Я использую WordPress почти два года, и мне очень нравится эта CMS. Но, как в любой сложной системе, в ней существуют недостатки, которые, на мой взгляд, требуют особого внимания. Один из них — это темы оформления, которые в настоящее время строятся на базе Pure PHP шаблонов. Несмотря на все положительные стороны данного подхода использовать его в WordPress кажется мне нецелесообразным.
В WordPress предусмотрен целый набор специальных функций, которые называются template tags. Эти функции скрывают прямые обращения к базе данных и предоставляют некоторый интерфейс для создания тем. Но эти ограничения чисто организационного плана. На самом деле, в теле шаблона можно использовать любые функции PHP или WordPress. Можно, например, осуществлять чтение или запись в базу данных напрямую, минуя предоставленный интерфейс.
Опасность такого подхода заключается в том, что вместе с темой оформления в блог может быть внедрен любой код, как полезный так и вредоносный. WordPress стремительно распространяется в Интернете и этой системой пользуются не только программисты и веб-разработчики, но люди чья специальность далека от программирования. Поэтому проверить несет ли в себе тема потенциальную угрозу или нет, у них просто нет возможности.
Даже такие элементарные действия как проверка целостности скаченного файла посредством сверки контрольных сумм или электронной подписи не используются ни на официальном сайте WordPress.org, ни, тем более, на множестве неофициальных блогов.
На мой взгляд, если проект предназначен для широкого круга людей, лучше ограничивать функционал во всех местах где это возможно. Например в данном случае, лучше использовать простейший шаблонизатор с жескто заданным набором тегов, нежели развязывать руки и разрешать практически все на что способен PHP.
Несмотря на то, что многим кажется, будто блог это игрушка и не может нести существенной угрозы, на мой взгляд это не так. В ситуации всеобщего доверия дург к другу очень легко им воспользоваться и подсунуть под видом новой бесплатной темы любой вредоносный код, например реализующий одну из следующих задач:
- Рассылка почтовых сообщений (спама);
- Скачивание и выполнение скриптов на сервере жертвы;
- Размещение скрытых ссылок на страницах блога.
К этому списку можно было бы добавить и реализацию DDOS атак посредством уязвимости в PingBack сервере WordPress-а, о которой я писал ранее.
Чтобы обезопасить себя и других блогеров от нецелевого использования ресурсов хостинга на котором расположен блог, лучше создавать свои учетные записи на специально предназначенных для этого площадках. Например, у меня некоторое время существовало несколько блогов на www.blogger.com и это меня вполне устраивало, до тех пор пока я не понял, что блогинг мне очень интересен и я хочу заняться этим делом более серьезно.
Страницы: 1 2
