Zhońće wjace wo wěstoće jadroweje softwary WordPress w tutej darmotnej běłej knize. Móžeće ju tež w PDF-formaće sćahnyć.

Přehlad

Tutón dokument je analyza a rozjasnjenje wuwiwća jadroweje softwary WordPress a jeho přisłušnych wěstotnych procesow kaž tež rozjasnjenje přepytowanje inherentneje wěstoty, kotraž je direktnje zatwarjena w softwarje. Rozsudźerjo, kotřiž WordPress jako system rjadowanja wobsaha abo wobłukowy system webnałoženjow wuhódnoćeja, měli tutón dokument w swojej analyzy a rozsudźowanju wužiwać, a wuwiwarjo měli so na njón poćahować, zo bychu so z wěstotnymi komponentami a najlěpšimi wašnjemi postupowanja softwary zeznali.

Informacije w tutym dokumenće su aktualne za najnowšu stabilnu wersiju softwary, za čas wozjewjenja WordPress 4.7, měli so wšak tež za najnowše wersije softwary jako relewantne wobhladuja, dokelž wróćokompatibelnosć je mócny fokus za wuwiwarski team WordPress. Wěste wěstotne naprawy a změny so registruja, dokelž su so we wěstych wersijach jadrowej softwarje přidali. Poručuje so doraznje, přeco najnowšu stabilnu wersiju WordPress wužiwać, zo by so najlěpša wěstota zawěsćiła.

Krótke zjeće

WordPress je dynamiski system rjadowanja wobsaha wotewrjeneho žórła, kotryž so wužiwa, zo by miliony websydłow, webnałoženjow a blogow pohonił. Pohonja tuchwilu wjace hač 42 % najwyšich 10 milionow webstronow w interneće. Wužiwajomnosć, rozšěrjomnosć a nazhonjene wuwiwanske zhromadźenstwo WordPress činja jón k woblubowanej a wěstej wólbje za websydła wšěch wulkosćow.

Wot jeho spočatka w lěće 2003, je WordPress stajne skrućenje přeběžał, zo by móhła jeho jadrowa software ze hustymi wěstotnymi wohroženjemi wobchadźeć a je znješkódnić, inkluziwnje lisćinu najstrašnišich, kotrež su so wot projekta Open Web Application Security (OWASP) jako huste wěstotne dźěry identifikowali, kotrež so w tutym dokumenće diskutuja.

Wěstotny team WordPress dźěła, w zhromadnym dźěle z jadrowym nawodnym teamom WordPress a zepěrany wot globalneho zhromadźenstwa WordPress, zo by wěstotne problemy w jadrowej softwarje identifikował a rozrisał, kotraž je za rozšěrjowanje a instalowanje na WordPress.org k dispoziciji, a poruča a dokumentuje najlěpše wěstotne postupjenja za třećich awtorow tykačow a drastow.

Sydłowi wuwiwarjo a administratorojo měli na korektne wužiwanje jadrowych API a serwerowu konfiguraciju, na kotruž so zepěra, wosebitu kedźbnosć złožić, kotrež su hižo žórło za huste wěstnote dźěry byli a zawěsćić, zo wšitcy wužiwarjo mócne hesła za přistup na WordPress wužiwaja.

Přehlad wo WordPress

WordPress je darmotny system rjadowanja wobsaha (CMS) wotewrjeneho žórła. Je najdale rozšěrjena CMS-softwara w swěće a pohonja wjace hač 42 % najwyšich 10 milionow websydłow¹, kotryž ma trochowany wičny podźěl 62 % wšěch sydłow, kotrež CMS wužiwaja.

WordPress podleži licency General Public License (GPLv2 abo pozdźiša), kotraž skići štyri hłowne swobody, kotrež dadźa so jako „wustawu“ WordPress wobhladować:

1. Swoboda, program za kóždy zaměr wužiwać.
2. Swoboda studować, kak program funguje, a jón změnić, zo by to činił, štož chceće.
3. Swoboda dale rozdźělić.
4. Swoboda, kopije wašich změnjenych wersijow na druhich rozdźělić.

