Что такое wordpress и для чего он предназначен

Что такое CMS WordPress

WordPress — это бесплатная CMS (Content Management System), то есть специальная программа для управления контентом на сайте. Представьте, что вам нужно быстро изменить изображение на карточке товара, добавить новую статью на сайт или изменить title или description на странице. С помощью CMS вы сможете сделать это несколько минут благодаря понятному и удобному интерфейсу. В этой статье мы подробно расскажем, зачем нужен Вордпресс, для каких типов сайтов он подходит, опишем его преимущества и недостатки.

Для чего нужен WordPress

Как мы писали ранее, WordPress (WP) нужен в первую очередь для управления контентом сайта. С помощью этой системы управления вы с легкостью сможете добавлять новые страницы, менять видео и изображения, редактировать текст, изменять метатеги. Также в Вордпресс есть специальные инструменты — плагины. С их помощью можно ускорять скорость загрузки страниц, добавить на сайт форум, создавать опросы, содержание и многое другое.

Так выглядит панель управления WordPress.

Более того, Вордпресс — это не только простая, но и бесплатная CMS. Поэтому множество владельцев сайтов выбирают данную систему управления содержимым. С ее помощью можно сделать собственный сайт всего за несколько часов. Для этого используют еще один инструмент — темы. Благодаря бесплатным темам люди без навыков программирования могут сделать собственный уникальный сайт.

Таким образом, WordPress используют для 2 основных целей.

1. Создание сайта.
2. Управление содержимым сайта.

Для каких сайтов подходит Вордпресс

Помимо WP существует множество других CMS, и некоторые из них оптимизированы для работы конкретных типов сайтов: интернет-магазинов, форумов и т. д. Распространено мнение, что на WordPress можно реализовать только блог. Однако сейчас с помощью этой системы управления можно сделать практически любой проект. Ниже мы рассмотрим примеры, для каких сайтов подходит Вордпресс.

1. Блог. Конечно, на WP проще всего создать блог. Множество тем и плагинов нацелено именно на этот тип сайтов.
2. Лендинги. Одностраничные сайты также с легкостью можно реализовать с помощью данной CMS.
3. Сайты-визитки. Они служат для презентации компании либо отдельного человека.
4. Портфолио. Сайты, которые презентуют работы исполнителя. Например, дизайнеров или фотографов.
5. Интернет-магазины. На Вордпресс можно создать интернет-магазин с помощью специального плагина WooCommerce.
6. Корпоративные сайты. Простые сайты для коммерческих компаний также можно реализовать на WP.

Преимущества CMS WordPress

1. Бесплатность. CMS WordPress — это абсолютно бесплатная система управления контентом. Вы сможете использовать все возможности Вордпресс полностью безвозмездно. Однако, отметим, что некоторые темы и плагины оснащены платным функционалом, который вы сможете приобрести по желанию.
2. Открытый исходный код. Исходный код Вордпресс доступен для просмотра, изучения и изменения.
3. Простота. WP считается легкой в освоении, имеет логичную структуру и интерфейс.
4. Подходит для людей без опыта. Человек даже без навыков программирования может с легкостью создать собственный сайт с помощью данной CMS.
5. Множество тем и плагинов. Разнообразие тем позволяет создавать уникальные проекты, а плагины дают возможность оптимизировать работу и расширить функционал.
6. Большое интернет-сообщество. Вордпресс — самая популярная CMS в мире. Ее выбирают огромное число пользователей. Поэтому, если у вас возникнут проблемы и вопросы, вы сможете спросить совета у более опытных коллег.
7. Легкая установка. Большинство хостинг-провайдеров предлагают установить WP прямо из панели управления.
8. Понятный интерфейс. Всего за несколько часов вы сможете разобраться с панелью управления WP — она логична и понятна.
9. Нет проблем с SEO. Сайты, разработанные на Вордпресс, не имеют проблем с поисковым продвижением. Конечно, если оно выполняется верно.
10. Регулярные обновления. WordPress постоянно обновляется, устраняя ошибки и уязвимости в системе.

Недостатки CMS WordPress

1. Данная система управления содержимым изначально не предназначена для создания интернет-магазина, поэтому функционал системы все же уступает, например, CMS 1С-Битрикс. Если ваш интернет-магазин содержит множество товаров и каталогов нужно заранее оценить трудозатраты на его разработку.
2. Сайт на WordPress легче взломать, чем сайт на CMS с закрытым кодом. Однако эту проблему можно решить определенными мерами по безопасности.
3. Хоть WP и является бесплатной системой управления, многие темы и плагины предоставляют полезный функционал только за деньги.

Заключение

Таким образом, Вордпресс имеет свои плюсы и минусы. Однако для начинающих вебмастеров и людей без опыта разработки мы рекомендуем использовать именно эту CMS — она простая и не требует больших вложений. Если вы собираетесь создать собственный блог, то WP отлично подойдет для этой цели. Теперь вы знаете, что такое WordPress и для чего он нужен. Если у вас остались вопросы, задавайте их в комментариях. Наши специалисты ответят на них как можно быстрее.

Что нужно знать о WordPress начинающему юзеру

36% всех существующих сайтов сделаны на основе WordPress, по данным W3Techs. А среди всех сайтов, созданных с помощью той или иной CMS, доля проектов на WordPress составляет 63%. Ни одна другая система управления контентом не имела настолько большое влияние в интернете — и вряд ли кто-то в ближайшее время сможет повторить такой успех. В чём же его секрет?

1. WordPress позволяет создавать сайты самых разных видов и тематик. Изначально он задумывался только как платформа для блогов, но всё изменилось с появлением тысяч разнообразных тем и плагинов. Благодаря им стало возможным создание и корпоративного сайта, и интернет-магазина, и онлайн-СМИ. Пожалуй, это больше всего объясняет популярность WordPress.

