Движок для сайта wordpress

• Консоль — в ней находиться главная часть сайта, где расположены новостные блоки и быстрая форма для создания публикации (записи). Также через консоль, можно выполнить обновление необходимых шаблонов тем и плагины. При необходимости есть возможность переустановить систему (это не страшно, все ставиться автоматом).
• Записи — в этой вкладке находятся редактор записей (динамических страниц) и настройки для рубрик.
• Медиа файлы — тут все понятно. Эта вкладка содержит весь медиа контент.
• Страницы — окно с редактором статических страниц. К примеру: карта сайта, контакты, о себе и т.д
• Комментарии — предназначена для просмотра и одобрения комментариев сайта. В ней соответственно находится и спам.


• Внешний вид — тут производиться обзор шаблонов тем, а также их редактирование. Создание меню и распределение виджетов. При необходимости через нее Вы можете отредактировать файлы шаблона темы.
• Плагины — отвечает за просмотр, поиск, установку и редактирование плагинов.
• Инструменты — вкладка нужна редко, к примеру при создании multisite, или резервного копирования.
• Настройки — имеют множество функций, которые необходимы для настройки всего сайта. В нее входят самые разные разделы: общие, написание, чтение, обсуждение, видео файлы, постоянные ссылки. Думаю из этих названий понятно, за какие настройки они отвечают.

nicola.top

Первая часть предварительной подготовки

1. Нужен хостинг, что такое хостинг вы узнаете в статьях: Хостинг – фундамент вашего online бизнеса и Основные ошибки при выборе хостинга

2. Нужно доменное имя или субдомен уже имеющеся у вас домена, как купить доменное имя вы узнаете здесь чуть позже

Это так сказать пред- предварительная подготовка.

А теперь приступаем непосредственно к установке. То есть пошагово я вам все покажу, как это делается. Ничего сложного в этом процессе нет, вам понадобится только терпение и минимальные знания.

Вторая часть предварительной подготовки

Поехали…

 

 

1. Cкачать CMS WordPress

Для начала необходимо скачать движок WordPress с официального сайта http://ru.wordpress.org/.

Так как блог я буду создавать на русском языке, то и движок мне нужен русской версии.

Как вы уже заметили на сегодняшний день последняя версия, является WordPress 3.3.1 на русском.

 

 

2. Подготовка файлового менеджера.

Затем так же вам понадобится программка ФТП клиент. Я использую FileZilla.

Это бесплатная программа, скачать можно с сайта http://filezilla.ru/.

Скачали. Установили. Открываете программу. Входите на свой хостинг в нужную дерикторию вашего хостера. Инструкцию и пароли входа для FTP-клиента предоставляет ваш хостер.

 

 

3. Создание Базы Данных

Теперь вам необходимо создать базу данных на своем хостинге. Вам необходимо зайти в административную часть своего хостинга. Инструкцию и пароли входа вам предоставляет ваш хостер.

В данном примере мой хостер использует админ панель ISP manager.

 

4. Правка файла wp-config-sample.php

Предварительно разархивировав файлы CMS (движка) открываем и начинаем править файл wp-config-sample.php.

Затем сохраняем данный файл как wp-config.php.

Для редактирования файла используйте Notepad.

Что необходимо править? Первая часть файла

Находите следующий фрагмент кода

 

/** Имя базы данных для WordPress */

define(‘DB_NAME’, ‘database_name_here’);

Вместо database_name_here прописываете имя созданной вами базы данных

/** Имя пользователя MySQL */

define(‘DB_USER’, ‘username_here’);

Вместо username_here прописываете свое имя пользователя базы данных

/** Пароль к базе данных MySQL */

define(‘DB_PASSWORD’, ‘password_here’);

И вместо password_here прописываете пароль к своей базе данных

/** Имя сервера MySQL */

define(‘DB_HOST’, ‘localhost’);

Как правило, здесь остается неизменным

/** Кодировка базы данных для создания таблиц. */

define(‘DB_CHARSET’, ‘utf8’);

Оставляем, как есть

/** Схема сопоставления. Не меняйте, если не уверены. */

define(‘DB_COLLATE’, »);

Оставляем, как есть

Вторая часть правки файла

* @since 2.6.0
*/
define(‘AUTH_KEY’, ‘впишите сюда уникальную фразу’);
define(‘SECURE_AUTH_KEY’, ‘впишите сюда уникальную фразу’);
define(‘LOGGED_IN_KEY’, ‘впишите сюда уникальную фразу’);
define(‘NONCE_KEY’, ‘впишите сюда уникальную фразу’);
define(‘AUTH_SALT’, ‘впишите сюда уникальную фразу’);
define(‘SECURE_AUTH_SALT’, ‘впишите сюда уникальную фразу’);
define(‘LOGGED_IN_SALT’, ‘впишите сюда уникальную фразу’);
define(‘NONCE_SALT’, ‘впишите сюда уникальную фразу’);

Ставите уникальную фразу вместо этой фразы впишите сюда уникальную фразу, необязательно читаемую.

Затем…

Важный момент!!! Сохраняем этот файл под именем wp-config.php. А wp-config-sample.php можно удалить.

5. После этого заливаем копируем файлы движка с помощью FTP- клиента в директорию вашего сайта.

Вторая часть предварительной подготовки готова

Третья и заключительная часть предварительной подготовки

1. Если вы разместили файлы WordPress в корневом каталоге хостера, тогда перейдите по ссылке:
_http://ваш_сайт/wp-admin/install.php

или, если вы разместили файлы WordPress в подкаталоге, который назвали, к примеру blog, перейдите по ссылке:
_http://ваш_сайт/blog/wp-admin/install.php

 

2. После этого при установке вас попросят ввести название вашего будущего Веб-блога и ваш адрес электронной почты.

Кроме этого, вы можете поставить галочку напротив пункта «показывать мой Веб-блог в поисковых системах», если вы хотите, чтоб ваш сайт индексировался поисковыми системами.

