Wěstota

Zgóńśo wěcej wó wěstośe jědroweje softwary WordPress w toś tych dermotnych běłych knigłach. Móžośo ju teke w PDF-formaśe ześěgnuś.

Pśeglěd

Toś ten dokument jo analyza a rozjasnjenje wuwiśa jědroweje softwary WordPress a jogo pśisłušnych wěstotnych procesow ako teke rozjasnjenje pśepytowanje inherentneje wěstoty, kótaraž jo direktnje zatwarjona w software. Rozsuźowarje, kótarež WordPress ako system zastojanja wopśimjeśa abo wobłukowy system webnałoženjow wugódnośuju, měli toś ten dokument w swójej analyzy a rozsuźowanju wužywaś, a wuwijarje měli se na njen póśěgowaś, aby se z wěstotnymi komponentami a nejlěpšymi nałogami póstupowanja software wopóznali.

Informacije w toś tom dokumenśe su aktualne za nejnowšu stabilnu wersiju software, za cas wózjaewjenja WordPress 4.7, měli se pak teke za nejnowše wersije software za relewantne naglědaś, dokulaž slědkkompatibelnosć jo mócny fokus za wuwijaŕski team WordPress. Wěste wěstotne napšawy a změny se registrěruju, dokulaž su se pśidali we wěstych wersijach jědrowej software. Pórucujo se wuraznje, pśecej nejnowšu stabilnu wersiju WordPress wužywaś, aby se nejlěpša wěstota zawěsćiła.

Krotke zespominanje

WordPress jo dynamiski system zastojanja wopśimjeśa wótwórjonego žrědła, kótaryž se wužywa, aby miliony websedłow, webnałoženjow a blogow gónił. Góni tuchylu wěcej ako 43 % nejwušych 10 milionow webbokow w interneśe. Wužywajobnosć, rozšyrjobnosć a nazgónjone wuwijańske zgromaźeństwo WordPress cynje jen k woblubowanej a wěstej wólbje za websedła wšych wjelikosćow.

Wót jogo zachopjeńka w lěśe 2003, jo WordPress pśejšeł stawne skšuśenje, aby mógła jogo jědrowa software ze cestymi wěstotnymi wobgrozenjami wobchadaś a je znješkódniś, inkluziwnje lisćinu nejtšašnjejšych, kótarež su se identificěrowali wót projekta Open Web Application Security (OWASP) ako ceste wěstotne źěry, kótarež se w toś tom dokumenśe diskutěruju.

Wěstotny team WordPress źěła, w zgromadnem źěle z jědrowym nawjedowańskim teamom WordPress a zepěrany wót globalnego zgromaźeństwa WordPress, aby wěstotne problemy w jědrowej software identificěrował a rozwězał, kótaraž jo za rozšyrjowanje a instalěrowanje na WordPress.org k dispoziciji, a pórucujo a dokumentěrujo nejlěpše wěstotne wašnje póstupjenja za tśeśe awtory tykacow a drastwow.

Sedłowe wuwijarje a administratory měli na korektne wužywanje jědrowych API a serwerowu konfiguraciju, na kótaruž se zepěra, wósebnje źiwaś, kótarež su južo byli žrědło za ceste wěstnote źěry a zawěsćiś, až wšykne wužywarje mócne gronidła za pśistup k WordPress wužywaju.

Pśeglěd wó WordPress

WordPress jo dermotny system zastojanja wopśimjeśa (CMS) wótwórjonego žrědła. Jo nejdalej rozšyrjona CMS-softwara w swěśe a góni wěcej ako 43 % nejwušych 10 milionow websedłow¹, kótaryž ma pówoblicony podźěl na wikach 62 % wšych sedłow, kótarež CMS wužywaju.

WordPress pódlažy licency General Public License (GPLv2 abo póznjejšej), kótaraž styri głowne lichoty bitujo, a dajo se za „wustawu“ WordPress naglědaś:

1. Wólnosć, program za kuždy zaměr wužywaś.
2. Wólnosć zwěsćiś, kak program funkcioněrujo a jen pó swójich žycenjach změniś.
3. Lichota dalej rozdźěliś.
4. Lichota drugim kopije swójich změnjonych wersijow rozdźěliś.