2. Высокую востребованность WordPress не могли не учесть хостинг-провайдеры. Поэтому у многих из них вы найдёте специальные условия для размещения сайтов на этой CMS. В большинстве случаев вам не придётся устанавливать WordPress самостоятельно, так как всё будет доступно в пару кликов. Также с WordPress можно легко работать и на стандартном виртуальном хостинге, и на VPS.

Панель администрирования WordPress

3. WordPress прост в использовании. Специальные знания практически не требуются для создания простого сайта на нём, а с основными функциями и возможностями сможет разобраться даже новичок. Панель управления удобна как для работы с небольшими сайтами, так и для поддержки масштабных порталов с большой командой разработчиков.

4. Редактор страниц сайта в WordPress устроен по принципу WYSIWYG, What You See Is What You Get, что в переводе означает «что ты видишь, то и получишь». То есть вы производите действие, к примеру, выделяете текст курсивом — и тут же видите результат. Редактор имеет не только визуальный режим, но и режим HTML, что позволяет работать с сайтом на более профессиональном уровне.

Каталог тем

5. WordPress распространяется бесплатно, как и тысячи шаблонов и плагинов для него. Их можно найти в каталоге WordPress или на других ресурсах. Также существует и широкий выбор компонентов, доступных на платной основе: с ними вы получите расширенную функциональность.

6. Многочисленное сообщество пользователей — ещё один довод в пользу WordPress. В Сети доступны подробные советы и инструкции на самые разные темы, которые публикуют опытные юзеры. А благодаря открытому коду любой разработчик может создать свой плагин, виджет или расширение для WordPress и поделиться результатом со всеми желающими.

Раздел с плагинами

Однако работа с WordPress — это не только преимущества, но и сложности, к которым нужно быть готовым:

• Чем популярнее продукт, тем он больше привлекает внимание взломщиков. Атаки на сайты WordPress совершаются довольно часто, но если вы будете вовремя устанавливать новые версии самой CMS, а также обновления тем и плагинов, то атаки вас вряд ли коснутся.
• Для по-настоящему крупных проектов возможностей WordPress, вероятнее всего, будет недостаточно. Порталы, состоящие из тысяч страниц, и интернет-магазины с тысячами товаров рекомендуется запускать на других платформах, которые предназначены для этих целей. В других случаях стабильную работу активно развивающегося проекта можно обеспечить, используя плагины кеширования и оптимизации.
• Работа с плагинами требует ответственного подхода. Есть риск установить некачественные или вредоносные компоненты и тем самым навредить сайту. Устанавливайте плагины из надёжных источников и, если есть возможность, предварительно проверяйте их на тестовом сайте. Используйте только те плагины, которые вам действительно необходимы, контролируйте их количество. А при возникновении вопросов обращайтесь к опытным вебмастерам.

Однако все эти сложности в целом не мешают миллионам пользователей по всему миру развивать свои проекты на WordPress. Преимуществ заметно больше, поэтому начните с этой CMS, если вы совершаете только первые шаги в создании сайтов.

Что такое WordPress: о программе и работе с ней

В этой статье мы расскажем, как проходит работа с WordPress, сделаем небольшой обзор плюсов и минусов программы, а также пошагово покажем, с чего начать создание сайта.

Сайт можно сделать разными способами:

• написать вручную с помощью кода,
• использовать CMS,
• создать с помощью Конструктора.

Что такое WordPress и как это работает

WordPress (WP) ― это система управления содержимым сайта (CMS) с открытым исходным кодом.

Самым популярным на данный момент способом создания сайта является именно CMS. CMS (Content Management System) ― это система создания и управления сайтом. Простыми словами, это программа с удобным интерфейсом для создания веб-ресурса. В ней можно использовать код, но это необязательно. Благодаря такой технологии все желающие могут создать себе страничку.

На рынке программ по созданию интернет-ресурсов за первенство борются Joomla, Drupal, 1C-Битрикс, однако самая популярная CMS ― WordPress. По данным W3techs, WP используют 64,7% всех веб-сайтов, которые сделаны на CMS. Это 41,1% всех существующих в мире сайтов. Эту платформу для своих блогов используют The New York Times и Forbes. Такую популярность Вордпресс получил за удобство интерфейса и большие возможности.

Что нужно знать, чтобы работать с этой CMS? Программа не требует знания кода. Достаточно только зайти в админку и немного познакомиться с интерфейсом.

Расширить функционал программы позволяют плагины. Благодаря им можно создать как простой одностраничник, так и интернет-магазин с сотнями товаров. Интерфейс для публикации статей и заметок чем-то напоминает привычный Microsoft Word:

Опытным разработчикам WP даёт возможность использовать PHP. Так как эта CMS с открытым исходным кодом, интерфейс можно модернизировать и сделать для себя ещё удобнее.

Что значит открытый исходный код

Если программа имеет открытый исходный код (opensource), это значит, что её лицензия не ограничивает доработку, продажу и распространение продукта. Пользователь может скачать программу, посмотреть код, доработать его, а затем использовать программу сам или предложить другим потребителям.

Плюсы и минусы WordPress

Как и любая программа она имеет плюсы и минусы.

Преимущества

Бесплатная платформа. CMS WordPress полностью бесплатна. Вы платите только за домен и хостинг (или VPS), где будут храниться файлы вашего сайта. Программное обеспечение и плагины чаще всего тоже бесплатные.

Открытый исходный код. Вам не нужно будет платить за программное обеспечение WordPress.