Также стоит отметить, что вы можете не ставить галочку напротив данного пункта, тогда ваш блог будет доступен пользователям, но поисковые системы не будут проводить его индексацию. Введенную информацию вы сможете поменять в Административной панели.

Возможные ошибки при установке движка вы сможете просмотреть с сайта здесь>>>

 

3. Затем обязательно сохраните логин и пароль входа в админ панель вашего блога. И затем после удачной установки блога входите в административную часть своего блога по адресу    _http://ваш_сайт/wp-admin/index.php

Я надеюсь, что у вас все прошло «без сучка и без задоринки», и вы увидели картинку удачной установки WordPress на ваш хостинг. После этого не забудьте удалить файл install.php .

Но этим не заканчивается работа над свежим молодым блогом, а вернее только начинается

. Но это отдельная история.

P.S. Я постарался сделать более подробную и понятную инструкцию установки движка WordPress.

Но если, что-то не понятно обязательно отпишите в комментариях, чем поможете мне понять, что нужно описать более подробно. На этом все.

Подписывайтесь на новые статьи блога.

nikolayyakimenko.com

Движок для сайта WordPress (ВордПресс)

WordPress является одним из самых популярных движков в мире. Изначально он разрабатывался как движок для блогов, и именно в таком виде он изначально пользователю и предоставляется. Однако, по факту WordPress нельзя назвать «движком для блогов». Гораздо правильнее будет его назвать «универсальный движок для всего на свете». На базе WordPress можно сделать сайт-визитку, блог, новостной портал, и даже интернет-магазин.

Преимущества WordPress:

• Крайне высокая популярность.
• Крайне высокая востребованность.
• Простота работы в рамках данной CMS.
• Один из самых простых интерфейсов (включая интерфейс админки).
• Сотни тысяч бесплатных шаблонов оформления.
• Сотни тысяч бесплатных плагинов, с помощью которых можно оптимизировать/расширить функционал сайта.
• Есть встроенный онлайн-редактор сайта – специально для тех, кто не владеет ни одним языком программирования.
• Код можно редактировать прямо в админке сайта, т.е. FTP-доступ для этого не требуется.

Недостатки WordPress:

• Из-за обилия бесплатных плагинов трудно выбрать тот, что действительно нужен.
• Возможны сложности с установкой движка на хостинг. Однако, данный минус является очень спорным, т.к. большинство хостинг-провайдеров предоставляют возможность установки WordPress буквально в 2 клика (без преувеличения), сама же установка производится в автоматическом режиме, а данные для доступа высылаются на электронную почту.

Совет от эксперта «СтоКрат»:

«WordPress – это как раз то, что нужно русскому блогеру: создается быстро, осваивается просто, платить не нужно, а сама CMS интуитивно понятна. Идеальный вариант для реализации блога».

Популярные сайты, работающие на WordPress:

• TechCrunch
• The New Yorker
• BBC America
• ebay Inc
• Blog
• Xerox
• Fortune
• Time Inc.
• Google Ventures
• Harvard Business Review Blogs

Движок для сайта Joomla (Джумла)

Второе место по праву занимает движок Joomla. Она является чем-то средним между «простым как 2 пальца об асфальт» WordPress’ом и гораздо более функциональным Drupal. Под «чем-то средним» мы подразумеваем, что она где-то посередине и по функционалу, и по простоте использования. За эту «золотую середину» ее и любят.

Преимущества Joomla:

• Несмотря на то, что Joomla сложнее, чем WordPress, данную CMS все равно можно назвать простой.
• Более богатый «заводской» функционал, по сравнению с тем же WordPress.
• Поддерживается работа с протоколами OpenID, LDAP, Gmail.com.
• Тысячи шаблонов оформления.
• Многофункциональная админ-панель.
• Проста в установке. Хотя этот плюс спорный, т.к. многие хостинг-провайдеры позволяют установить Joomla в автоматическом режиме буквально в 1-2 клика.
• Приветливый дизайн.

Недостатки Joomla:

• Несмотря на универсальность, разработку нельзя назвать «глубокой».
• Гораздо меньше бесплатных плагинов по сравнению с WordPress.
• Слишком сложна для начинающих и слишком проста для опытных разработчиков.

Сайты, использующие Joomla:

• Burger King
• Danone
• Latvia
• Nikon Instruments
• Porsche
• Times Square
• Vodafone
• Yamaha

Если «подсчитать» все плюсы и минусы, то Joomla, за счет своей гибкости структуры, будет идеальным вариантом для создания корпоративного сайта либо сайта e-commerce направленности.

Движок для сайта ModX

Для рядовых пользователей, которые «я ничего не знаю» этот движок вряд ли подойдет в силу своей сложности. Однако, разработка сайта на движке MODx занимает достаточно мало времени. Это одна из немногих причин, по которой популярность данного движка активно растет.

Плюсы CMS MODx:

• По мультизадачности он схож с WordPress. Разница лишь в том, что WordPress – это в первую очередь движок для блога и во вторую очередь мультизадачный. MODx – наоборот.
• Офигенная защита от дублирования страниц. Исключение – если Вы сами эти дубли создадите.
• Код сформирован по принципу «ничего лишнего, но и добавить нечего».
• После установки движка Вы получаете «чистое ядро», с которым можно делать все что угодно. Без лишних модулей и дополнений.
• Знаний html (даже базовых) достаточно, чтоб составить свой собственный шаблон.

Минусы CMS MODx:

• Требуются навыки программиста для точной настройки сайта.

Движок для сайта интернет-магазина OpenCart

OpenCart целенаправленно разрабатывался под интернет-магазины. Он бесплатный, а потому тоже должен быть рассмотрен в данной подборке.