Jadrowy nawodny team WordPress

Projekt WordPress je meritokratija, pohonjena wot jadroweho nawodneho teama a nawjedowana wot jeho sobuzałožerja a nawodneho wuwiwarja Matt Mullenweg. Team wšě aspekty projekta wodźi, inkluziwnje jadrowe wuwiće, WordPress.org a iniciatiwy zhromadźenstwa.

Jadrowy nawodny team wobsteji z Matta Mullenwega, pjeć nawodnych wuwiwarjow a wjace hač dwanatkow jadrowych wuwiwarjow ze stajnym pisanskim přistupom. Tući wuwiwarjo maja kónčnu awtoritu při techniskich rozsudach a nawjeduja architekturne diskusije a implementowanske prócowanja.

WordPress ma wjele sobuskutkowacych wuwiwarjow. Někotři z tutych su prjedawši abo tuchwilni zapodawarjo a někotři z nich su přichodni zapodawarjo. Tući sobuskutkowacy wuwiwarjo su dowěry hódni a starosłuženi sobuskutkowarjo WordPress, kotřiž su sej wjele respekta mjez swojimi kolegami zasłužili. Jeli trjeba, ma WordPress tež hóstni zapodawarjo, jednotliwe wosoby, kotřiž maja zapodawanski přistup, druhdy za wěstu komponentu, na nachwilnej abo pospytowej bazy.

Jadrowi a sobuskutkowacy wuwiwarjo hłownje wuwiwanje WordPress nawjeduja. Za kóždu wersiju sta wuwiwarjow kod k WordPress přinošuja. Tući jadrowi sobuskutkowarjo su dobrowólnicy, kotřiž na někajke wašnje k jadrowej kodowej bazy přinošuja.

Wozjewjenski cyklus WordPress

Kóždy wozjewjenski cyklus WordPress so wot jednoho jadroweho wuwiwarja abo wjacorych jadrowych wuwiwarjow WordPress nawjeduje. Wozjewjenski cyklus zwjetša na 4 měsacy traje, wot prěnjeho sondowanskeho zetkanja do starta wersije.

Wozjewjenski cyklus slědowacemu mustrej slěduje²:

• Faza 1: Team planowanje a zawěsćenje nawjeduje. To so w bjesadowym rumje #core na Slack wotměwa. Wozjewjenske nawodnistwo funkcije za přichodnu wersiju WordPress diskutuje. Sobuskutkowarjo WordPress so do tuteje diskusije zapřijimaja. Wozjewjenske nawodnistwo teamowych nawodow za kóždu z funkcijow postaja.
• Faza 2: Wuwiwanske dźěło so započina. Teamowi nawodźa teamy zestajeja a dźěłaja na jim připokazanych funkcijach. Prawidłowne bjesady so planuja, zo bychu zawěsćili, zo wuwiwanje dale pokročuje.
• Faza 3: Beta. Betawersije so wozjewjeja, a proša betatestowarjow, zmylki zdźělić. Wot tuteje fazy so hižo žane změny za nowe polěpšenja abo próstwy wo funkcije njepřewjedu. Awtorojo tykačow a drastow třećich so pozbudźeja, swój kod z přichodnymi změnami WordPress testować.
• Faza 4: Wozjewjenski kandidat. Wot tutoho časa so znamješkowe rjećazki za přełožowanje zamjerznu. Dźěłaja jenož na regresijach a blokowacych problemach.
• Faza 5: Start. Wersija WordPress so startuje a staja so w administratorowej desce WordPress za aktualizacije k dispoziciji.