Jědrowy wjeźeński team WordPress

Projekt WordPress jo meritokratija, kótaraž se wót jědrowego nawjedowańskego teama góni a se wót jogo sobuzałožarja a wjeźecego wuwijarja Matt Mullenweg nawjedujo. Team wše aspekty projekta wóźi, inkluziwnje jědrowe wuwiśe, WordPress.org a iniciatiwy zgromaźeństwa.

Jědrowy wjeźeński team wobstoj z Matta Mullenwega, pěś wjeźecych wuwijarjow a wěcej ako dwanastkow jědrowych wuwijarjow ze stawnym pisańskim pśistupom. Toś te wuwijarje maju kóńcnu awtoritu pśi techniskich rozsudach a nawjeduju architekturne diskusije a implementěrowańske procowanja.

WordPress ma wjele sobustatkujucych wuwijarjow. Někotare z toś tych su něgajšne abo tuchylne zapódawarje a někotare z nich su pśichodne zapódawarje. Toś te sobustatkujuce wuwijarjr su dowěry gódne a južo dłujko słužece sobustatkujuce WordPress, kótarež su se wjele respekta mjazy swójimi kolegami zasłužyli. Jolic trjeba, ma WordPress teke góstne zapódawarje, jadnotliwe wósoby, kótarež maju zapódawański pśistup, wótergi za wěstu komponentu, na nachylnej abo wopytowańskej bazy.

Jědrowe a sobustatkujuce wuwijarje głownje wuwijanje WordPress nawjeduju. Za kuždu wersiju sta wuwijarjow kod k WordPress pśinosuju. Toś te jědrowe sobustatkujuce su dobrowólnice, kótarež na někaki nałog k jědrowej kodowej bazy pśinosuju.

Wózjawjeński cyklus WordPress

Kuždy wózjawjeński cyklus WordPress se wót jadnogo jědrowego wuwijarja abo někotrych jědrowych wuwijarjow WordPress nawjedujo. Wózjawjeński cyklus zwětšego na 4 mjasece trajo, wót prědnego sonděrowańskego zmakanja do starta wersije.

Wózjawjeński cyklus slědujucemu mustroju slědujo²:

• Faza 1: Team planowanje a zawěsćenje nawjedujo. To se w chatroomje #core na Slack wótměwa. Wózjawjeńske wjednistwo funkcije za pśiducu wersiju WordPress diskutěrujo. Sobustatkujuce WordPress se do toś teje diskusije zapśimuju. Wózjawjeńske wjednistwo teamowe wjedniki za kuždu z funkcijow póstaja.
• Faza 2: Wuwijańske źěło se zachopina. Teamowe wjedniki teamy zestajaju a źěłaju na swójich pśipokazanych funkcijach. Pšawidłowne chaty se planuju, aby zawěsćili, až wuwijanje dalej pókšacujo.
• Faza 3: Beta. Betawersije se wózjawjaju, a pšose betatestowarje, zmólki k wěsći daś. Wót toś teje faze se južo žedne změny za nowe pólěpšenja abo pšosby wó funkcije njepśewjadu. Awtory tykacow a drastwow tśeśich póbitowarjow se skoboźe, swój kod z pśichodnymi změnami WordPress testowaś.
• Faza 4: Wózjawjeński kandidat. Wót toś togo casa se znamuškowe rjeśazki za pśełožowanje zamarznu. Źěłaju jano na regresijach a blokěrujucych problemach.
• Faza 5: Start. Wersija WordPress se startujo a staja se w administratorowej delce WordPress za aktualizacije k dispoziciji.

Wersijowe numerěrowanje a wěstotne wózjawjenja

Głowna wersija WordPress se pśez prědnej dwě sekwency póstaja. 3.5 jo na pśikład głowna wersija, a 3.6., 3.7 abo 4.0 teke. Njedajo „Wordpress 3“ abo „WordPress 4“ a kužda głowna wersija se pśez swójo numerěrowanje wóznamjenijo, na pś. „WordPress 3.9“

Głowne wersije mógu nowe wužywaŕske funkcije a wuwijaŕske API pśidaś. Lěcrownož jo typiske w softwarowem swěśe, až „głowna“ wersija móžo slědkkompatibelnosć łamaś, procujo se WordPress, až se slědkkompatibelnosć njełama. Slědkkompatibilnosć jo jadna z nejwažnjejšych filozofijow, z celom, aktualizacije za wužywarje ako teke za wuwijarje jadnak wólažcyś.