Плюсы CMS OpenCart:

• Открытый исходный код.
• Достаточно популярен среди программистов.
• Большой спектр модулей.
• Есть встроенные SEO-модули.
• Есть модули оплаты через Qiwi, PayPal, Visa, MasterCard, WebMoney и т.д.
• Гибкие настройки.
• Широкий графический функционал. ВАЖНО! В данном контексте слово «графический» образовано не от слова «графика», а от слова «график», т.е. функционал включает в себя несколько инструментов по аналитике. 

Минусы CMS OpenCart:

• Для нормального взаимодействия с пользователями требуется «допиливание».
• Узкоспециализированный – либо каталог, либо интернет-магазин.
• На «допиливание» требуется много времени и денег.

Прочие движки

Joostina 

По названию уже понятно, что Joostina и Joomla – это «одного поля ягоды». По своей сути, Joostina – это и есть Joomla, только немного «допиленная» и «дополненная». Но и багов у нее чуть больше.

LiveStreet 

Также является одним из популярных бесплатных движков. Хорошо подходит для блога. Может использоваться и в коммерческих целях. Например, оказание услуг.

DataLife Engine (он же — DLE) 

В основном данная CMS используется для блогов и новостных порталов. Однако, без преувеличения данный движок можно назвать универсальным. Его вполне можно перестроить под интернет-магазин, сайт-визитку, и т.д. Он не требователен к ресурсам хостинга, легко модифицируется, поисковые системы отлично с ним взаимодействуют. Является одним лучших движков для варезных сайтов из download файлами, которые весьма удобно загружать и скачивать с сайта.

InstantCMS 

Является чем-то средним между блог-движком и движком для форумов и досок объявлений. Хорошо подходит для сайта-сообщества. На нем же обычно создаются официальные сайты городов и областей. На основе данного движка создают даже официальные сайты городов. Это как раз тот случай, когда движок является отчасти универсальным, но не является «всем бочкам затычкой».

Django-CMS 

Еще одно исключение из большинства бесплатных CMS. Исключение состоит в том, что движок написан не на PHP, а на Python. Движок отлично подойдет для сайтов-визиток, корпоративных, новостных сайтов и блогов. Однако, на этом движке попадаются и иные проекты, причем коммерческие.

Astra

Один из самых универсальных движков. Обычно используется для создания корпоративных сайтов, торговых площадок и сайтов-визиток. Для последних данный движок является вообще идеальным.

Как правильно выбрать бесплатный движок для сайта

Разумеется, приведенный выше список бесплатных движков далеко не полный. Однако, почти все эти движки объединяет:

• почти все они написан на PHP;
• почти все они используют базы данных MySQL.

Разумеется, есть и исключения, которые базируются на AJAX (DLE), ASP (например, dasBlog) или CGI, но это уже совсем другая история.

Самым верным вариантом будет следующий:

• арендовать бесплатный хостинг с доменом 3 уровня;
• установить движок (неважно с какого начинать), поработать с ним 1-2 дня, затем удалить, установить следующий.

Только «на ощупь» можно сделать 100% правильный выбор.

На что обратить внимание при выборе движка:

• Насколько просто его установить?
• Какие системные требования? Достаточно ли виртуального хостинга? Или арендовать выделенный сервер? И насколько мощным этот сервер должен быть?
• Насколько быстро работает выбранная CMS? Как быстро прогружаются страницы?
• Насколько удобна навигация по сайту?
• Насколько трудно разобраться в админ-панели? Справитесь с ней сами? Или наймете программиста?
• Сколько языков поддерживает движок?
• Сколько шаблонов оформления? Насколько просто их редактировать?
• Сколько плагинов можно установить без потери производительности сайта?
• Сколько плагинов идут с данным движком «в комплекте»?

Как только Вы получите ответы на данные вопросы, взвесите все «за» и «против», только после этого можно делать выбор в пользу той или иной CMS.

Чем хороши бесплатные CMS (кроме того, что они бесплатные):

1. Открытый исходный код. Не всегда, но в большинстве случаев. Это позволяет программистам разрабатывать новые плагины, писать новые шаблоны оформления, и т.д. Этот же плюс является еще и минусом, т.к. это позволяет злоумышленникам тщательно подготовить атаку, что может привести к краху. И вот тут уже тех. поддержка в помощь.
2. Дополнительные модули. На любой бесплатный движок плагинов, шаблонов оформления и дополнений всегда будет больше, чем на любой платный. Плагины могут быть самыми разными – «карусели», капча, XML-карты сайта, «хлебные крошки», SEO-плагины, проигрыватели видео, антиспам-плагины, и т.д. И плагины по защите сайта от хакерских атак в том числе.
3. Безопасность. Да, мы не отрицаем, что на платных движках безопасность выше. Но что ничто не мешает добавить на сайт несколько плагинов, направленных на защиту сайта и тем самым довести уровень защиты до того, который «с завода» идет на платных движках.

Наиболее оптимальными вариантами будут WordPress и Joomla. Первый больше подойдет новичкам, которые хотят самостоятельно сделать свой сайт без привлечения программистов. Оно и понятно – установил движок, выбрал шаблон оформления, понапичкал движок плагинами и все готово. С Joomla придется немного «попотеть», но оно того стоит. Joomla тоже подходит для создания сайта своими руками, но за счет более широкого функционала данная CMS сложнее в управлении.

Узнать на каком движке сделан сайт

При выборе движка многие предпочитают не «прощупывать» все движки подряд, как мы предлагали ранее, а «гулять по сайтам», смотреть где что как, и только потом выяснять, на каком он движке. Способ не совсем верный (как минимум потому, что невозможно прощупать админку конкретно этого сайта), но тоже имеет место быть.

Поэтому мы расскажем о том, как определить движок сайта, который Вам понравился. Заранее предупреждаем, что ни один из приведенных ниже способов не является 100% гарантией того, что модель движка будет определена правильно.

HTML код на странице

Открываем любую страницу сайта, правый клик в свободном от картинок месте, в меню выбираем «Просмотр кода страницы». Затем с помощью Ctrl+F или F3 вызываем окно поиска. В это окно вводим слово “generator”. Среди найденного ищите нечто подобное:

<meta name=«generator» content=«ДВИЖОК_САЙТА» />

Однако, если движок самописный или эксклюзивный, то этой строки может и не быть вовсе.