Wersijowe čisłowanje a wěstotne wozjewjenja

Hłowna wersija WordPress so přez prěnjej dwě sekwency postaja. 3.5 je na přikład hłowna wersija, a 3.6., 3.7 abo 4.0 tež. Njeje „WordPress 3“ abo „WordPress 4“ a kóžda hłowna wersija so přez swoje čisłowanje woznamjenja, na př. „WordPress 3.9“

Hłowne wersije móža nowe wužiwarske funkcije a wuwiwarske API přidać. Hačrunjež je typiske w softwarowym swěće, zo „hłowna“ wersija móže wróćokompatibiltu złamać, prócuje so WordPress, zo so wróćokompatibilitu njezłama. Wróćokompatibilita je jedna z najwažnišich filozofijow, z cilom, aktualizacije za wužiwarjow kaž tež za wuwiwarjow w samsnej měrje wosnadnić.

Mała wersja WordPress so přez třeću sekwencu postaja. Wersija 3.5.1 je mała wersija, kaž tež 3.4.2³. Mała wersija je jenož za wotstronjenje wěstotnych dźěrow a porjedźenje kritiskich zmylkow wuměnjena. Dokelž so nowe wersije WordPress tak husto wozjewjeja – cil je kóžde 4-5 měsacow za hłownu wersiju, a małe wersije so wozjewjeja, je-li trjeba – su jenož hłowne a małe wersije trěbne.

Wersijowa wróćokompatibelnosć

Projekt WordPress je wróćokompatibelnosći jara zawjazany. Tutón zawjazk woznamjenja, zo drasty, tykače a swójski kod dale funguja, hdyž so jadrowa softwara WordPress aktualizuje. Wobsedźerjo websydłow so namołweja, swoju wersiju WordPress na najnowšu wěstu wersiju aktualizować.

WordPress a wěstota

Wěstotny team WordPress

Wěstotny team WordPress z někak 50 ekspertow wobsteji, mjez nimi nawodni wuwiwarjo a wěstotni slědźerjo – někak połojca su přistajeni Auttomatic (zhotowjer WordPress.com, najstarša a najwjetša hospodowaca platforma we webje) a wjele z nich dźěła na polu webwěstoty. Team ze znatymi a dowěry hódnymi wěstotnymi slědźerjemi a hospodowacymi předewzaćemi radu składuje³.

Wěstotny team WordPress husto z druhimi wěstotnymi teamami hromadźe dźěła, zo by problemy w zhromadnych wotwisnosćach rozrisał, na přikład słaby dypk w parserje PHP XML, kotryž so přez API XML-RPC wužiwa, kotryž so z WordPress we WordPress 3.9.2⁴ dodawa. Tute rozrisanje słabeho dypka je wuslědk zhromadneje prócy wěstotneju teamow WordPress a Drupal.

Wěstotne rizika, proces a historija WordPress

Dokelž wěstotny team WordPress do zamołwiteho wotkrywanja wěri, informuje wón wěstotny team hnydom wo potencielnych wěstotnych dźěrach. Potencielne wěstotny dźěry dadźa so wěstotnemu teamej přez WordPress HackerOne⁵ signalować. Wěstotny team mjez sobu přez priwatny kanal Slack komunikuje, a dźěła na wotzamknjenym, priwatnym nastroju Trac za slědowanje, testowanje a porjedźenje zmylkow a wěstotnych problemow.

Kóžda wěstotna rozprawa so při přijeću wobkruća, a team dźěła, zo by wěstotne dźěry přepruwował a jich chutnosć postajił. Je so to wobkruća, planuje wěstotny team porjedźenje, zo by problem rozrisał, kotrež so do přichodneje wersije softwary WordPress zapřijima abo da so jako hnydomna wěstotna wersija zastorčić, we wotwisnosći wot chutnosće problema.

Za hnydomnu wěstotnu wersiju so wot wěstotneho teama na sydle nowinkow skedźbnjenje wozjewja⁶, kotrež wersiju připowědźa a změny nadrobnje wopisuje. W skedźbnjenju so zamołwite wotkryće wěstotneje dźěry hódnoći, zo by so kontinuowane zamołwite rozprawnistwo w přichodźe spěchowało a skrućiło.