Простая установка. Настройка происходит в пару кликов. Если выйдут новые обновления, программа сама сообщит о них и предложит обновиться.

Лёгкость в управлении. Вам не нужны знания программирования для таких ежедневных задач, как написание и редактирование публикаций, загрузка и редактирование изображений, установка плагинов.

Понятный интерфейс. Достаточно посмотреть на название кнопки и сразу станет понятно, что можно сделать с её помощью.

Готовые темы для разных сайтов. Внутри CMS есть множество бесплатных шаблонов для разных типов ресурсов (корпоративных, блоговых, новостных). Неважно, делаете ли вы портфолио для фотографа или сайт медицинской компании. Шаблоны найдутся для любого бизнеса. Также сторонние разработчики продают самостоятельно разработанные темы. Если вы приобретаете услугу Рег.сайт, вы получаете доступ к десяткам бесплатных эксклюзивных тем, база которых постоянно пополняется.

Гибкие настройки сайта. Владельцам сайтов на Вордпресс доступны десятки плагинов, которые могут решать любые технические задачи и расширять функциональность веб-страницы.

SEO-направленность CMS. Работа над SEO очень важна для современного бизнеса. WP готов к такому запросу разработчиков. Уже есть плагины (например, Yoast SEO), которые помогают продвигать сайт. С их помощью можно ставить метатеги, делать xml-карты и размещать ключевые слова в пару кликов.

Автоматическая адаптация под разные устройства. Сейчас важно, чтобы сайт не терял своей красоты и удобства при работе на мобильных устройствах. Движок WordPress сразу генерирует внешний вид на любом устройстве. В процессе работы над дизайном вы всегда можете перейти в режим мобильного устройства и посмотреть, как в этой версии будут видеть сайт пользователи.

Поддержка со стороны многих хостинг-провайдеров. Хостинг — важная часть сайта. На нём хранятся все файлы ресурса. WP «дружит» со всеми крупными хостинг-провайдерами, поэтому вы можете выбрать любую понравившуюся компанию.

Большое сообщество. Пользователей WordPress очень много, и они постоянно обмениваются находками на официальном форуме. Если вы чего-то не знаете или у вас есть какие-то проблемы, вы быстро сможете найти решение.

Недостатки

Несмотря на многие положительные моменты программы, у CMS есть и минусы.

Много сторонних программ. Множество плагинов и тем WordPress созданы сторонними разработчиками, и в них могут быть ошибки. Перед тем как устанавливать новое дополнение, почитайте отзывы, спросите у сообщества мнение по поводу плагина или темы.

Загрузка страницы может занимать много времени. Большое количество плагинов влияет на загрузку страницы. Однако установка плагина кэширования обычно решает эту проблему.

Несовместимость обновлений и плагинов. Большой выбор плагинов — это не только плюс WordPress, но и настоящая боль. Некоторые плагины и их обновления могут вызывать различные баги (ошибки). Ошибки могут возникнуть и из-за обновлений самого Вордпресса. Может потеряться совместимость с установленными дополнениями и темами. В этом случае придётся откатываться на прежнюю версию сайта.

Бывают проблемы с безопасностью. Так как программа распространяется с открытым исходным кодом, злоумышленникам проще найти уязвимости. Также подозрительные плагины могут вызывать вирусы. Разработчики WordPress борются с этой проблемой. Они регулярно выпускают патчи, чтобы усилить защиту системы. Также есть много эффективных плагинов, которые также защищают сайт.

Отсутствует техподдержка. Отсутствие технической поддержки может создать некоторые трудности. Изучать интерфейс и разбираться с проблемами нужно будет самостоятельно. Однако у WordPress очень активное сообщество, поэтому найти решение проблемы можно там.

Не синхронизируется с 1C. Внутри программы нет инструментом для работы с 1С. Если всё-таки это нужно сделать, придётся приглашать программистов для работы с кодом. Однако это сложная задача даже для специалистов.

Какие сайты можно делать на WordPress

Большие возможности CMS позволяют сделать практически любой веб-ресурс — как сайт-визитку, так и корпоративный. Всё зависит от функционала, который нужен на сайте. Например, у WP есть проблема с базами данных и оптимизацией. Поэтому для очень крупных сайтов лучше подойдёт самописный вариант. Однако сложные настройки нужны не многим и чаще всего возможностей CMS хватает.

Для каких сайтов WordPress подойдёт больше всего:

• Блог. Изначально WordPress был платформой для создания блога. В нём можно легко и быстро выкладывать текстовый материал. Блог не требует большого функционала, поэтому проблем с плагинами не будет. Также для блога уже создано много шаблонов.

• Новостные сайты. Для новостного портала, так же как и для блога, важно быстро и просто публиковать контент. Адаптивность CMS под разные устройства позволит читателям знакомиться с новостями со смартфона или планшета. При этом владельцу не понадобится делать все настройки самому.
• Портфолио. Фотографам, дизайнерам, художникам, артистам и другим работникам творческой сферы иногда нужен сайт, чтобы хранить там свои работы. В программе есть множество возможностей по размещению фото: галереи, карусели, слайдеры, лайтбоксы и многое другое.

• Сайт-визитка или одностраничник. Компаниям необязательно заводить большие корпоративные ресурсы с десятками страниц. Иногда достаточно небольшой приветственной страницы, где пользователь может найти ответы на свои вопросы и узнать контакты организации. Приглашать программистов для создания такой визитки нецелесообразно. Намного дешевле и быстрее создать такой сайт на CMS.
• Интернет-магазин. Казалось бы, интернет-магазин ― это сложно. Однако в WordPress есть плагин WooCommerce, который позволяет легко сделать интернет-магазин с сотнями позиций. Также разработчики Вордпресс и сторонние специалисты уже создали сотни шаблонов, которые ещё больше ускоряют процесс создания магазина. Вам понадобится только загрузить свои товары.