Ну и, раз уж копает html-код, грех не просмотреть css javascript и пути к файлам-картинкам:

Просмотр robots.txt

Под каждый движок есть свой «стандартный» файл robots.txt. Да, мы не спорим, если взять 2 сайта на одном и том же движке, то файлы robots.txt у них могут немного отличаться (даже если не брать в расчет адреса карт сайтов и имена основных доменов). Однако, серьезных отличий не будет.

Шаблонный файл robots.txt для CMS Joomla выглядит следующим образом:

Однако, данный способ определения движка можно назвать почти бесполезным, т.к. для правильного определения движка по этому файлу нужно как минимум помнить, как выглядят robots.txt на разных движках.

По внешнему виду ссылок

Вид ссылок тоже может «выдать» движок:

1. WordPress

2. Joomla

3. MaxSite CMS

4. vBulletin

Вид входа в админ-панель

Ниже мы привели список «стандартных» решений для входа в админ-панель. Т.е. к имени домена подставляем приведенные ниже «хвосты» и смотрим на реакцию сайта. Если сайт отдает сообщение «такой страницы не существует», значит меняем «хвост» на следующий по списку:

1. WordPress

2. Joomla

3. Danneo

4. MaxSite CMS

Cookie сайта

Определить движок можно путем анализа файлов Cookie, которые оставляет почти любой сайт на Вашем компьютере:

1. UMI CMS

2. MaxSite CMS

3. WordPress

Определить движок сайта онлайн — обзор сервисов проверки CMS

• ITrack – считается если и не лучшим сервисом по определению движка, то как минимум одним из лучших. Умеет распознавать до 50 CMS. Пользоваться им предельно просто – указываем адрес сайта, вводим капчу (ставим галочку «я не робот», при необходимости выбираем необходимые картинки), и нажимаем «Определить CMS».

• 2ip – аналогичен предыдущему (разве что галочку «Я не робот» ставить не надо).

• Wappalyzer. Это плагин для FireFox. Достаточно просто зайти на сайт, чтоб получить информацию о том, какой движок на нем используется.

Итог

Итак, мы рассмотрели самые популярные бесплатные CMS, на базе которых строится подавляющее большинство сегодняшних сайтов. Еще мы рассказали о том, как правильно выбрать движок для своего сайта. Но важно запомнить одно – беспроблемных движков не существует. С какими-то проблем будет больше, с какими-то меньше, все зависит от того, что за сайт Вы хотите получить в итоге. Также не исключено, что все-таки придется обращаться к программистам.

stokrat.org

Основные плюсы Вордпресс

+ лицензия на использование системы бесплатная

+ есть бесплатные или недорогие темы, можно самостоятельно внести изменения в код темы, чтобы адаптировать ее под свой фирменный стиль

+ код открытый, можно разработать свои плагины и темы

+ простая и достаточно удобная панель управления административной частью, которая дает возможность легко управлять контентом через визуальный редактор, работа с редактором простая, используется набор инструментов, похожих на редактор Word

+ быстро и легко ставится на хостинг со стандартными настройками, большинство хостингов, таких как: Ru-center, TimeWeb, Eurobyte, HandyHost, Beget, Agava, 1Gb, имеют встроенный инструмент установки Вордпресса — это позволяет достаточно быстро стартовать со своим проектом

+ большой набор различных дополнений и расширений (плагинов), которые можно бесплатно скачать на специализированных ресурсах существует масса форумов посвящённых движку WordPress на разных языках, где можно задать любые вопросы по работе системы, а также найти подрядчиков для разработки или адаптации плагинов под ваш сайт

Основные минусы WordPress

— по умолчанию дается достаточно ограниченный набор функционала системы, который необходимо в дальнейшем самостоятельно пополнять, устанавливая расширения и дополнения

— может создаваться достаточно серьезная нагрузка на сервер, нужно обязательно оптимизировать базу данных, кэшировать страницы, постараться ставить только необходимый набор плагинов и убирать те расширения, которыми вы не пользуетесь

— из-за чрезмерной нагрузки на сервер часто у сайтов на этом движке низкая скорость загрузки, которая может приводить к росту% отказа пользователей

— одним из весомых недостатков движка является дублирование страниц, что негативно влияет на SEO-оптимизацию

— по умолчанию при загрузке картинок для разных целей создает несколько копий изображений под разные размеры, большинство из которых никак на сайте не используются — это нужно по-возможности исправлять

— популярность системы дает и обратную сторону медали — слишком много некачественных, с ошибками, тем и плагинов, разобраться в которых новичку сложно; загрузка непроверенных и некачественных расширений может привести к загрузке вирусов на сайт

— так как WordPress бесплатный и популярный, то на нем создаются множество некачественных сайтов и сайтов-сателлитов, которые сформировали негативное отношение поисковых систем к данному движку — это тоже может негативно повлиять на ранжирование сайта в Яндексе и Google

— сайты на WordPress являются популярной мишенью для атаки, их часто взламывают, поэтому надо внимательно следить за обновлениями

contextonline.ru

Виды движков и их популярность в Рунете

Напомню, что CMS (Content Management System) – это система управления содержимым сайта. Различные CMS были созданы для того, чтобы упростить процесс управления контентом на web-площадке. На сегодняшний день совсем не обязательно разбираться в сложных кодах и языках программирования, чтобы создать свой сайт. При этом различные CMS созданы для тех или иных потребностей. У каждой из них есть свой набор функциональных возможностей и инструментов, свой вид интерфейса, свой набор шаблонов. Какие же CMS лучше?

