Paskutinė didelė WordPress saugumo spraga, dėl kurios nukentėjo daug įžymių svetainių, yra rimtas programuotojų neapsižiūrėjimas: WordPress kūrėjai pamiršo patikrinti varototojų teises kai kuriuose administravimo puslapiuose. Jei senos versijos WordPress tinklaraštis yra atviras registracijoms, paprastas varototojas galėjo atlikti tinklaraščio administravimo veiksmus: keisti diskusijų, standartinius, pastoviųjų nuorodų, paveiksliukų, privatumo, skaitymo, rašymo nustatymus, temų šablonus ir jų failus, vartotojus ir tuo pačiu savo kaip vartotojo teises. Su tokiom įsilaužimo galimybėm nenuostabu, kad daug įžymių tinklaraščių buvo smarkiai išdarkyti. Jei neklystu pažiūrėjęs į kodą, tinklaraščiai, kurie neturi viešos registracijos nuo šios problemos yra apsaugoti.
Keista tik kaip tokia saugumo spraga buvo nepastebėta tokį ilgą laiko tarpą: visuose WordPress versijose iki 2.8.4! O WordPress kuo toliau tuo labiau pučias ir pučias funkcionalumo, atminties naudojimo ir tuo pačių dar neatrastų klaidų prasme. Ar nebus taip, kad galų gale paprasti vartotojai naudos vos 2% visų WordPress galimybių, kaip dabar yra su Microsoft Office? Man anksčiau labiau patiko, kai WordPress tebuvo tinklarašių rašymo karkasas, o visą reikalingą funkcionalumą parsiplėsdavai įskiepių pagalba.
Žiūriu dabar į tą WordPress PHP kodo košę ir džiaugiuosi, kad perėjau prie Ruby on Rails: paprasto, gražaus, elegantiško, lengvai suprantamo ir plečiamo framework.
Klausimas — jei variklis WordPress, tai ką atlieka Ruby On Rails? Tiksliau nesuprantu, kas tas frameworks’as yra :(.
Ruby On Rails yra programavimo platforma. Blogeriai.net yra sukurta ant jos. PHP, kuriuo yra sukurtas WordPress galima lyginti su Ruby On Rails, bet ne paty WordPress su Ruby On Rails.
Bet kaip supratau, jei aš neesu kietas PHP programuotojas, tai man šokt ant bėgių, nelabai apsimoka.. :)
Iš kur taip supratai? :-) Aišku, kitų kalbų žinojimas visada smarkiai praplečia akiratį, tačiau gali ir be to puikiausiai prisijungti prie geležinkelininkų
Tokią išvadą iš nieko padariau :). Nežinau, man su blogo administravimu bėdų ištinka, ypač išjungus pluginą, palikus to plugino tag’us ir po to nieko gražaus nebėr :(.
o nekyla problemų su Ruby On Rails, kai reikia kur patalpinti paprastame hostinge?
Yra ir pigių serverių kur palaiko RoR, yra ir VDS ar dedicated. Renkiesi pagal poreikius, bet čia jau atskira tema. Pavyzdžiui, mano JaguarPC palaiko RoR pačiam pigiausiam hostingo plane. Aišku, kažko labai sudėtingo nepakursi, bet paprastą blogą, kuris suktųsi ant RoR tai be problemų.
Būtų įdomu sužinoti daugiau apie tai – įrašas būtų puikus dalykas. :) Nes kiek hostex.lt žiūrėjau tai, kainos vos ne dvigubos.
O, blogeriai.net ant RoR – kažkaip anksčiau nežinojau :-) Labai smagu ir sveikinu!
Man pačiam jau kuris laikas sukasi perkelti savo blogą į Typo… manau jau ne už kalnų.
P.S. php su RoR lyginti irgi nereikėtų – kalbą su frameworku. PHP vs Ruby, RoR vs Symfony/Zend/cake ir t.t. – geresni lyginimo kandidatai :)
Analogiškai nevertėtų kaltinti PHP dėl WordPress kūrėjų kreivų pirštų…
PHP pati savaime nėra bloga kalba, nors Ruby objektiškumas yra didelis pliusas. Ir visgi, yra ir Java, ir Python – labai šaunios alternatyvos tiek PHP, tiek Ruby.
Su PHP taipogi yra sukurta (arba galima sukurti savo) programavimo džiaugsmą teikiančių framework’ų. Ir nebūtinai besilygiuojančių į RoR…
WordPress kodo prasme ir performance’o atžvilgiu yra didelė šiukšliadėžė. Tvarką mėgstančiam ji tokia ir liks, tuo tarpu aklai įsimylėję ir toliau knaisiosis po ją…
Sutinku, kad PHP yra tik įrankis , taip pat kaip ir RoR ir kreivos programuotojų rankos nėra įrankių problema. PHP čia nekaltinu. Vienintelis pastebėjimas, kad su RoR yra lengviau išvengti tokių problemų.
Sutinku, kad reiktų labiau lytinti PHP ir Ruby, bet galų gale viskas susiveda į kodo eilučių skaičių ir jo skaitomumą norint pasiekti rezultatą. :)
O su RoR tai jau pats apsaugo nuo programuotojų žioplumo? :-)
Ne, jis tik įdeda programuotoją į tam tikrus rėmus, iš kurių neišbėgant galima greitai kurti saugias ir patikimas web sistemas.
O tavo xhtml validumo ženkliukas tai visai netinka čia :) Sorry, už offtopiką :)
Ačiū už pastebėjimą. Dar ne visai suspėjau sutvarkyti kreivą šabloną, bet tuo tikrai užsiimsiu :)