Это только малый список того, что можно сделать на WordPress.

Чем отличается WordPress.com и WordPress.org

На просторах интернета можно встретить два сайта ― WordPress.com и WordPress.org. У многих возникает вопрос, чем они отличаются друг от друга? Оба этих сайта официально представляют продукт WP. Однако они предлагают разный набор услуг.

На WordPress.org можно скачать саму программу, плагины и темы. Чтобы разместить сделанный сайт в интернете, вам понадобится заказать домен и хостинг у провайдера, например Рег.ру.

WordPress.com ― это хостинговая площадка с CMS WordPress. Вам не придётся ничего скачивать и устанавливать. Нужно только завести учётную запись. Компания даст вам поддомен (например myite.wordpress.com) и бесплатно разместит на своём хостинге. Если вы хотите убрать часть адреса «wordpress.com», можете перейти на платный тариф. Главный минус wordpress.com ― невозможно работать с php. Вы сможете пользоваться только тем, что предлагает компания. Также в нём нет плагинов. Есть только встроенные дополнительные функции.

WordPress: начало работы

Как начать работать с WordPress?

Чтобы сайт работал, нужна не только CMS, но и домен с хостингом. Если вы только начинаете свой путь в создании интернет-ресурса, предлагаем сначала прочитать, зачем нужен домен и хостинг. WordPress.com предоставляет свой хостинг. Но он не даёт возможности его настраивать. Это серьёзный минус, поэтому перед началом работы с WordPress поищите подходящего регистратора доменов и хостинг-провайдера. На Рег.ру вы можете приобрести и домен, и хостинг специально для WordPress. Не забудьте прикрепить домен к хостингу, чтобы сайт стал доступен по зарегистрированному доменному имени.

Если вы купили хостинг без установленной CMS, её можно легко установить вручную по инструкции.
Выберите понравившуюся тему. Это можно сделать на этапе установки CMS или после.

• Структура страницы сайта на WordPress
• Как создать интернет-магазин в WordPress
• Как добавить форму подписки на рассылку в WordPress
• Капча для сайта на WordPress
• Как добавить капчу для Сontact Form 7
• Как добавить контактную форму в WordPress
• Эффекты для WordPress

После создания веб-ресурса защитите сайт и данные своих посетителей SSL-сертификатом. Подробнее о том, для чего нужен SSL, читайте в статье.

Конечно, чтобы превратить шаблонный продукт во что-то новое и интересное, нужно потратить не пару минут, а гораздо больше. Но за пару минут вы действительно сможете развернуть на хостинге почти готовый сайт. Вам останется только творить.

Если вы совсем новичок в мире IT, но вам очень нужен сайт, рекомендуем воспользоваться нашей услугой Рег.сайт. Всего в пару кликов вы купите хостинг с уже установленной и доработанной нашей командой CMS WordPress и сразу зарегистрируете новый или прикрепите уже приобретённый домен. В подарок вы получите бесплатный SSL-сертификат на год и эксклюзивные шаблоны.

Помогла ли вам статья?

Спасибо за оценку. Рады помочь ��

WordPress

WordPress — CMS-платформа для персонального блоггинга, популярная система управления контентом (Content Management System, CMS) в мире.

Система располагает рядом возможностей для максимально упрощения процесса создания онлайн-публикаций. Продукт распространяется свободно, в соответствии со стандартами.

Платформа и лицензирование

WordPress доступна в соответствии с лицензией GPL версии 2, система с открытым исходным кодом.

Для использования требуются PHP (версия 5.2.4 или выше) и MySQL (версии 5.0.2 или выше).

История создания

2023: BI.Zone WAF защищает от уязвимости

Правила BI.ZONE WAF позволяют защититься от атак с эксплуатацией уязвимости CVE-2023-6063 в WordPress-плагине WP Fastest Cache. Об этом компания BI.Zone сообщила 22 ноября 2023 года. Подробнее здесь.

2022

Обнаружение Linux-бэкдора, который взламывает сайты под управлением WordPress

Компания «Доктор Веб» 30 декабря 2022 года сообщила о том, что выявила вредоносную программу для ОС Linux, которая взламывает сайты на базе CMS WordPress через эксплуатацию 30 уязвимостей в ряде плагинов и тем оформления для этой платформы. Если на сайтах используются устаревшие версии таких плагинов без необходимых исправлений, в целевые веб-страницы внедряются вредоносные JavaScript-скрипты. После этого при клике мышью в любом месте атакованной страницы пользователи перенаправляются на другие ресурсы.

Киберпреступники на протяжении многих лет атакуют сайты на базе WordPress. Эксперты по информационной безопасности наблюдают за случаями, когда для взлома интернет-ресурсов и внедрения в них вредоносных скриптов применяются различные уязвимости платформы и ее компонентов. Проведенный специалистами «Доктор Веб» анализ обнаруженной троянской программы показал, что она может быть тем вредоносным инструментом, с помощью которого злоумышленники более 3 лет совершали подобные атаки и зарабатывали на перепродаже трафика — арбитраже. Карта ключевых компаний экосистемы «1С»

Вредоносная программа, получившая по классификации Dr.Web имя Linux.BackDoor.WordPressExploit.1, предназначена для работы на устройствах под управлением 32-битных ОС семейства Linux, однако может функционировать и в 64-битных системах. Linux.BackDoor.WordPressExploit.1 — это бэкдор, которым злоумышленники управляют дистанционно. По их команде он способен выполнять следующие действия:

• атаковать заданную веб-страницу (сайт);
• переходить в режим ожидания;
• завершать свою работу;
• останавливать ведение журнала выполненных действий.