Mała wersja WordPress se pśez tśeśu sekwencu póstaja. Wersija 3.5.1 jo mała wersija, ako teke 3.4.2³. Mała wersija jo jano za wótpóranje wěstotnych źěrow a pórěźanje kritiskich zmólkow wuměnjona. Dokulaž se nowe wersije WordPress tak cesto wózjawjaju – cel jo kužde 4-5 mjasecow za głownu wersiju, a małe wersije se wózjawjaju, jolic su trjebne – su jano głowne a małe wersije trjebne.

Wersijowa slědkkompatibelnosć

Projekt WordPress jo slědkkompatibelnosći wjelgin zawězany. Toś ten zawězk wóznamjenijo, až drastwy, tykace a swójski kod dalej funkcioněruju, gaž se jědrowa software WordPress aktualizěrujo. Wobsejźarje websedłow se napominaju, swóju wersiju WordPress na nejnowšu wěstu wersiju aktualizěrowaś.

WordPress a wěstota

Wěstotny team WordPress

Wěstotny team WordPress z někak 50 ekspertow wobstoj, mjazy nimi wjeźece wuwijarje a wěstotne slěźarje – někak połojca su pśistajone Auttomatic (zgotowjaŕ WordPress.com, nejstarša a nejwětša góspodujuca platforma we webje) a wjele z nich děła na pólu webwěstoty. Team se ze znatymi a dowěry gódnymi wěstotnymi slěźarjami a góspodujucymi pśedewześami wobradujo³.

Wěstotny team WordPress cesto z drugimi wěstotnymi teamami gromadu źěła, aby problemy w zgromadnych wótwisnosćach rozwězał, na pśikład słaby dypk w parserje PHP XML, kótaryž se pśez API XML-RPC wužywa, kótaryž se z WordPress we WordPress 3.9.2⁴ librujo. Toś to rozwězanje słabego dypka jo wuslědk zgromadneje procy wěstotneju teamow WordPress a Drupal.

Wěstotne rizika, proces a historija WordPress

Dokulaž wěstotny team WordPress do zagronitego wuzjawjenja wěri, informěrujo wón wěstotny team ned wó potencielnych wěstotnych źěrach. Potencielne wěstotny źěry daju se wěstotnemu teamoju pśez WordPress HackerOne⁵ signalěrowaś. Wěstotny team mjazy sobu pśez priwatny kanal Slack komunicěrujo, a źěła na wótwrośonem, priwatnem rěźe Trac za slědowanje, testowanje a pórěźanje zmólkow a wěstotnych problemow.

Kužda wěstotna rozpšawa se pśi dostaśu wobtwarźijo, a team źěła, aby wěstotne źěry pśespytował a jich pógroznośc zwěsćił. Jolic se to wobškuśujo, planujo wěstotny team pórědźenje, aby problem rozwězał, kótarež se do pśichodneje wersije software WordPress zapśimujo abo dajo se ako wěstotna wersija ned zastorkaś, we wótwisnosći wót pógroznosći problema.

Za wěstotnu wersiju ned se wót wěstotnego teama na sedle nowosćow pokazku wózjawja⁶, kótaraž wersiju pśipowěźujo a změny nadrobnje wopisujo. W pokazce se zagronitostne wuzjawjenje wěstotneje źěry pśipóznawa, aby se kontinuěrujuce zagronitostne rozpšawjenje w pśichoźe spěchowało a skšuśiło.

Administratory software WordPress powěźeńku na swójej sedłowej kontrolnej delce wiźe, gaž jo nowa wersija k dispoziciji, a slědujujucy manuelnej aktualizaciji se wužywarje k wobrazowce Wó WordPress pósrědnjaju, kótaraž drobnostki pokazujo. Jolic administratory su zmóžnili awtomatiske slězynowe aktualizacije, dóstanu mejlku, za tym až jo se aktualizacija dokóńcyła.

Awtomatiske slězynowe aktualizacije za wěstotne wózjawjenja

Zachopinajucy z wersiju 3.7 jo WordPress awtomatizěrowane slězynowe aktualizacije za mjeńše wersije zawjadł⁷, na pś. 3.7.1 a 3.7.2. Wěstotny team WordPress móžo awtomatizěrowane wěstotne pólěpšenja za WordPress identificěrowaś, pórěźiś a rozdźěliś, bźez togo aby musył wobsejźaŕ websedła něco ze swójogo boka cyniś, a wěstotna aktualizacija buźo se awtomatiski instalěrowaś.