Для начала разберемся, какие CMS существуют на сегодняшний день. Условно их можно разделить на три категории: коммерческие, бесплатные и узкоспециализированные. Соответственно коммерческие системы созданы с целью продажи лицензии на них, т.е. вы можете купить такую CMS и самостоятельно сделать с помощью нее сайт. При этом вам предоставляется техническая поддержка в случае возникновения вопросов или неполадок. Самой известной среди платных CMS является система 1С-Битрикс.

Бесплатные CMS, наподобие Вордпресс, распространяются свободно, кроме того их можно дорабатывать и публиковать свои новые версии. Узкоспециализированные системы управления созданы для определенной категории сайтов, например, для интернет-магазинов (OpenCart, AdvantShop, CS.cart  и т.д.). Для того чтобы определиться, какую CMS выбрать для своего сайта важно учитывать целый ряд факторов. От ваших финансовых возможностей и знаний в области программирования до назначения и целей создания площадки.

Согласно статистическим данным компании iTrack популярность систем управления распределяется следующим образом:

Это результаты за март 2015 года, основанные на опросах около 4,9 млн. доменов зоны RU. Это рейтинг платных и бесплатных видов CMS.

Вот выборка только по бесплатным движкам:

Как видим, рейтинги возглавляет CMS WordPress. Разберемся, почему данная система управления обрела такую популярность?

Преимущества WordPress

Вордпресс – система управления контентом с открытым исходным кодом, написанная на языке php.

Вот перечень основных преимуществ Вордпресс:

• Движок и шаблоны к нему можно скачать бесплатно;
• Выбор шаблонов Вордпресс достаточно большой;
• Быстрая установка;
• Понятная и простая панель управления (админка);
• Большой выбор доступных дополнений и расширений (плагины);
• Возможность вносить изменения в код шаблона.

Раскроем каждый пункт более подробно.

Конечно же, первое преимущество WordPress, которое позволило завоевать широкую популярность — его бесплатность. Т.е. каждый, кто захотел создать свой собственный блог смог без лишних затрат и вложений это сделать с помощью Вордпресса. Вы скажете, что есть же еще масса бесплатных движков! Да, но WordPress покорил всех своей простотой установки, настройки и использования. Все предельно ясно и доступно.

Добавлять контент на сайт можно с помощью визуального редактора, который не сложнее интерфейса в Word. Админ-панель интуитивно понятна всем и каждому, освоить ее можно за очень короткое время. Чтобы расширить функциональные возможности сайта, достаточно установить необходимые плагины. Большинство из них так же, как и шаблоны, находятся в свободном доступе. Если вы хотите внести изменения в отображение, стиль или структуру сайта, вы можете это сделать, корректируя код в файлах темы. Структура шаблона Вордпресс, иерархия его файлов также относительно проста, в сравнении с CMS Joomla.

Кроме того, благодаря своей популярности, на форумах и специализированных сайтах вы сможете найти ответы на все возможные вопросы по работе с данным движком. Также благодаря работе разработчиков и простой установке официальных обновлений системы, сайты на Вордпресс в достаточной мере защищены от заражений. А возникающие уязвимости весьма оперативно устраняются.

Вот, например, одно из исследований 2013—2014 года по уровню безопасности разных CMS (проведено компаниями RuWard и SiteSecure) в выборке из 30 000 доменов из RU зоны. На диаграмме показано, какие системы являются наиболее уязвимыми.

Немаловажно и самостоятельно уделять внимание защите своего ресурса, проверке его уязвимостей, что значительно сократит вероятность его заражения.

Для более полного раскрытия темы, рассмотрим кроме плюсов и минусы WordPress.

Недостатки WordPress

Из недостатков стоит выделить следующие:

• Достаточно весомая нагрузка на сервер;
• Порою низкая скорость загрузки сайта;
• Ограниченный набор базовых функций;
• Дублирование страниц и изображений;
• Большое количество некачественных тем и дополнений с ошибками;
• Относительное недоверие поисковых систем к сайтам на бесплатных движках.

Движок Вордпресс, а особенно большое количество дополнений к нему могут существенно нагружать сервер, на котором располагается сайт. Во избежание чрезмерной нагрузки нужно сокращать количество установленных плагинов до необходимого минимума. Кроме того, важно размещать блог на качественном хостинге. Эти опции помогут также увеличить скорость загрузки сайта. Кроме того, для ускорения работы блога нужно оптимизировать базу данных и использовать плагин для кэширования страниц.

Одним из недостатков WordPress является то, что он автоматически генерирует дубли страниц, а это негативно сказывается на продвижении блога. Читайте, как удалить дубли страниц и предотвратить их появление. Также движок Вордпресс при загрузке картинок создает их копии разных размеров. Для удаления ненужных картинок используйте плагин DNUI (Delete not used image).

Мы уже разбирали, как подобрать качественную тему WordPress для блога. Также желательно пользоваться проверенными дополнениями, чтобы ваш сайт работал исправно и без ошибок. И перед установкой шаблона, нужно проверить его плагином TAC.

Популярность WordPress – его достоинство и недостаток одновременно, поскольку на основе движка попутно с СДЛ создается и множество ГС и саттелитов. А соответственно, поисковые системы относятся настороженно к молодым сайтам на Вордпресс и на других бесплатных CMS.

Изначально возможности вашего ресурса ограничены набором функций, которые заложены в основу движка и установленного шаблона. Для расширения возможностей можно использовать плагины, однако, как мы заметили ранее, их большое количество может сказаться на скорости работы сайта. В данном случае можно дополнительно вносить изменения в файлы шаблона, добавлять новые функции посредством правки кода. Однако для этого понадобятся соответствующие навыки, либо услуги специалиста. Поэтому важно изначально определить цели, вид, структуру и необходимые возможности для своего ресурса. В зависимости от этого выбирать наиболее подходящие системы управления с оптимальным набором функций.

Мы разобрали плюсы и минусы WordPress. Теперь рассмотрим, для каких видов сайтов этот движок является наиболее подходящим.

Для каких площадок подходит Вордпресс?