Administratorojo softwary WordPress zdźělenku na swojej sydłowej kontrolnej desce widźa, hdyž je nowa wersija k dispoziciji, a slědujo manuelnej aktualizaciji so wužiwarjo k wobrazowce Wo WordPress sposrědkuja, kotraž podrobnosće pokazuje. Jeli administratorojo su awtomatiske pozadkowe aktualizacije zmóžnili, dóstanu mejlku, po tym zo je so aktualizacija dokónčiła.

Awtomatiske pozadkowe aktualizacije za wěstotne wozjewjenja

Započinajo z wersiju 3.7 je WordPress awtomatizowane pozadkowe aktualizacije za mjeńše wersije zawjedł⁷, kaž na př. 3.7.1 a 3.7.2. Wěstotny team WordPress móže awtomatizowane wěstotne polěpšenja za WordPress identifikować, porjedźić a rozdźělić, bjeztoho zo by dyrbjał wobsedźer websydła něšto ze swojeje strony činić, a wěstotna aktualizacija budźe so awtomatisce instalować.

Hdyž so wěstotna aktualizacija za aktualnu stabilnu wersiju WordPress zastorkuje, jadrowy team tež wěstotne aktualizacije za wšě wersije zastorkuje, kotrež móža pozadkowe aktualizacije přewjesć (wot WordPress 3.7), zo bychu tute starše ale hišće aktualne wersije WordPress wěstotne polěpšenja dóstali.

Jednotliwi wobsedźerjo websydłow móža so za to rozsudźić, z jednorej změnu w jich konfiguraciskej dataji awtomatiske pozadkowe aktualizacije wotstronić, ale jadrowy team wuraznje poručuje, funkcionalnosć wostajić kaž wona je a přeco najnowšu stabilnu wersiju WordPress wužiwać.

2013 OWASP Top 10

Open Web Application Security Project (OWASP) je zhromadźenstwo online, kotrež so wěstoće webnałoženjow wěnuje. Lisćina OWASP najwyšich 10⁸ so na identifikowanje najchutnišich wěstotnych rizikow nałoženjow za šěroki spektrum organizacijow koncentruje. Najwyš 10 zapiskow so w kombinaciji z trochowanjemi koncensusa wo zwužitkownosći, spóznajomnosći a wuskutkach wuběra a priorizuje.

Slědowace wotrězki API, resursy a prawidła diskutuja, kotrež WordPress wužiwa, zo by jadrowu softwaru a tykače a drasty třećich poskićowarjow přećiwo tutym potencielnym rizikam posylnił.

A1 - Injekcija

Je sadźba funkcijow API we WordPress k dispoziciji, zo bychu wuwiwarjam pomhali, zawěsćić, zo so njeawtorizowany kod njeinjicěruje, a jim pomhali, daty přepruwować a wurjedźić. Najlěpše naprawy a dokumentacija su k dispoziciji⁹, kak móžeće tute API wužiwać, zo byšće zapodawanske a wudawanske daty w HTML, URL, HTTP-hłowach a při interakciji z datowej banku a datajowym systemom škitał, přepruwował abo wurjedźił. Administratorojo móža tež nimo toho datajowe typy wobmjezować, kotrež dadźa so přez filtry nahrać.

A2 - Zmylki w awtentifikaciji a posedźenskim rjadowanju

Jadrowa softwara WordPress konta a awtentifikaciju rjaduje a podrobnosće kaž wužiwarski ID, mjeno a hesło so na serwerje rjaduja kaž tež awtentifikaciske placki. Hesła so w datowej bance z pomocu technikow „salting“ a „stretching“ škitaja. Eksistowace posedźenja so při wotzjewjenjom we wersijach WordPress wot 4.0 niča.

A3 - Cross Site Scripting (XSS)

WordPress rjad funkcijow skići, kotrež móža pomhać, daty zawěsćić, kotrež wužiwarjo podawaja¹⁰. Dowěry hódni wužiwarjo, to rěka administrtatorojo a wobdźěłarjo jednotliweje instalacije WordPress asyćowi administratorojo we WordPress Multisite, móža njefiltrowany HTML abo JavaScript pósłać, kaž jón trjebaja, na přikład w přinošku abo na stronje. Dowěry njehódni wužiwarjo a wot wužiwarja zapodaty wobsah so po standardźe filtruja, zo bychu so strašne entity z pomocu biblioteki KSES a funkcije wp_kses wotstronili.