Gaž se wěstotna aktualizacija za aktualnu stabilnu wersiju WordPress pśistarkujo, jědrowy team teke wěstotne aktualizacije za wšykne wersije pśistarkujo, kótarež mógu slězynowe aktualizacije pśewjasć (wót WordPress 3.7), aby toś te starše ale hyšći aktualne wersije WordPress wěstotne pólěpšenja dostali.

Jadnotliwe wobsejźarje websedłow mógu se za to rozsuźiś, z jadnoreju změnu w jich konfiguraciskej dataji awtomatiske slězynowe aktualizacije wótwónoźeś, ale jědrowy team wuraznje pórucujo, funkcionalnosć wóstajiś ako wóna jo a pśecej nejnowšu stabilnu wersiju WordPress wužywaś.

2013 OWASP Top 10

Open Web Application Security Project (OWASP) jo zgromaźeństwo online, kótarež se z wěstotu webnałoženjow zaběra. Lisćina OWASP nejwušych 10⁸ se na identificěrwanje nejpógroznjejšych wěstotnych rizikow nałoženjow za šyroki spektrum organizacijow koncentrěrujo. Nejwuše 10 zapiskow se w kombinaciji z pówoblicenjami koncensusa wó wužywanju, spóznajobnosći a wustatkowanjach wuběra a priorizěrujo.

Slědujuce wótrězki API, resurse a pšawidła diskutěruju, kótarež WordPress wužywa, aby jědrowu software a tykace a drastwy tśeśich póbitowarjow pśeśiwo toś tym potencielnym rizikam mócowali.

A1 - Injekcija

Jo sajźba funkcijow API we WordPress k dispoziciji, aby wuwijarjam pomagali, zawěsćiś, až se njeawtorizěrowany kod njeinjicěrujo, a jim pomagali, daty pśeglědowaś a do rěcha spóraś. Nejlěpše napšawy a dokumentacija su k dispoziciji⁹, kak móžośo toś te API wužywaś, aby zapódawańske a wudawańske daty w HTML, URL, HTTP-głowach a pśi interakciji z datoweju banku a datajowym systemom šćitał, pśeglědował abo do rěcha spórał. Administratory mógu tekr mimo toho datajowe typy wobgranicowaś, kótarež daju se pśez filtry nagraś.

A2 - Zmólki w awtentifikaciji a pósejźeńskem zastojanju

Jědrowa software WordPress konta a awtentifikaciju zastoj a drobnostki ako wužywaŕski ID, mě a gronidło se na serwerje zastoje ako teke awtentifikaciske cookieje. Gronidła se w datowej bance z pomocu technikowu „salting“ a „stretching škitaja. Eksistěrujuce pósejźenja se pśi wótzjawjanim we wersijach WordPress wót 4.0 kóncuju.

A3 - Cross Site Scripting (XSS)

WordPress rěd funkcijow bitujo, kótarež mógu pomagaś, daty zawěsćiś, kótarež wužywarje pódawaju¹⁰. Dowěry gódne wužywarje, to groni administratory a wobźěłarje jadnotliweje instalacije WordPress a seśowe administratory we WordPress Multisite, mógu njefiltrěrowany HTML abo JavaScript pósłaś, ako jen trjebaju, na pśikład w pśinosku abo na boku. Dowěry njegódne wužywarje a wót wužywarja zapódane wopśimjeśe se pó standarźe filtruju, aby se tšašne entity z pomocu biblioteki KSES a funkcije wp_kses wótwónoźeli.

Na pśikład jo jědrowy team WordPress pśed wózjawjenim WordPress 2.3 zawupytnuł, až nejwěcej drastwowe awtory jo funkciju the_search_query() znjewužyło, kótarež njejsu maskěrowali wudaśe funkcije za wužywanje w HTML. We wjelgin rědkem paźe snadnje wobgranicowane slědkkompatibelnosći, jo se wudaśe funkcije we WordPress 2.3 změniło, aby pśedmaskěrowane było.

A4 - Njewěsta direktna objektowa referenca

WordPress cesto direktnu objektowu referencu bitujo, na pśikład jadnorazowe numeriske identifikatory wužywaŕskich kontow abo wopśimjeśe, kótarež jo w URL abo formularnych pólach k dispoziciji. Mjaztym až toś te identifikatory direktne systemowe informacije wótkrywaju, wobšyrne pšawa a system pśistupneje kontrole WordPress njeawtorizěrowanym napšašowanjam zajźuju.