Изначально данный движок был создан, как удобная система управления для блогов. А соответственно и наибольшее распространение Вордпресс получил именно в среде блогеров. Узнайте, чем отличается блог от сайта. Поэтому если вы задались вопросом, какую CMS выбрать для блога, то ответ очевиден.

Именно для этого типа ресурсов движок WordPress подходит лучше всего. Основной функционал нацелен на создание авторских тематических постов с возможностью их комментирования посетителями. В данном разрезе он также подойдет для создания новостных ресурсов.

Также на этой CMS можно создавать простые статические сайты, используя типы записей «Страницы». Подойдет она и для создания простых каталогов, портфолио и галерей, при добавлении пользовательских типов записей.

А теперь информация для тех, кто решает, какая CMS лучше для интернет-магазина. Что касается создания динамических сайтов, интернет-магазинов с возможностью фильтрации, сортировки и прочих необходимых для этого функций, то в данном случае лучше использовать специализированные CMS или более продвинутые движки, типа Drupal. Я разрабатываю более сложные функциональные сайты на системе Modx Evo.

WordPress идеально подходит для блогов, но разрабатывать проекты со сложным функционалом или интернет-магазины на нем не стоит!

На Вордпрессе можно создать интернет-магазин с помощью специальных плагинов, либо более сложные сайты с дополнительными возможностями. Однако на их создание потребуется больше усилий и времени, нежели при использовании того же Drupal. И скорее всего они будут уступать по удобству и возможностям площадкам, созданным на более подходящих для этого CMS. И вопрос не в том, что Drupal лучше, чем WordPress, просто у них разное назначение и ориентированы они на разработчиков разных уровней. К примеру, для работы с Друпал требуется намного больше знаний, чем для использования Вордпресс или Joomla.

Учитывая все описанные плюсы и минусы Вордпресс, вы можете определить, подойдет ли вашему ресурсу этот движок.

Посмотрите видео о связи SEO и движков:

Успехов!

P.S. На днях участвовали с подругами с очень популярной на сегодняшний день игре. Это квест по типу «выбраться из комнаты», в Петербурге множество компаний предлагают такие развлечения. За 1 час нам нужно было выбраться из закрытой комнаты, стилизованной под подводную лодку. Мы искали ключи, разгадывали ребусы и загадки, думали и веселились. Всем советую попробовать!

pro-wordpress.ru

Является ли WordPress небезопасным?

WordPress принадлежит наибольшая доля рынка — 30% самых популярных сайтов используют этот движок. Такой успех делает его еще более привлекательной мишенью для хакеров.

Уязвимости в ядре WordPress стали причиной менее 10% всех взломов. Большинство из них связаны с устаревшими версиями платформы. Количество взломов, осуществленных через бреши в новейших версиях CMS, составляет малый процент от общего количества.

Остальные сайты были взломаны через уязвимости, связанные с плагинами, темами, хостингом и пользователями.

Кто вас атакует и почему?

Большинство взломов WordPress -сайтов осуществляется автоматически ботом, или ботнетом.
Боты – это специализированные компьютерные программы, которые постоянно ищут сайты для взлома. Они просто находят уязвимость в защите. Ботнет объединяет вычислительную мощь многих ботов для решения больших задач.

Хакеры в первую очередь ищут путь на ваш сервер, чтобы использовать его вычислительные мощности и перенаправлять их на выполнение какой-то другой задачи.

Отправка спама

Спам составляет около 60% от всей электронной корреспонденции, и его нужно откуда-то отправлять. Хакеры хотят получить доступ к серверу с помощью уязвимого плагина или старой версии ядра WordPress, чтобы превратить ваш сервер в машину по рассылке спама.

Атаки других сайтов

Распределенные атаки типа «отказ в обслуживании» используют множество компьютеров для перенаправления на сервер такого объема трафика, что он не может справиться с ним. Эти атаки очень трудно отразить. Хакеры, которые проникнут на ваш сервер, могут добавить его в пул серверов, используемых для таких атак.

Кража ресурсов

Хакеры, которые не хотят тратить много денег на серверную ферму, проникают на незащищенные WordPress-сайты, получают доступ к их серверам этих сайтов и используют вычислительные возможности для майнинга криптовалют.

Улучшение SEO

Особенно популярным типом взлома WordPress является получение доступа к базе данных и добавление в каждую запись огромного количества скрытого текста, связанного с другим сайтом. Это быстрый способ повысить SEO-рейтинг.

Кража данных

Данные ценны, особенно когда они связаны с профилями пользователей и электронной коммерцией. Получение этих данных и их последующая продажа могут принести злоумышленнику огромную прибыль.

Почему безопасность так важна?

Чтобы запустить взломанный WordPress-сайт, нужно удалить и заменить каждый бит стороннего кода (включая ядро ​​WordPress), проверить каждую строку своего кода. Заменить все пароли WordPress, пароли на сервере и пароли базы данных.

После взлома сайт теряет позиции в выдаче поисковых систем, что приведет к уменьшению количества посетителей и конверсий.

Посетители приходят на сайт, потому что они вам доверяют. Взлом нанесет ущерб вашей репутации, и на ее восстановление может уйти много времени.

Также существует реальная возможность юридических проблем. Особенно если у вас есть клиенты из ЕС, где летом 2018 года вступило в силу законодательство по регулированию защиты данных. Его положения подразумевают огромные штрафы за кражу данных, которые обрабатывались ненадлежащим образом.

Давайте узнаем, как можно предотвратить все эти неприятности.

Триада CIA

Триада CIA является основой для каждого проекта цифровой безопасности. Это означает конфиденциальность, целостность и доступность. CIA- это набор правил, который ограничивает доступ сторонних пользователей к информации, обеспечивает достоверность и точность информации. А также гарантирует надежный доступ к этой информации.

Для WordPress структура CIA сводится к следующему.