Na přikład je jadrowy team WordPress před wozjewjenjom WordPress 2.3 pytnył, zo najwjace drastowych awtorow je funkciju the_search_query() znjewužiło, kotřiž njeběchu wudaće funkcije za wužiwanje w HTML maskěrowali. W jara rědkim padźe snadnje wobmjezowaneje wróćokompatibelnosće, je so wudaće funkcije we WordPress 2.3 změniło, zo by předmaskěrowane było.

A4 - Njewěsta direktna objektowa referenca

WordPress husto direktnu objektowu referencu skići, na přikład jónkróćne numeriske identifikatory wužiwarskich kontow abo wobsah, kotryž je w URL abo formularnych polach k dispoziciji. Mjeztym zo tute identifikatory direktne systemowe informacije wotkrywaja, wobšěrne prawa a system přistupneje kontrole WordPress njeawtorizowanym naprašowanjam zadźěwaja.

A5 - Wopačna wěstotna konfiguracija

Wjetšina operacijow wěstotneje konfiguracije WordPress je na jednotliweho awtorizowaneho administratora wobmjezowana. Standardne nastajenja za WordPress so stajnje na runinje jadroweho teama wuhódnoćeja, a jadrowy team WordPress dokumentaciju a najlěpše metody k dispoziciji staja, zo by wěstotu za serwerowu konfiguraciju za wudźeržowanje sydła WordPress powyšił¹¹.

A6 - Wotkrywanje sensitiwnych datow

Hesła wužiwarskeho konta WordPress su na zakładźe Portable PHP Password Hashing Framework selene a hašowane¹². System prawow WordPress so wužiwa, zo by přistup k priwatnym informacijam wodźił, na přikład na wosobu poćahowane daty zregistrowanych wužiwarjow, e-mejlowe adresy komentatorow, priwatnje wozjewjene wobsah atd. We WordPress 3.7 je so měridło za sylnosć hesłow do jadroweje softwary integrowało, kotrež wužiwarjam přidatne informacije wo nastajenju jich hesłow a pokazy wo sylnosći hesłow skići. WordPress ma tež opcionalne konfiguraciske nastajenje za žadanje HTTPS.

A7 - Falowaca přistupna kontrola na funkciskich runinach

WordPress za porjadnej awtorizaciju a prawami za wšě přistupne naprašowanja na funkciskej runinje přepruwuje, prjedy hač so akcija wuwjedźe. Přistup abo wizualizacija administratiwnych URL, menijow a stronow bjez porjadneje awtentifikacije so kruće do awtentifikaciskeho systema integruje, zo by so přistupej přez njeawtorizowanych wužiwarjow zadźěwało.

A8 - Cross Site Request Forgery (CSRF)

WordPress kryptografiske tokeny wužiwa, nonsy¹³ mjenowane, zo by wotpohlad akciskich naprašowanjow awtorizowanych wužiwarjow přepruwował, zo by je před pontencielnymi CSRF-wohroženjemi škitał. WordPress API za płodźenje tutych tokenow skići, zo byšće jónkróćne a nachwilne tokeny wutworił a přepruwował, a token je wobmjezowany na wěsteho wužiwarja, wěstu akciju, wěsty objekt a wěstu časowu dobu, kotrež dadźa so formam a URL přidać, je-li trjeba. Nimo toho budu wšě nonsy po přizjewjenju njepłaćiwe.

A9 - Wužiwanje komponentow ze znatymi zranitosćemi

Jadrowy team WordPress striktnje mało wobsahowanych bibliotekow a wobłukow WordPress dohladuje, kotrež WorPress za zakładnu funkcionalnosć integruje. W zańdźenosći je jadrowy team k wjacorym komponentam třećich poskićowarjow přinošował, zo by je wěsćiše činił, kaž na přikład, zo by sydłowu wěstotnu dźěru w TinyMCE w WordPress 3.5.2¹⁴ zatykał.