A5 - Wopacna wěstotna konfiguracija

Wětšyna operacijow wěstotneje konfiguracije WordPress jo na jadnotliwego awtorizěrowanego administratora wobgranicowana. Standardne nastajenja za WordPress se stawnje na rowninje jědrowego teama wugódnośuju, a jědrowy team WordPress dokumentaciju a nejlěpše metody k dispoziciji staja, aby wěstotu za serwerowu konfiguraciju za wuźaržowanje sedła WordPress pówušył¹¹.

A6 - Wótkrywanje sensibelnych datow

Gronidła wužywaŕskego konta WordPress su na zakłaźe Portable PHP Password Hashing Framework „selone“ a hašowane¹². System pšawow WordPress se wužywa, aby pśistup k priwatnym informacijam wóźił, na pśikład na wósobu póśěgowane daty zregistrěrowanych wužywarjow, e-mailowe adrese komentatorow, priwatnje wózjawjone wopśimjeśe atd. We WordPress 3.7 jo se integrěrowało měridło za mócnosć gronidłow do jědroweje software, kótarež wužywarjam pśidatne informacije wó nastajenju jich gronidłow a pokazki wó mócnosći gronidłow bitujo. WordPress ma teke opcionalne konfiguraciske nastajenje za pominanje HTTPS.

A7 - Felujuca pśistupna kontrola na funkciskich rowninach

WordPress za pórědneju awtorizaciju a pšawami za wšykne pśistupne napšašowanja na funkciskej rowninje pśespytujo, nježli až se akcija wuwjeźo. Pśistup abo wizualizacija administratiwnych URL, menijow a bokow bźez pórědneje awtentifikacije se kśuśe do awtentifikaciskego systema integrěrujo, aby se pśistupoju pśez njeawtorizěrowanych wužywarjow zajźowało.

A8 - Cross Site Request Forgery (CSRF)

WordPress kryptografiske tokeny wužwa, nonse¹³ pómjenjone, aby wótglěd akciskich napšašowanjow awtorizěrowanych wužywarjow pśeglědował, aby je pśed pontencielnymi CSRF-wobgrozenjami šćitał. WordPress API za generěrowanje toś tych tokenow bitujo, aby wy jadnorazowe a nachylne tokeny napórał a pśeglědował, a token jo wobgranicowany na wěstego wužywarja, wěstu akciju, wěsty objekt a wěstu cas, kótarež daju se formam a URL pśidaś, jolic trjeba. Mimo togo budu wšykne nonse pó pśizjawjenju njepłaśiwe.

A9 - Wužywanje komponentow ze znatymi napadojtosćami

Jědrowy team WordPress striktnje mało wopśimjonych bibliotekow a wobłukow WordPress doglědujo, kótarež WorPress za zakładnu funkcionalnosć integrěrujo. W zajźonosći jo jědrowy team k někotarym komponentam tśeśich póbitowarjow pśinosował, aby je wěsćejše cynił, ako na pśikład, aby sedłowu wěstotnu źěru w TinyMCE w WordPress 3.5.2¹⁴ zatkał.

Jolic trjeba, móžo jědrowy team rozsuźiś, kritiske eksterne komponenty kopěrowaś abo wuměniś, ako na pśikład, gaž jo se biblioteka SWFUpload oficielnje z biblioteku Plupload w 3.5.2 wuměniła, a wěsta kopija biblioteki SWFUpload jo se stajiła wót wěstotnego teama<¹⁵ za toś te tykace k dispoziciji, kótaryž jo dalej wužywał biblioteku SWFUpload za krotki cas.

A10 - Njepśeglědane dalejpósrědnjenja

Nutśikowny system za pśistupnu kontrolu a awtentifikaciju WordPress buźo pśed wopytami šćitaś, wužywarje k njewitanym celam dalej pósrědniś, abo pśed awtomatiskimi dalejpósrědnjenjami. Toś ta funkcionalnosć se teke wuwijarjam tykacow pśez API k dispoziciji staja, wp_safe_redirect()¹⁶.

Dalšne wěstotne rizika a wobmyslenja

Pśeźěłowańske napady XXE (XML eXternal Entity)

Gaž se XML pśeźěłujo, WordPress zacytanje swójskich XML-entitow znjemóžnja, aby napadam na eksterne entity a rozšyrjenja entitow zajźował. Dalej PHP-funkcionalnosći WordPress žeden wěsty API za pśeźěłowanje XML za awtory tykacow njebitujo.