Конфиденциальность

Пользователи, вошедшие в систему,должны иметь соответствующие роли и их права доступа проверены. Убедитесь, что информация, предназначенная для администратора,недоступна другим. Этого можно достигнуть, повысив уровень защиты панели администрирования WordPress.

Целостность

Предоставляйте на своем точную информацию и убедитесь, что пользовательские взаимодействия на нем происходят корректно.

При принятии запросов как к front-end, так и к back-end всегда проверяйте, соответствует ли намерение фактическому действию. При отправке данных проверяйте их на наличие вредоносного контента. Для удаления спама используйте специализированные плагины. Например, такие как Akismet.

Доступность

Убедитесь, что ядро WordPress,плагины и темы обновлены и размещены на надежном хостинге.
Все эти три элемента взаимосвязаны. Целостность исходного кода не будет сохранена, если конфиденциальный пароль пользователя легко украсть или подобрать. Для надежной работы платформы важны все аспекты.

Часть 1: Целостность — не доверяйте ничему

Проверяйте намерение действий пользователей, а также целостность данных, которые вы обрабатываете.

Валидация и санация данных

WordPress отлично справляется с обработкой данных. Но это касается только егоядра. Поэтому важно знать, как осуществить проверку остального кода.

В приведенном выше примере мы добавили в запись WordPress две части данных, используя update_post_meta. Первая — это строка, поэтому мы передаем ее в PHP как string . Затем вырезаем ненужные символы и теги с помощью sanitize_text_field, одной из многих функций санации WordPress.
Мы также добавили к этой записи целое число и использовали absint, чтобы убедиться, что это неотрицательное целое число.

Применение основных функций WordPress, таких как update_post_meta, является более предпочтительной практикой, чем использование базы данных напрямую. Это связано с тем, что WordPress проверяет все, что необходимо сохранить в базе данных на так называемые SQL-инъекции. Атака с использованием SQL-инъекций запускает вредоносный SQL-код через формы, размещенные на сайте. Этот код управляет базой данных, выполняя, например, удаление всех строк, кражу данных пользователей или создание ложных учетных записей с правами администратора.

При работе с пользовательской таблицей или выполнении сложного запроса в WordPress, используйте во всех запросах класс WPDB и функцию prepare, чтобы предотвратить атаки с помощью SQL-инъекций:

$wpdb->prepare проверяет каждую переменную, чтобы убедиться в отсутствии опасности SQL-инъекций.

Экранирование

Экранирование данных перед сохранением важно. Но вы не можете быть на 100% уверены, что они по-прежнему безопасны. WordPress использует множество фильтров, чтобы плагины и темы могли изменять данные «на лету». Поэтому есть большая вероятность,что данные будут скопированы с помощью других плагинов. Экранирование данных перед их добавлением в тему или плагин — разумное решение.

Экранирование предназначено для предотвращения атак с использованием межсайтового скриптинга (XSS). XSS-атаки внедряют вредоносный код во front-end сайта.

WordPress включает в себя множество функций экранирования. Вот простой пример:

Обеспечение безопасности запросов

Запросы на администрирование WordPress безопасны, если включен SSL, и вы используете надежный хостинг. Но некоторые уязвимости все равно существуют. Поэтому нужно проверять намерения пользователей и подтверждать, что входящий запрос выполнен зарегистрированным пользователем.

WordPress проверяет намерения с помощью nonce. Nonce (или «число, используемое только один раз») не является точным описанием этого API WordPress. Это не просто числа, они больше похожи на токен подмены межсайтовых запросов (CSRF), который можно найти в любом современном фреймворке. Эти токены предотвращают возможность копирования запросов.

Nonce отправляется вместе с каждым уязвимым запросом, который выполняет пользователь. Они привязаны к URL-адресам и формам, и их всегда нужно проверять на принимающей стороне перед выполнением запроса. Вы можете добавить nonce к форме или URL-адресу. Вот пример, используемый в форме:

В этом случае мы используем вспомогательную функцию wp_nonce_field(). Она генерирует два скрытых поля, которые будут выглядеть следующим образом:

Первое поле проверяет намерение, используя сгенерированный код с помощью строки «post_custom_form», которую мы передали функции. Второе поле добавляет реферер для проверки того, был ли запрос выполнен из системы WordPress.

Прежде чем обрабатывать задачу на другом конце формы или URL-адреса, необходимо проверить значение nonce, а также его валидность с помощью wp_verify_nonce:

Здесь мы сверяем nonce с именем действия. Ели оно не соответствует, прекращаем обработку формы.

Сторонний код

Большинство взломов WordPress связано с плагинами, темами и устаревшими версиями WordPress. Меньшее количество кода означает меньше возможностей для взлома.

Если уверены, что вам нужен какой-то плагин или тема, тогда внимательно изучите его. Посмотрите рейтинги, дату последнего обновления и требуемую версию PHP. Также поищите упоминания об этом плагине или теме в авторитетных блогах, посвященных безопасности, таких как Sucuri или WordFence.
Другой вариант — просканируйте исходный код и убедитесь в том, что он поддерживает корректные nonce, санацию и экранирование. Чаще всего это является признаком хорошо написанного и безопасного кода.

Для этого не нужно знать PHP. Простой и быстрый способ проверить правильность использования функций безопасности WordPress — это найти в исходном коде плагина следующие строки:

• esc_attr;
• esc_html;
• wp_nonce_field;
• wp_nonce_url;
• sanitize_text_field;
• $wpdb->prepare.

Плагин может быть безопасным, даже если он не включает в себя абсолютно все эти строки.
Темы и плагины редко содержат код, написанный только одним разработчиком. Composer и NPM обеспечили возможность простой реализации зависимости от других библиотек, и это стало популярным вектором для хакерских атак. Если вы работаете с инструментами, использующими Composer или NPM, то не лишним будет проверить их зависимости.

Вы можете проверить зависимости Composer с помощью инструмента для интерфейса командной строки (CLI) от SensioLabs. Такие сервисы, как Snyk, позволяют проверить каждую зависимость в проекте.