Jeli trjeba, móže jadrowy team rozsudźić, kritiske eksterne komponenty kopěrować abo wuměnić, kaž na přikład, hdyž je so biblioteka SWFUpload oficielnje z biblioteku Plupload w 3.5.2 wuměniła, a wěsta kopija biblioteki SWFUpload je so wot wěstotneho teama<¹⁵ za tute tykače k dispoziciji stajiła, kotryž biblioteku SWFUpload za krótki čas dale wužiwaše.

A10 - Njepřepruwowane dalesposrědkowanja

Nutřkowny system za přistupnu kontrolu a awtentifikaciju WordPress budźe před pospytami škitać, wužiwarjow k njewitanym cilam dale sposrědkować, abo před awtomatiskimi dalesposrědkowanjemi. Tuta funkcionalnosć so tež wuwiwarjam tykačow přez API k dispoziciji staja, wp_safe_redirect()¹⁶.

Dalše wěstotne rizika a wobmyslenja

Předźěłowanske nadpady XXE (XML eXternal Entity)

Hdyž so XML předźěłuje, WordPress začitanje swójskich XML-entitow znjemóžnja, zo by nadpadam na eksterne entity a rozšěrjenja entitow zadźěwał. Dale PHP-funkcionalnosće WordPress žadyn wěsty API za předźěłowanje XML za awtorow tykačow njeskići.

Nadpady SSRF (Server Side Request Forgery)

HTTP-naprašowanja, kotrež so přez WordPress wudawaja, so filtruja, zo bychu přistupej na loopback a priwatne adresy zadźěwali. Nimo toho je přistup jenož za wěste standardne HTTP-porty dowoleny.

Tykačowa a drastowa wěstota WordPress

Standardna drasta

WordPress sej drastu wužaduje, zo by móhł wobsah na frontendźe pokazać. Standardna drasta, kotraž so z jadrowym WordPress sobu dodawa (tuchwili „Twenty Twenty-One“) je so wot teama drastowych wuwiwarjow a teama jadroweho wuwiwanja dokładnje přepruwowała a z wěstotnych přičinow testowała.

Standardna drasta móže jako wuchadźišćo za wuwiwanje swójskeje drasty słužić, a sydłowi wuwiwarjo móža dźěćacu drastu wutworić, kotraž někotre přiměrjenja wopřijima, ale při najwjace funkcionalnosći a wěstoće na standardnu drastu wróćo dźe. Standardna drasta da so lochko wot administratora wotstronić, jeli trěbna njeje.

Repozitorije drastow a tykačow na WordPress.org

Je něhdźe 50.000+ tykačow a 5.000+ drastow na sydle WordPress.org. Tute drasty a tykače su so za přiwzaće zapodali a so manuelnje wot dobrowólnikow přepruwuja, prjedy hač so w našim repozitoriju k dispoziciji staja.

Přiwzaće tykačow a drastow do repozitorija garantija njeje, zo su bjez wěstotnych dźěrow. Směrnicy so awtoram tykačow k dispoziciji stajeja, zo bychu před zapodawanjom za přiwzaće do repozitorija¹⁷ konsultowali, a namakaće wobšěrnu dokumentaciju wo tym, kak dadźa so drasty WordPress wuwiwać¹⁸ na sydle WordPress.org.

Kóždy tykač a kóžda drasta da so wot wobsedźerja tykača abo drasty dale wuwiwać, a wšě slědowace porjedźenja abo wuwića funkcijow dadźa so do repozitorija nahrać a wužiwarjam z tym tykačom abo z tej drastu z wopisanjom změnow k dispoziciji stajić. Sydłowi administratorojo dóstawaja informaciju wo tykačach, kotrež dyrbja so přez jich kontrolnu desku aktualizować.