Napady SSRF (Server Side Request Forgery)

HTTP-napšašowanja, kótarež se pśez WordPress wudawaju, se filtruju, aby pśistupoju k loopback a priwatnym adresam zajźowali. Mimo togo jo pśistup jano za wěste standardne HTTP-porty dowólony.

Tykacowa a drastwowa wěstota WordPress

Standardna drastwa

WordPress se drastwu pomina, aby mógał wopśimjeśe na frontenźe pokazaś. Standardna drastwa, kótaraž se z jědrowym WordPress sobu dodawa (tuchylu „Twenty Twenty-Four“) jo se dpkradnje pśespytała wót teama drastwowych wuwijarjow a teama jědrowego wuwijanja a testowała z wěstotnych pśicynow.

Standardna drastwa móžo ako wuchadnišćo za wuwijanje swójskeje drastwy słužyś, a sedłowe wuwijarje mógu źiśecu drastwu napóraś, kótaraž někotare pśiměrjenja wopśimujo, ale pśi nejwěcej funkcionalnosći a wěstośe na standardnu drastwu slědk źo. Standardna drastwa dajo se lažko wót administratora wótwónoźeś, jolic njejo trjebna.

Repozitorije drastwow a tykacow na WordPress.org

Dajo něźi 50.000+ tykacow a 5.000+ drastwow na sedle WordPress.org. Toś te drastwy a tykace su se zapódali za zapśimjeśe a se manuelnje wót dobrowólnikow pśeglěduju, nježli až se w našom repozitoriumje k dispoziciji staja.

Zapśimjeśe tykacow a drastwow do repozitoriuma njejo garantija, až su bźez wěstotnych źěrow. Směrnice se awtoram tykacow k dispoziciji stajaju, aby pśed zapódawanim za zapśimjeśe do repozitoriuma¹⁷ konsultěrowali, a namakajośo wobšyrnu dokumentaciju wó tom, kak daju se drastwy WordPress wuwijaś¹⁸ na sedle WordPress.org.

Kuždy tykac a kužda drastaw dajo se wót wobsejźarja tykaca abo drastwy dalej wuwijaś, a wšykne slědujuce pórěźenja abo wuwiśa funkcijow daju se do repozitoriuma nagraś a wužywarjam z tym tykacom abo z teju drastwu z wopisanim změnow k dispoziciji stajiś. Sedłowe administratory dostawaju informaciju wó tykacach, kótarež muse se pśez jich kontrolnu delku aktualizěrowaś.

Gaž se wěstotna źěra tykaca wót wěstotnego teama WordPress namakajo, stajiju se z awtorom tykaca do zwiska a wóne źěłaju gromadu, aby ju wótpórali a wěstu wersiju tykaca wózjawili. Jolic awtor tykaca njewótegranja abo jolic wěstotna źěra jo wjelgin pógrozna, se tykac/drastwa ze zjawnego zapisa wótwónoźijo a se w někotarych padach wót wěstotnego teama pórěźa a aktualizěrujo.

Drastwowy kontrolny team

Team za pśeglědowanje drastwow jo kupka dobrowólnikow, kótaraž se wót klucowych a etablěrowanych cłonkow zgromaźeństwa WordPress nawjedujo, kótarež drastwy pśeglěduju a pśizwóluju, kótarež su se zapódali do oficielnego zapisa drastwow WordPress. Team za pśeglědowanje drastwow oficielne směrnice za pśeglědowanje drastwow¹⁹, testowe daty drastwowych jadnotkow²⁰ a tykace za kontrolu drastwow²¹ wótźaržujo, a wopytujo zgromaźeństwo drastwowych wuwijarjow WordPress nastupajucy nejlěpše móžnosći wuwijanja angažěrowaś a dalej kubłaś. Zapśimowanje do kupki se wót jědrowych sobustatkujucych wuwijańskego teama WordPress moderěrujo.

Rola hostowego póbitowarja we wěstośe WordPress

WordPress dajo se na wjele platformach instalěrowaś. Lěcrownož jědrowa software WordPress wjele napšawow za wuźaržowanje wěstego webnałoženja k dispoziciji staja, kótarež su se wobjadnali w toś tom dokumenśe, stej konfiguracija źěłowego systema a webserwer, na kótaryž se zepěra a kótaryž software góspodujo, rowno tak wažnej, aby nałoženja WordPress wěste wóstawali.