Основной функцией трояна является взлом веб-сайтов на базе системы управления контентом WordPress и внедрение вредоносного скрипта в их веб-страницы. Для этого он использует известные уязвимости в плагинах для WordPress, а также в темах оформления сайтов. Перед атакой троян связывается с управляющим сервером и получает от него адрес веб-ресурса, который требуется взломать. Затем Linux.BackDoor.WordPressExploit.1 по очереди пытается эксплуатировать уязвимости в устаревших версиях следующих плагинов и тем, которые могут быть установлены на сайте:

• WP Live Chat Support Plugin
• WordPress – Yuzo Related Posts
• Yellow Pencil Visual Theme Customizer Plugin
• Easysmtp
• WP GDPR Compliance Plugin
• Newspaper Theme on WordPress Access Control (уязвимость CVE-2016-10972)
• Thim Core
• Google Code Inserter
• Total Donations Plugin
• Post Custom Templates Lite
• WP Quick Booking Manager
• Faceboor Live Chat by Zotabox
• Blog Designer WordPress Plugin
• WordPress Ultimate FAQ (уязвимости CVE-2019-17232, CVE-2019-17233)
• WP-Matomo Integration (WP-Piwik)
• WordPress ND Shortcodes For Visual Composer
• WP Live Chat
• Coming Soon Page and Maintenance Mode
• Hybrid

В случае успешной эксплуатации одной или нескольких уязвимостей в целевую страницу внедряется загружаемый с удаленного сервера вредоносный JavaScript. При этом инжектирование происходит таким образом, что при загрузке зараженной страницы данный JavaScript будет инициирован самым первым, — независимо от того, какое содержимое было на странице ранее. В дальнейшем при клике мышью в любом месте зараженной страницы пользователи будут перенаправлены на нужный злоумышленникам сайт.

Пример инжекта в одной из взломанных страниц:

Троянская программа ведет статистику своей работы: она отслеживает общее число атакованных сайтов, все случаи успешного применения эксплойтов и дополнительно — число успешных эксплуатаций уязвимостей в плагине WordPress Ultimate FAQ и Facebook-мессенджере (признана экстремистской организацией и запрещена в России) от компании Zotabox. Кроме того, он информирует удаленный сервер обо всех выявленных незакрытых уязвимостях.

Вместе с текущей модификацией этой троянской программы специалисты также выявили ее обновленную версию — Linux.BackDoor.WordPressExploit.2. Она отличается от исходной адресом управляющего сервера, адресом домена, с которого загружается вредоносный скрипт, а также дополненным списком эксплуатируемых уязвимостей для следующих плагинов:

• Brizy WordPress Plugin
• FV Flowplayer Video Player
• WooCommerce
• WordPress Coming Soon Page
• WordPress theme OneTone
• Simple Fields WordPress Plugin
• WordPress Delucks SEO plugin
• Poll, Survey, Form & Quiz Maker by OpinionStage
• Social Metrics Tracker
• WPeMatico RSS Feed Fetcher
• Rich Reviews plugin

При этом в обоих вариантах трояна была обнаружена нереализованная функциональность для взлома учетных записей администраторов атакуемых веб-сайтов методом грубой силы (брутфорс) — подбором логинов и паролей по имеющимся словарям. Можно предположить, что данная функция присутствовала в более ранних модификациях, либо, наоборот, запланирована злоумышленниками для будущих версий вредоносного приложения. Если такая возможность появится в других версиях бэкдора, киберпреступники смогут успешно атаковать даже часть тех сайтов, где используются актуальные версии плагинов с закрытыми уязвимостями.

Компания «Доктор Веб» рекомендует владельцам сайтов на базе CMS WordPress вовремя обновлять все компоненты платформы, включая сторонние плагины и темы, а также использовать надежные и уникальные логины и пароли к учетным записям.

Ботнет GoTrim брутфорсит пароли администраторов сайтов WordPress

Исследователи Fortinet FortiGuard Labs обнаружили вредоносную кампанию, в ходе которой ботнет на основе Golang взламывает сайты WordPress, чтобы затем захватить контроль над целевыми системами. Об этом стало известно 15 декабря 2022 года.

Данный метод брутфорса является частью кампании, которую аналитики назвали GoTrim, потому что она была написана на Go и использует строку ‘. trim. ’ для разделения данных, передаваемых на C&C-сервер и с него.

GoTrim кампания отслеживается с сентября 2022 года и использует ботнет-сеть для выполнения DDoS-атак при попытке входа на целевой веб-сервер. После взлома оператор устанавливает PHP-скрипт загрузчика на скомпрометированный хост, который предназначен для развертывания «бота-клиента» с жестко заданного URL-адреса, добавляя машину в ботнет.

Цепочка атаки GoTrim

GoTrim не способен самораспространяться, доставлять другие вредоносные программы или сохранять постоянство в зараженной системе. Основная цель GoTrim:

• получение дальнейших команд от C&C-сервера;
• проведение брутфорс-атак на WordPress и OpenCart с использованием набора предоставленных учетных данных;
• работа в режиме сервера, когда ВПО запускает сервер для прослушивания входящих запросов, отправляемых злоумышленником (только если взломанная система напрямую подключена к Интернету);
• имитация легитимных запросов браузераMozilla Firefox в 64-разрядной версии Windows для обхода защиты от ботов;
• обход защиты CAPTCHA на сайтах WordPress.

Брутфорс-атаки могут привести к компрометации сервера и развертыванию вредоносных программ. Чтобы снизить этот риск, администраторы веб-сайтов должны убедиться, что учетные записи пользователей (особенно учетные записи администраторов) используют надежные пароли [1] .

