• «Облачный» дайджест #1

• «Облачный» дайджест #2

Специалисты в области информационной безопасности нашли бэкдор в плагине для WordPress, который вносил изменения в основные файлы платформы с целью дальнейшей авторизации и кражи пользовательских данных.

Первые признаки наличия бэкдора были замечены сотрудниками компании Sucuri, работающей в области обеспечения информационной безопасности web-сайтов. Один из их клиентов заметил файл со странным названием (auto-update.php), не существовавший до недавнего обновления плагина.

Речь идёт о Custom Content Type Manager (CCTM), популярном плагине для WordPress, предназначенном для создания произвольного типа постов. CCTM был доступен в директории плагинов на сайте WordPress в течение трёх лет и собрал себе довольно большую аудиторию – он установлен на более чем 10000 сайтов.

В своей предыдущей статье по оптимизации сайта на WordPress я рассказал об очень эффективном подходе к оптимизации за счёт кэширования страниц. В результате чего для незалогиненных пользователей время ожидания страницы клиентом (исключая время на установление TLS-сессии) сократилось с 820 мс до 30 мс (этот и все последующие замеры проводились с сервера, расположенного в том же городе, что и мой VDS), что, согласитесь, является отличным показателем. Однако, для залогиненных пользователей генерация страницы происходила по-прежнему долго — в среднем 770 мс на сервере. В этой части я расскажу о том, как я сократил это время до 65 мс, при этом полностью сохранив работоспособность пользовательского функционала.

Целью этой и предыдущей статей является моё желание показать возможность оптимизации сайтов не только на WordPress, а вообще любого веб-приложения. Поэтому я использую такое количество инструментов, и так детально разбираю их конфигурацию. Если же Вам просто нужно ускорить WordPress — установите плагин WP Super Cache. Если Вас, как и меня, интересуют технологии, позволяющие оптимизировать любой сайт, а также Вам интересно, что стоит учитывать при разработке веб-приложений, рассчитанных на высокие нагрузки — прошу под кат, но только после прочтения первой части — дорабатывать я буду ту же систему.

Мы продолжаем традицию проведения митапов для WordPress-разработчиков Харькова, и приглашаем всех желающих на WordPress Meetup #2! Как и всегда, наших гостей ждут интересные доклады, вкусные кофе-брейки и увлекательное обсуждение новостей из мира CMS.

Приятные сюрпризы предстоящей встречи:

• В этот раз мы соберёмся на новой отличной площадке — в хабе «Фабрика». Надеемся, здесь наши встречи будут проходить в ещё более комфортной и уютной обстановке.
• Помимо традиционных докладов будет выделено время для вопросов и ответов, в течение которого можно обсудить все интересующие вас темы, связанные с WordPress.
• Авторы лучших вопросов и ответов получат специальный подарок — годовую подписку на любую IDE от JetBrains.
• На встрече авторы семи репостов с наибольшим количеством лайков получат WordPress-кружку. Нужно лишь позвать с собой друзей, сделав репост анонса в Facebook, VK или Google+ с хештегом #wpkharkiv.

Чтобы принять участие в конференции, подписывайтесь на наш ивент на meetup.com и подтвердите своё присутствие на второй встрече Kharkiv WordPress.

Приходите, будет круто!

В ноябре 2015 года вышел свежий обзор Venturebeat.com и W3Techs. Выяснилось, что каждый четвёртый сайт в Интернете базируется на открытой системе управления контентом (CMS) WordPress. В исследование включались только сайты из Alexa TOP 1.000.000, что говорит о том, что это были не какие-то ресурсы, сделанные второпях или в учебных целях, а действительно крупные проекты. Занявшая второе место CMS Joomla набрала только 2,8%.



Свой 8-ми летний рубеж в 2011 году WordPress встретила с результатом всего 13,1%. Затем плавно, без скачков или других резких потрясений четыре года непрерывного роста, и в итоге 14-й год существования этой CMS принес ей абсолютное лидерство: 25% всех сайтов в мире отдали ей предпочтение. Надо отметить, что и сервис WHOIS присудил ей в своем рейтинге 1-е место: 36% проверок на тип CMS его пользователями он выдал ответ: WordPress.