Часть 2: Доступность: Keep It Simple

Даже при наивысшем уровне безопасности вы все равно можете попасть в беду. Когда это произойдет, резервная копия сэкономит много времени и сил.

Обновление

Большинство атак на WordPress-сайты происходит через устаревшие версии CMS или плагинов.

Обновления безопасности для ядра WordPress теперь происходит. Автоматически. Но обновления для системы безопасности в плагинах — это совсем другая история.

Все плагины должны быть протестированы до того, как будут установлены на сайте. Такие инструменты, как WP CLI, упрощают обновление.

Пользователи, роли и права

«Доступность» в триаде CIA связана с передачей информации «в нужные руки». Главный приоритет заключается в ограничении прав конечных пользователей. Не создавайте для каждого администратора отдельную учетную запись.

Учетная запись администратора в WordPress предоставляет большие возможности. В теме Vanilla даже можно изменить полную базу кода через учетную запись администратора.

Система ролей и прав в WordPress является мощной и ее просто изменить через код. При работе с CMS я создаю много новых ролей. Благодаря чему вы получаете полный контроль над тем, к каким частям системы могут получить доступ различные пользователи. Также это не позволит стороннему коду изменять стандартные функции ядра WordPress.

Электронная почта

WordPress обрабатывает электронную почту через сервер, на котором он установлен. Но это делает электронные письма полностью зависимыми от сервера. Предотвратите перехватывание писем и их просмотр с помощью службы SMTP. Доступно большое количество плагинов, с помощью которых можно обеспечить отправку писем через безопасное SMTP-соединение.

Для этого потребуется доступ к настройкам DNS доменного имени, чтобы добавить запись Framework Policy (SPF). Все качественные SMTP-сервисы предоставляют точную запись, которую необходимо добавить. Запись SPF гарантирует, что ваша SMTP-служба авторизована доменом для отправки электронной почты от своего имени.

Мониторинг

Мониторинг времени безотказной работы — это отличная практика. Такие инструменты, как Uptime Robot, усиливают безопасность.

Что касается целостности файлов, то важно понимать, что если хакеры получат доступ к серверу, они смогут изменить код. Существуют плагины, которые помогут справиться с подобной проблемой. У Sucuri есть отличный плагин для аудита. Он проверяет все файлы в соответствии с обширной базой известного вредоносного кода.

Кроме этого инструмент проверяет целостность ядра ​​WordPress. А также предоставляет подсказки в том случае, если есть нарушение.

Резервное копирование

Большинство качественных хостингов делают это за вас. Но есть и другие варианты, если ваш хостинг не осуществляет автоматическое резервное копирование: VaultPress, а также BackupBuddy с резервным копированием в Dropbox или Amazon S3.

Хостинг

WordPress — это не единственное программное обеспечение, работающее на сервере. Плохой хостинг является основной причиной, по которой WordPress поддерживает устаревшие версии PHP. На момент написания этой статьи32,5% всех WordPress-сайтов работают на версиях PHP, для которых больше не доступны обновления безопасности.

Почти 60% WordPress-сайтов работают на PHP 5.6 и 7.0, для которых исправления безопасности будут доступны только до конца этого года.

Хороший хостинг предлагает гораздо больше услуг, таких как автоматическое ежедневное резервное копирование, автоматические обновления, мониторинг целостности файлов и безопасность электронной почты. Существует большая разница между управляемыми хостингами для WordPress и хостингами, которые предоставляют вам онлайн-папку с доступом к базе данных.

Лучший совет — найти достойный управляемый хостинг для WordPress. Они стоят немного дороже, но обеспечивают высокую безопасность сайта.

Часть 3: Конфиденциальность

Люди — это самая большая проблема в кибербезопасности.

Конфиденциальные данные

Используемые вами плагины и темы содержат ценные конфиденциальные данные. Например, если для WP_DEBUG установлено значение true, вы показываете каждому хакеру путь к корню сайта на сервере. На рабочей версии сайта не должно быть отладочных данных.

Другим источником конфиденциальных данных являются комментарии и страницы авторов. Они содержат имена пользователей и даже адреса электронной почты. В сочетании со слабым паролем они могут быть использованы хакером для входа на сайт. Будьте осторожны с тем, что вы отображаете публично.

Кроме этого дважды проверьте, что вы поместили файл wp-config.php в .gitignore.

Не разрабатывайте код в одиночку

Один из способов уберечься от множества ошибок в базе кода — это программирование в паре. Доступно много онлайн-сообществ, участники которых готовы выполнять быстрые проверки кода. WordPress, например, использует Slack для обмена информацией о развитии платформы. Там вы найдете много людей, которые готовы помочь.

Если вы никого не попросите оценить качество созданного вам кода, то не будете знать, защищен ли он.

Логины и пароли

Ядро WordPress делает все возможное, чтобы предотвратить использование слабых паролей, но чаще всего этого недостаточно.Я бы рекомендовал добавить на сайт плагин для двухфакторной аутентификации, а также ограничить количество попыток входа.

Доверяй, но проверяй

До сих пор мы вообще не говорили о социальной инженерии. Это форма взлома, которая набирает обороты. Обычно она не используется для взлома WordPress-сайтов. Но лучшая защита от социальной инженерии — «Доверяй, но проверяй».

Клиент может заявлять, что ему нужны права администратора WordPress. Но лучше проверить, действительно ли ему нужен доступ, или ему не хватает только одной функции в уже имеющейся роли? Есть ли способ решить возникшую проблему без увеличения риска?

Заключение

Ядро WordPress постоянно обновляется и исправляется. Но среда, окружающая WordPress, является небезопасной.

Помня о безопасности при написании каждой строки кода, добавлении каждого пользователя, при подключении плагина и вы сможете гарантировать, что используете безопасный сайт.

Перевод статьи «WordPress Security As A Process» был подготовлен дружной командой проекта Сайтостроение от А до Я