Миллионы сайтов WordPress могут быть захвачены из-за одного плагина

Исследователи безопасности обнаружили масштабную кампанию, в ходе которой было проверено около 1,6 млн. сайтов WordPress на наличие уязвимого плагина, позволяющего загружать файлы без аутентификации. Об этом стало известно 15 июля 2022 года.

Злоумышленники нацелены на плагин Kaswara Modern WPBakery Page Builder, который был заброшен его автором до момента исправления критической уязвимости CVE-2021-24284 . Уязвимость позволяет неавторизованному киберпреступнику внедрять вредоносный JavaScript-код на сайты с помощью любой версии плагина, и выполнять загрузку и удаление файлов, что может привести к полному захвату сайта.

Попыткам взлома подверглись 1 599 852 уникальных сайта, лишь небольшая часть из них использует уязвимый плагин. Согласно отчету Wordfence Threat Intelligence Team, атаки продолжаются с 4 июля, в среднем происходит 443 868 попыток атак каждый день. Атаки проводятся с 10 215 различных IP-адресов, причем некоторые из них генерируют миллионы запросов, а другие ограничиваются меньшим количеством.

Злоумышленники отправляют POST-запрос на «wp-admin/admin-ajax/php», пытаясь использовать AJAX-функцию плагина «uploadFontIcon» для загрузки вредоносной полезной нагрузки, содержащей PHP-файл. Этот файл вызывает трояна NDSW, который внедряет код в JavaScript-файлы, присутствующие на целевых сайтах, чтобы перенаправлять посетителей на фишинговые сайты и сайты с вредоносным ПО.

Пользователям следует удалить плагин Kaswara Modern WPBakery Page Builder Addons со своих сайтов WordPress. Если плагин не используется, пользователям все равно рекомендуется блокировать IP-адреса злоумышленников [2] .

Обнаружение более 47 000 вредоносных плагинов инструментом Yoda

Инструмент YODA обнаружил более 47 000 вредоносных плагинов WordPress. Об этом стало известно 2 июня 2022 года.

Вредоносные плагины были установлены на более чем 24 000 сайтов.

Из общего числа вредоносных плагинов 3 685 были проданы на проверенных торговых площадках и принесли злоумышленникам 41 500 долларов США. Инструмент предназначен для обнаружения вредоносных плагинов WordPress и отслеживания их источника. Это возможно благодаря анализу файлов кода на стороне сервера и связанных с ними метаданных для обнаружения плагинов. После обнаружения плагина запускаются синтаксический и семантический анализ для выявления вредоносного поведения.

YODA помог группе исследователей из Технологического института Джорджии получить результаты исследования, которое проводилось в течение 8 лет.

По словам исследователей, количество вредоносных плагинов на веб-сайтах неуклонно росло на протяжении многих лет, и пик вредоносной активности пришелся на март 2020 года. Их шокировал тот факт, что 94% вредоносных плагинов, установленных за 8 лет, активны и по июнь 2022 года.

В ходе масштабного исследования были проанализированы плагины WordPress, установленные на 410 122 уникальных веб-серверах, начиная с 2012 года. Исследователи обнаружили, что плагины общей стоимостью 834 000 долларов были заражены злоумышленниками после развертывания.

YODA может быть интегрирован непосредственно в сайт, веб-сервер хостинг-провайдера или развернут на маркетплейсе плагинов. Семантическая модель инструмента позволяет обнаруживать веб-оболочки, защищенное паролем выполнение внедренного кода, запутывание кода, загрузчики вредоносного ПО, отключение SEO и майнеры криптовалюты.

Исправление уязвимости, позволяющей удаленному злоумышленнику выполнять произвольный код на серверах

18 мая 2022 года стало известно о том, что десятки тысяч сайтов на WordPress атакованы злоумышленниками.

Хакеры проводят миллионы атак, используя уязвимость WordPress-плагина Tatsu Builder, который установлен примерно на 100 000 сайтов. Tatsu Builder – это плагин, который предлагает мощные инструменты редактирования шаблонов, интегрированные прямо в веб-браузер. По оценкам специалистов, до 50 000 сайтов все еще используют уязвимую версию плагина, хотя патч с исправлением был доступен с начала апреля. Первые массированные атаки начались 10 мая 2022 года и достигли своего пика через четыре дня.

Уязвимость CVE-2021-25094 позволяет удаленному злоумышленнику выполнять произвольный код на серверах с устаревшей версией плагина (устаревшими считаются все сборки до 3.3.12). Уязвимость была обнаружена независимым исследователем Мишелем Винсентом, который публично заявил о ней 28 марта 2022 года и выложил код проверки концепции эксплоита. Разработчик плагина исправил уязвимость в версии 3.3.13 и 7 апреля 2022 года призвал пользователей как можно скорее применить исправление безопасности.

Компания Wordfence предлагает решения для обеспечения безопасности плагинов WordPress и отслеживает текущие атаки. По оценкам исследователей, от 20 000 до 50 000 сайтов используют уязвимую версию Tatsu Builder. Wordfence сообщает, что 14 мая 2022 года остановила 5,9 миллионов атак на своих клиентов. Спустя пару дней количество атак снизилось, но хакеры даже на 18 мая продолжают использовать уязвимость.

Атака проходит так: злоумышленники пытаются внедрить вредоносный дроппер под именем .sp3ctra_XO.php и MD5-хэшем 3708363c5b7bf582f8477b1c82c8cbf8 в подпапку каталога «wp-content/uploads/typehub/custom/» и сделать его скрытым файлом.