Итальянская компания VoidSec, работающая в сфере информационной безопасности, опубликовала материал о недавно обнаруженном ботнете из роутеров Aethra. Как оказалось, эти устройства подвержены взлому, а злоумышленники используют ботнеты из таких устройств для проведения брутфорс-атак на сайты Wordpress.

Одна из таких атак была обнаружена специалистом компании, когда тот анализировал логи Wordpress-сайтов, подвергшихся атаке. Как оказалось, атака шла с довольно близкого диапазона IP-адресов. После детального анализа оказалось, что атака осуществлялась с IP, отнсящихся к 6 интернет-провайдерам: Fastweb, Albacom (BT-Italia), Clouditalia, Qcom, WIND, и BSI Assurance UK. 4 провайдера работают в Италии. Большинство этих компаний устанавливают клиентам роутеры Aethra.

Если вы ещё не слышали об этом, WordPress анонсировал, что в данный момент они работают над секретным проектом под названием «Calypso», который будет полностью написанный на JavaScript. И мы все были просто ошарашены данной новостью! Серьёзно ли WordPress угробит поддержку PHP в пользу JavaScript?

WordPress, будучи одной из самых популярных CMS в мире, снабжен подробной документацией, а точнее, даже двумя. В связи с чем ни в коем случае не стоит воспринимать этот текст как описание неких “best practices” и уж точно никто не заставляет слепо следовать описанному. Статья — просто быстрый ответ на вопрос «как?!» (следующий абзац) и подробное описание всего, что нужно знать чтобы заставить WordPress отвечать на AJAX-запросы (вся остальная статья).

Кратко

Традиционно для AJAX-запросов нужно две вещи: скрипт на сервере (бекенд), который будет отвечать на запросы, и скрипт на клиенте (фронтенд), который будет эти запросы делать. WordPress позволяет делегировать функции на обращение к специальному URL, по которому находится обработчик запросов.

Итак, работает это, «WordPress-way», вот так:

1. На бекенде с помощью функции admin_url получаем ссылку на обработчик AJAX-запросов и передаем ее во фронтенд одним из способов. Именно к этой ссылке мы будем делать наши запросы.
2. На бекенде регистрируется хук с функцией для обработки некоего экшена. Назовем этот экшен, например, get_posts.
3. Фронт-енд делает запросы к URL-у из пункта 1, передавая имя экшена. Например, ?action=get_posts.
   На бек-енде, если на экшен зарегистрирован хук, выполняется заданная нами функция.

Вот так вот просто. Теперь подробнее.

Что такое шорткоды

Начиная с версии 2.5, разработчики WordPress ввели понятие «Shortcodes API». Этот функционал позволяет создавать и использовать макрокоды в страницах сайта или в записях блога. Например, простая и короткая запись добавит на странице целую фотогалерею.

Более подробно прочитать о шорткодах и узнать, как создавать простые шорткоды, вы можете из документации WordPress.

В статье хочу показать, как правильно создавать более сложные шорткоды и решить наиболее распространенные проблемы при их создании:

1. Подключение сторонних скриптов и запуск только при наличии шорткода на странице.
2. Многоуровневый шорткод.
   
   • Составной шорткод.
   • Вложенность шорткодов.
   
   

Началось все с того что Adsense в очередной раз понизил оценку эффективности страниц:

А все мы знаем, что скорость сайта – один из факторов ранжирования в выдаче Гугла.

И если раньше удавалось исправить ситуацию простыми действиями, включить кэширование или сжать JS, то теперь, похоже, пришло время взяться за сайт основательно.

Изначально имеется сайтик со статьями, коих в интернете миллионы: CMS Wordpress 4.2, два десятка плагинов, тема, сверстанная фрилансером и shared хостинг.