Hdyž so wěstotna dźěra tykača wot wěstotneho teama WordPress wotkrywa, stajeja so z awtorom tykača do zwiska a woni dźěłaja hromadźe, zo byšće ju wotstronili a wěstu wersiju tykača wozjewili. Jeli awtor tykača njewotmołwja abo jeli wěstotna dźěra je jara chutna, so tykač/drasta ze zjawneho zapisa wotstroni a so w někotrych padach wot wěstotneho teama porjedźa a aktualizuje.

Drastowy kontrolny team

Team za přepruwowanje drastow je skupina dobrowólnikow, nawjedowana wot klučowych a etablěrowanych čłonow zhromadźenstwa WordPress, kotřiž drasty přepruwuja a schwaleja, kotrež su so do oficielneho zapisa drastow WordPress zapodali. Team za přepruwowanje drastow oficielne směrnicy za přepruwowanje drastow¹⁹, testowe daty drastowych jednotkow²⁰ a tykače za kontrolu drastow²¹ wothladuje, a pospytuje zhromadźenstwo drastowych wuwiwarjow WordPress nastupajo najlěpše móžnosće wuwiwanja angažować a dale kubłać. Zapřijimanje do skupiny so wot jadrowych sobuskutkowarjow wuwiwanskeho teama WordPress moderěruje.

Róla hostoweho poskićowarja we wěstoće WordPress

WordPress da so na wjele platformach instalować. Hačrunjež jadrowa softwara WordPress wjele naprawow za wudźeržowanje wěsteho webnałoženja k dispoziciji staja, kotrež su so w tutym dokumenće wobjednali, stej konfiguracija dźěłoweho systema a webserwer, na kotryž so zepěra a kotryž softwaru hospoduje, runje tak wažnej, zo bychu nałoženja WordPress wěste wostawali.

Pokazka na WordPress.com a wěstotu WordPress

WordPress.com je najwjetša instalacija WordPress na swěće a słuža a rjaduje so přez předewzaće Auttomattic Inc., kotrež je so wot Matta Mullenwega załožiło, sobuzałožerja projekta WordPress. WordPress.com běži na jadrowej softwarje WordPress a ma swójske wěstotne procesy, rizika a rozrisanja²². Tutón dokument so na wěstotu nastupajo samohospodowanu, sćahujomnu softwaru wotewrjeneho žórła WordPress wot WordPress.org poćahuje, kotraž je instalujomna na kóždym serwerje na swěće.

Přiwěšk

Hłowne API WordPress

Jadrowy Application Programming Interface (API) WordPress z wjacorych jednotliwych API²³ wobsteji, kóždy z nich wopřijima funkcije, kotrež su z wěstej funkcionalnosću zwjazane. Hromadźe tworja projektowy interfejs, kotryž tykačam a drastam zmóžnja, wěsće z jadrowej funkcionalnosću WordPress interagować, ju změnić a rozšěrić.

Mjeztym zo API WordPress najlěpše praktiki a standardizowane móžnosće k dispoziciji staja, zo by jadrowu softwaru rozšěrił a z njej interagował, su slědowace API WordPress najpřihódniše za přesadźenje a zawěsćenje wěstoty WordPress:

API datoweje banki

API datoweje banki²⁴, kotryž je so w WordPress 0.71 přidał, staja korektnu metodu za přistup k datam jako pomjenowane hódnoty k dispoziciji, kotrež so we woršće datoweje banki składuja.

API datajoweho systema

API²⁵ datajoweho systema, kotryž je so we WordPress 2.6²⁶ přidał, je so prěnjotnje za awtomatisku aktualizowansku funkciju WordPress wutworił. API datajoweho systema funkionalnosć wurjaduje, kotraž je trěbna za wěste čitanje a pisanje lokalnych datajow do datajoweho systema na wšelakich hostowych typach.

To so z klasu WP_Filesystem_Base a wšelakimi podklasami stawa, kotrež rozdźělne móžnosće zwjazowanja k lokalnemu datajowemu systemej implementuja, wotwisujo wot jednotliweje hostoweje podpěry. Drasty a tykače, kotrež dyrbja dataje lokalnje pisać, měli to z pomocu swójby klasow WP-Filesystem činić.