Wordfence сообщает, что более миллиона атак проводилось с трех IP-адресов: 148.251.183[.]254, 176.9.117[.]218 и 217.160.145[.]62. Специалисты рекомендуют пользователям плагина эти IP-адреса в черный список и обновить Tatsu Builder до версии 3.3.13, чтобы избежать риска атаки [4] .

2021: Атакованы 1,6 млн веб-сайтов на базе WordPress

10 декабря 2021 года разработчики плагина безопасности WordPress, Wordfence, объявили о длительной атаке, нацеленной на веб-сайты на базе WordPress с использованием определенных дополняющих утилит. Разработчики заявили, что за 36 часов 1,6 млн веб-сайтов WordPress были атакованы с 16 тыс. различных IP-адресов.

Компания Wordfence, занимающаяся безопасностью WordPress, которая раскрыла подробности атак, заявила 9 ноября, что она обнаружила и заблокировала более 13,7 млн атак, направленных на плагины и темы, в течение 36 часов с целью захвата веб-сайтов и выполнения вредоносных действий.

Атакованы 1,6 млн веб-сайтов на базе WordPress

Большинство атак, наблюдаемых Wordfence, связаны с тем, что злоумышленник обновляет параметр «users_can_register» (т.е. любой может зарегистрироваться), чтобы он был включен, и устанавливает параметр «default_role» (т.е. роль по умолчанию для пользователей, которые регистрируются в блоге) для администратора, тем самым позволяя злоумышленнику зарегистрироваться на уязвимых сайтах в качестве привилегированного пользователя и захватить контроль.

Владельцы сайтов должны проверить настройки на своем веб-сайте, чтобы понять, был ли сайт атакован. Если активирован параметр «Anyone Can Register» и для новой роли пользователя установлено значение «Administrator», им следует изменить эти настройки и немедленно проверить список пользователей, а также обновить плагины. [5]

2018

На WordPress пришлось 90% взломов CMS

В марте 2019 года компания Sucuri, занимающаяся исследованиями в области информационной безопасности, составила рейтинг чаще всего взламываемых систем управления контентом (CMS). Около 90% атак в 2018 году пришлось на WordPress против 83% годом ранее. Доли взломов других CMS приведены на диаграмме ниже. Подробнее здесь.

Треть сайтов использует WordPress

Австрийская компания W3Techs, которая занимается исследованиями интернета, составила отчет, посвященный системам управления контентом (CMS). Оказалось, что почти каждый третий сайт в мире построен на WordPress.

В W3Techs при помощи специального программного обеспечения проанализировали более 10 млн крупнейших сайтов в интернете (по рейтингу Alexa, в статистике учитываются только домены второго уровня). В ходе анализа поддомены учитывались как один сайт, а переадресованные домены исключались.

Почти каждый третий сайт использует WordPress, данные W3Techs

Примерно 30% изученных сайтов используют WordPress. В 2015 году этот показатель измерялся 25%, а в 2011-м — 13%. Таким образом, за семь лет доля платформы выросла более чем вдвое.

Если брать только веб-ресурсы, созданные и управляемые при помощи какой-либо CMS, то доля WordPress в 2018 году превысила 60%. Больше половины сайтов не используют никакую CMS и созданы с нуля.

В тройку самых популярных CMS-платформ при рассмотрении всех 10 млн сайтов вошли Joomla (3,1%) и Drupal (2,2%). Следом расположились Magento (1,2%) и Shopify (1%). У остальных систем доли не достигают и 1%.

В исследовании W3Techs также говорится, что большинство проверенных веб-серверов работают под управлением Apache httpd (47,1%), на втором месте — Nginx (37,3%), а на третьем — Microsoft IIS (10,2%). При этом 67% сайтов обслуживаются Unix-подобными ОС, а 33% функционируют под управлением Windows. На 21,9% сайтов установлены виджеты социальных сетей: на 10.9% сайтов установлен блок Facebook, 9,1% — Twitter и 5,9% —Google +1.

К 7 марта 2018 года наиболее актуальной версией WordPress является 4.9.4, которая была выпущена в феврале — на следующей день после выхода апдейта 4.9.4, в котором разработчики испортили механизм автоматических обновлений, позволяющий CMS обновляться самостоятельно, без участия пользователя. [6]

2017: Инфографика об использовании продукта в мире

В марте 2017 года были представлены некоторые факты об использовании WordPress в мире.

2015: WordPress ушла от PHP

24 ноября 2015 года стало известно о модернизации панели администрирования блог-платформы WordPress. Релиз получил название Calypso [7] .

Реклама WordPress (2015)

Среди изменений в релизе:

• код полностью переписан с PHP на JavaScript с использованием библиотек Node.js и React
• основа платформы полностью на открытых API
• адаптивный дизайн для всех устройств и размеров экрана
• панель управления сразу для нескольких сайтов из одного раздела адмиистрирования

Создатели пообещали повышение скорости работы и упрощение интерфейса.

Разработка началась в начале 2014 года. Руководство группы разработчиков объяснило изменения постепенным старением платформы и тем, что некоторые преимущества WordPress, будучи таковыми, одновременно не позволяют платформе развиваться.

Хостинг для блогов WordPress.com перезапущен и работает на основе Calypso. Пользователи, использующие WordPress на собственном хостинге, могут перейти на Calypso с помощью специального плагина.

2014

Согласно официальным данным, в феврале 2014 г. она использовалась приблизительно на 75 млн веб-сайтах, рыночная доля составляет около 22%. В апреле 2014 г. сообщалось, что компания Automattic, занимающаяся разработкой платформы, планирует привлечь $100-150 млн инвестиций.