При разработке собственного сайта мы всегда хотим снизить время загрузки до минимума, и многие сделали это уже почти спортом, стараясь выгадать хотя бы 1/10 секунды. Все мы знаем, насколько важно кэширование, но существует много способов обмануть самого себя, смотря только на оценку времени загрузки. Для проведения теста мы попытались найти несколько различных кэширующих плагинов и проверить их производительность.

Привет Хабр! Вчера мы зарелизили «Monstroid» – тему-конструктор для WordPress. Новый продукт подойдёт пользователям WP самого разного уровня, а также поможет создавать сайты разной сложности, включая интернет-магазины.

Мы долго искали решение для создания удобного портала с отчетами о бизнесе. С возможностью их визуализации и аналитики (KPI, ССП). Но все как то не то.
Решили написать на базе WordPress модуль. Написали. Сами используем. Выложили в открытый доступ.
Под катом описание основных возможностей и ссылка на репозитарий…

Привет, Хабр! На этой неделе появилось обновление довольно полезного и интересного фреймворка «Cherry Framework» – периодически поглядываю за ним, так как ранее принимала участие в его разработке и мне как минимум интересно, в каком направлении он развивается сейчас. Внутри поста поговорим о том, что это за фреймфорк и что же такого натворили в новой версии.

WordPress — это удобная блог-платформа для публикации статей и управления ими, на которой базируется огромное число различных сайтов. Из-за своей распространенности эта CMS уже давно является лакомым куском для злоумышленников. К сожалению, базовые настройки не обеспечивают достаточного уровня защиты, оставляя многие дефолтные дырки незакрытыми. В этой статье мы пройдем типичным путем «типового» взлома сайта на Wordpress, а также покажем как устранить выявленные уязвимости.

Если вы реально устали от поисков плагина для загрузки ваших галерей из такого популярного фотохостинга как Flickr, повторяюсь — именно галереи (вставка отдельных фото по умолчанию включена в WP), то добро пожаловать под кат.

Статья в первую очередь будет интересна не новичкам чуть более продвинутым пользователям или же тем, кто в действительности укладывается в установку WordPress менее, чем за 5 минут.

Как уже понятно из названия, речь пойдет о таком популярном плагине от не менее популярной команды разработчиков из automattic, а именно — Jetpack.

Задуматься про Jetpack меня заставила заторможенность, которую я сразу же заметил при смене VPS на более дешевый тариф. Не буду называть хостера, — это отдельная история. Конфигурация нового сервера была такая.

Как блоггер, я трачу уйму времени, используя WordPress Content Editor. Потенциально любые усовершенствования процесса создания постов могут сильно повлиять на мою работу, так что я был весьма заинтригован drag-and-drop плагином MotoPress, специально разработанном для замены стандартного текстового редактора.



Откровенно говоря, до сих пор у меня не было проблем и со стандартным текстовым редактором, так что не до конца понимал, чего ожидать от «Мотопресса»: «работает — не трогай», верно?

Тем не менее, я собрался протестировать несколько основных фич (которых достаточно много) свежим взглядом, чтобы предоставить независимый обзор плагина. И вот что у меня вышло.

Причины создания

Недавно попросили сделать геотаргетинг по городам для сайта на wordpress. Пересмотрев существующие геотаргетинг-плагины (в том числе платные), не нашёл не одного работающего с городами (только страны). Поэтому решил сделать свой, используя какую-нибудь существующую базу для определения местоположения по IP-адресу. Сначала начал с разработки функции в шаблоне, но потом решил создать плагин и выложить на github, так как думаю, что он может пригодиться кому-нибудь ещё.

В силу того, что большинство разрабатываемых мною сайтов создается с использованием CMS Wordpress и приходится постоянно сталкиваться с нетривиальными задачами, решил делиться с вами опытом использования различных плагинов. Как бесплатных так и платных, причем попробую придерживаться такого формата: одна статья — один плагин. Постараюсь рассматривать только действительно заслуживающие внимания разработки, и вот в первом своем рассказе поведаю вам об OptionTree — прекрасное, на мой взгляд, решение для создания страницы с пользовательскими настройками сайта.