HTTP-API

API²⁷ HTTP, kotryž je so we WordPress 2.7²⁸ přidał a we WordPress 2.8 rozšěrił, HTTP-naprašowanja za WordPress standardizuje. API placki, zaklučowanje a dekodowanje gzip, kuskowe dekodowanje (jeli HTTP 1.1) a wšelake druhe implementacije HTTP-protokola předźěłuje. API naprašowanje standardizuje, kóždu metodu před wotpósłanjom testuje a, na zakładźe wašeje serweroweje konfiguracije, přihódnu metodu wužiwa, zo by naprašowanje stajił.

Prawa a aktualny wužiwarski API

Prawa a API²⁹ aktualneho wužiwarja je sadźba funkcijow, kotrež budu pomhać, prawa a awtoritu aktualneho wužiwarja wobkrućić, požadany nadawk abo operaciju wuwjesć, a móža nimo toho před njewoprawnjenymi wužiwarjemi škitać, kotřiž bjez trěbnych prawow přistup k funkcijam maja abo je wuwjedu.

Licenca wobsaha běłeje knihi

Tekst w tutym dokumenće (ale nic logo WordPress abo wikowanske znamjo) je pod CC0 1.0 Universal (CC0 1.0) Public Domain Dedication licencowany. Móžeće dźěło kopěrować, změnić, rozdźělić a wuwjesć, samo za komercielne zaměry, bjeztoho zo byšće dyrbjał wo dowolnosć prosyć.

Wosebity dźak wěstotnemu dokumentej Drupala, kotryž je nas inspirował.

Přidatne informacije

• Nowinki WordPress https://wordpress.org/news/
• Wěstotne wersije WordPress https://wordpress.org/news/category/security/
• Wuwiwarske resursy WordPress https://developer.wordpress.org/

spisany wot Sara Rosso

Přinoški wot Barry Abrahamson, Michael Adams, Jon Cave, Helen Hou-Sandí, Dion Hulse, Mo Jangda, Paul Maiorana

Wersija 1.0 měrc 2015

Nóžki

• [1] https://w3techs.com/, as of December 2019
• [2] https://make.wordpress.org/core/handbook/about/release-cycle/
• [3] https://make.wordpress.org/core/handbook/about/release-cycle/version-numbering/
• [4] https://wordpress.org/news/2014/08/wordpress-3-9-2/
• [5] https://hackerone.com/wordpress
• [6] https://wordpress.org/news/
• [7] https://wordpress.org/news/2013/10/basie/
• [8] https://www.owasp.org/index.php/Top_10_2013-Top_10
• [9] https://developer.wordpress.org/plugins/security/
• [10] https://codex.wordpress.org/Data_Validation#HTML.2FXML
• [11] https://wordpress.org/support/article/hardening-wordpress/
• [12] https://www.openwall.com/phpass/
• [13] https://developer.wordpress.org/plugins/security/nonces/
• [14] https://wordpress.org/news/2013/06/wordpress-3-5-2/
• [15] https://make.wordpress.org/core/2013/06/21/secure-swfupload/
• [16] https://developer.wordpress.org/reference/functions/wp_safe_redirect/
• [17] https://wordpress.org/plugins/developers/
• [18] https://developer.wordpress.org/themes/getting-started/
• [19] https://make.wordpress.org/themes/handbook/review/
• [20] https://codex.wordpress.org/Theme_Unit_Test
• [21] https://wordpress.org/plugins/theme-check/
• [22] https://automattic.com/security/
• [23] https://codex.wordpress.org/WordPress_APIs
• [24] https://developer.wordpress.org/apis/handbook/database/
• [25] https://codex.wordpress.org/Filesystem_API
• [26] https://wordpress.org/support/wordpress-version/version-2-6/
• [27] https://developer.wordpress.org/plugins/http-api/
• [28] https://wordpress.org/support/wordpress-version/version-2-7/
• [29] https://developer.wordpress.org/reference/functions/current_user_can/