WordPress 4.0 Beta 1

18 июля 2014 года стало известно о тенденции в ориентации блог-платформы WordPress на рост числа мобильных пользователей и её адаптации разработчиками к условиям, когда количество блоггеров и читателей блогов, открывающих сервис с планшетов и телефонов, а не со стационарных компьютеров, постоянно растёт.

Согласно результатам тестирования, проведённого компанией Testize, WordPress 4.0 Beta 1 показала лучшие результаты при выводе информации на мобильных устройствах, нежели на основных браузерах стационарных компьютеров.

• Все устройства загружают информацию без сбоев или пропущенных элементов;
• Содержимое выравнивается по ширине устройства без горизонтальной прокрутки;
• Ширина страницы автоматически адаптируется под разрешение экрана устройств, а левое меню быстрой навигации передвигается к нижней части страницы на устройствах с небольшим разрешением.

По мнению исследователей, новая версия блог-платформы WordPress 4.0 — многообещающая новинка, адаптированная для использования с мобильных устройств даже лучше, чем со стационарных компьютеров. Небольшие недоработки имеют место: элементы управления маленького размера, отсутствие оптимизированного быстрого навигационного меню.

Хакеры взломали более 100 тыс. веб-сайтов на WordPress

Свыше 100 тыс. сайтов на платформе WordPress оказались поражены вирусом оенью 2014 года, сообщает компания Sucuri. По предварительным данным специалистов, вирус получил распространение благодаря уязвимости в популярном плагине для WordPress под названием Slider Revolution [8] .

Специалисты выполнили анализ после того, как корпорация Google поместила свыше 11 тыс. доменов в черный список. При попытке зайти на такой сайт в результатах поиска Google пользователь видит предупреждение о том, что данный ресурс может нанести вред его компьютеру.

О том, что в Slider Revolution Premium содержится критическая уязвимость (в 4.1.4 и более старых версиях), специалисты сообщили в начале сентября. Брешь была устранена в версии 4.2, выпущенной в феврале 2014 г. Но администраторы многих сайтов на WordPress не выполнили обновление.

Уязвимость позволяет получить доступ к файлу конфигурации WordPress, находящемуся в корне сайта, — wp-config.php. Этот файл содержит настройки базы данных сайта, включая имя и пароль для доступа к ней. База данных содержит весь контент веб-сайта, включая информацию для аутентификации. Таким образом, получив доступ к ней, можно получить контроль над всем ресурсом.

«Самая большая проблема заключается в том, что данный плагин, который содержит уязвимость, входит в состав многих тем оформления. Магазины с темами сами оплатили этот плагин и теперь предлагают его пользователям, нужен он им или нет. То есть многие из них могут даже не знать о его наличии», — подчеркнул аналитик Sucuri Дэниел Сид (Daniel Cid).

2003: Мэтт Мюлленвег получил права на товарную марку WordPress

В 2003 году Вальдриги прекратил разработку и автором WordPress считается Мэтт Мюлленвег, ему принадлежат права на товарную марку WordPress.

2001: Мишель Вальдриги приступил к разработке движка b2

В 2001 году Мишель Вальдриги приступил к разработке движка b2. Позже к проекту присоединились Мэтт Мюлленвег и Майк Литтл.

Основные функции

Управление и администрирование

Локальная установка

WordPress предназначен для установки на Web-сервере, предоставляющем контроль над блогом. Систему также можно установить на обычный домашний компьютер или развернуть в сети Интранет.

Переносимая основа

Доступна настройка дерева связанных файлов WordPress, формирующих рабочую среду (back-end) блога и эти файлы могут находиться в той же директории, что и блог или в другом месте.

Совместимость с UTC

WordPress позволяет определять время блога, как смещение относительно Универсального Координированного Времени (UTC), и, следовательно, все элементы, связанные со временем, сохраняются в базе данных со значениями GMT, являющегося универсальным стандартом.

Поддержка gzip

Пользователь может экономить трафик, включив режим gzip в настройках WordPress, при этом система автоматически упаковывает содержимое страниц для отправки с помощью gzip, если браузер посетителя сайта поддерживает эту функцию.

Управление пользователями

WordPress использует контроль на уровне пользователей при доступе к различным возможностям, так что существует возможность ограничить каждого пользователя в создании или правке содержимое блога, меняя для него уровень доступа.

Профили пользователей

Для каждого пользователя доступна настройка профиля: адрес электронной почты, мессенджеры и т.п. Пользователи могут управлять отображением этих данных в блоге.

Динамическая генерация страниц

Страницы не нужно перестраивать каждый раз после обновления информации или изменения любого из аспектов блога. Все страницы генерируются с использованием базы данных и шаблонов (templates) каждый раз, когда страница блога запрашивается браузером. Это значит, что обновление блога или его дизайна происходит максимально быстро, насколько это возможно, и требуемое дисковое пространство на сервере минимально.

Интернационализация и локализация

Пользователям доступно создание блога, локализованного под их нужды и отображаемого на требуемых языках.

Ссылки

Официальный сайт проекта В России существует сообщество, поддерживающее и развивающее локализованную версию продукта.

Примечания

1. ↑Ботнет GoTrim брутфорсит пароли администраторов сайтов WordPress
2. ↑Миллионы сайтов WordPress могут быть захвачены из-за одного плагина
3. ↑Инструмент YODA обнаружил более 47 000 вредоносных плагинов WordPress
4. ↑Десятки тысяч сайтов на WordPress атакованы злоумышленниками
5. ↑1.6 Million WordPress Sites Under Cyberattack From Over 16,000 IP Addresses
6. ↑Usage of content management systems for websites
7. ↑WordPress перезапустил админку «с нуля», сменив PHP на JavaScript
8. ↑CNews:Хакеры взломали более 100 тыс. веб-сайтов на WordPress