress.org.
И помните, бесплатный сыр бывает только в мышеловке, но мышке он стоит жизни!
beastriker
Гость
согласен со всем. но только мне бывает охота добавить разный дополнительный функционал в блог, если этого требует поставленная задача - плагин бывает не подходит, тогда чистым пхп прям в теме - и все ок)))
но, конечно, для тех кто в этом не сечет, вообще многие вещи в инете могут быть довольно опасны.
Единственная проблема, которую я вижу в темах на wordpress.org - их убогий в большинстве случаев дизайн) но, если для меня эта задача решаема, то для кого-то нет((
dkrnl
Гость
потдерживаю все тезисы, малоли что там спрятано, ведь даже безобиднае ошибка в экранировании данных может скрывать большую дыру.
вот я пороноик насчет стронних библиотек(скриптов,движков,…), в плане глючности и дыряовсти.
отчасти по этому у меня еще нет блога, а на самописный движок пока нет времени (:
Станислав Малкин
Гость
Евгений, не путайте CMS и WordPress, пожалуйста. WordPress подмножество CMS, но приравнивать к полноценной цмс системе его нельзя.
Vyazovoi Pavel
Гость
Если бы мне сильно хотелось я бы сделал шаблон для wordpress, который бы парсил smarty-шаблоны. Имхо его можно было бы поставлять в самом wordpress.
А что… неплохая идея, сделать чтоли =) Просто я сам вордпрессом не пользуюсь и лениво для него контрибутить =)
Vyazovoi Pavel
Гость
Насчет возможных проблем безопасности да - но я думаю в wordpress используется какой-либо протект-механизм. Например у меня есть класс, который я использую в собственном движке - он экранирует все регулярно-применяемые текстовые переменные в массиве _REQUEST, все переменные, имя которых начинается с id - приводит к численному типу данных. Сделано это на уровне движка и позволяет меньше задумываться о базовых вещах.
Илья
Гость
Да вы реально тут параноики =))))
А почему тогда платных тем опасаться не стоит? =))
Там тоже могут быть ошибки, это тоже самое что бесплатная CMS и платная, я выбираю бесплатную, так как дыры в ней закрываются быстрее из-за нас с вами тестеров =)). Все делают ошибки вопрос в том как быстро они будут найдены и закрыты.
С темами немного по другому конечно но смысл тот же. Ищите так сказать команду которая выпускает темы бесплатно там наверника и комьюнити будет небольшое =))
И самое главное НЕТ НИЧЕГО ЧТО НЕЛЬЗЯ ВЗЛОМАТЬ! НАстоящий хакер взломает любую защиту и ему будет наплевать что у вас там за тема. Вопрос только нужно ли ему это? Если это крякер, то да думаю порезвится может, но обычно крякеры не столь умны и только могут всякими чужими вещами пользоваться, которые только явные дырища находят…
Вобщем так если вы нарвались на крутых конкурентов =))) то какая бы защита не была всё равно взломают, уронят и ещё много приятных вещей сделают.
Блоггерам вобще тока крякеров сопливых опасаться надо, которые считают себя ниипаться умными и тыкают везде сканят и прочая лабуда. Хотя уже реже таких.
Галина
Гость
“Евгений, не путайте CMS и WordPress, пожалуйста. WordPress подмножество CMS, но приравнивать к полноценной цмс системе его нельзя.”
Непоняла???
А чем это вордпресс не cms??
dkrnl
Гость
быть может речь о Community Management System (:
хотя за три буквы CMS можно притянуть что угодно, где есть контент и система управления.
Дмитр
Гость
Интересно было почитать, не задумывался об этом раньше, но что делать - меньше бесплатных тем использовать не станут
star
Гость
В бесплатных темах угроза пристутствует несомненно, но процент её не столь велик. Да и юзаю обычно уже проверенные.
canab
Гость
спасибо будет тема для обсуждения с товарищами.
честный Kozzi
Гость
бесплатный сыр в мышеловке, но россияне его так хотят попробовать..
AleksM
Гость
Да уж, ребят, если так рассуждать то выход только один - писать собственный движок.
smn
Гость
Писать собственный движок это долго и как правило он получается менее функциональный. Проше модернизировать существующие движки.
Виктор
Гость
Интересная информация, пригодится в будущем
Паспарту
Гость
Да, использование соронних плагинов всегда таит в себе немало угроз, как самой работе в нем, ак и вообщем безопасности проекта! Редко использую такие, только и проверенных источников.
exiter
Гость
Не стоит забывать что разработчик темы может проставить ссылки (так часто продвигают сайты). Зачем вам ссылки на чужие сайты?