Pokazka na WordPress.com a wěstotu WordPress

WordPress.com jo nejwětša instalacija WordPress na swěśe a słuža a zastoj se pśez pśedewześe Auttomattic Inc., kótarež jo se załožyło wót Matta Mullenwega, sobuzałožarja projekta WordPress. WordPress.com běžy na jědrowej software WordPress a ma swójske wěstotne procese, rizika a rozwězanja²². Toś ten dokument se na wěstotu nastupajucy samogóspodowanu, ześěgujobnu software wótwórjonego žrědła WordPress wót WordPress.org póśěgujo, kótaraž jo instalěrujobna na kuždem serwerje na swěśe.

Pśidank

Głowne API WordPress

Jědrowy Application Programming Interface (API) WordPress z někotarych jadnotliwych API²³ wobstoj, kuždy z nich wopśimujo funkcije, kótarež su z wěsteju funkcionalnosću zwězane. Gromaźe twórje projektowy interfejs, kótaryž tykacam a drastwam zmóžnja, wěsće z jědroweju funkcionalnosću WordPress interagěrowaś, ju změniś a rozšyriś.

Mjaztym až API WordPress nejlěpše praktiki a standardizěrowane móžnosći k dispoziciji staja, aby jědrowu software rozšyrił a z njeju interagěrował, su slědujuce API WordPress nejpśigódnjejše za pśesajźenje a zawěsćenje wěstoty WordPress:

API datoweje banki

API datoweje banki²⁴, kótaryž jo se pśidał w WordPress 0.71, staja korektnu metodu za pśistup k datam ako pómjenjone gódnoty k dispoziciji, kótarež se we warstwje datoweje banki składuju.

API datajowego systema

API²⁵ datajowego systema, kótaryž jo se pśidał we WordPress 2.6²⁶, jo se spócetnje napórał za awtomatisku aktualizěrowańsku funkciju WordPress. API datajowego systema funkionalnosć wuśěgujo, kótaraž jo trjebna za wěste cytanje a pisanje lokalnych datajow do datajowego systema na wšakich hostowych typach.

To se z klasu WP_Filesystem_Base a wšakimi pódklasami stawa, kótarež rozdźělne móžnosći zwězowanja k lokalnemu datajowemu systemoju implementěruju, wótwisujucy wót jadnotliweje hostoweje pódpěry. Drastwy a tykace, kótarež muse dataje lokalnje pisaś, měli to z pomocu swójby klasow WP-Filesystem cyniś.

HTTP-API

API²⁷ HTTP, kótaryž jo se pśidał we WordPress 2.7²⁸ a rozšyrił we WordPress 2.8, HTTP-napšašowanja za WordPress standardizěrujo. API cookieje, koděrowanje a dekoděrowanje gzip, kuskowe dekoděrowanje (jolic HTTP 1.1) a wšake druge implementacije HTTP-protokola pśeźěłujo. API napšašowanje standardizěrujo, kuždu metodu pśed wótpósłanim testujo a, na zakłaźe wašeje serweroweje konfiguracije, pśigódnu metodu wužywa, aby napšašowanje stajił.

Pšawa a aktualny wužywaŕski API

Pšawa a API²⁹ aktualnego wužywarja jo sajźba funkcijow, kótarež budu pomagaś, pšawa a awtoritu aktualnego wužywarja wobkšuśiś, pominany nadawk abo operaciju wuwjasć, a mógu mimo togo pśed njewopšawnjonymi wužywarjami šćitaś, kótarež bźez trjebnych pšawow pśistup k funkcijam maju abo je wuwjadu.

Licenca wopśimjeśa běłych kniglickow

Tekst w toś tom dokumenśe (ale nic logo WordPress abo wikowa marka) jo licencěrowany pód CC0 1.0 Universal (CC0 1.0) Public Domain Dedication. Móžośo źěło kopěrowaś, změniś, rozdźěliś a wuwjasć, samo za komercielne zaměry, bźez togo aby museł wó dowólnosć pšosyś.

Wósebny źěk wěstotnemu dokumentoju Drupala, kótaryž jo nas inspirěrował.

Pśidatne informacije

• Nowosći WordPress https://wordpress.org/news/
• Wěstotne wersije WordPress https://wordpress.org/news/category/security/
• Wuwijaŕske resurse WordPress https://developer.wordpress.org/

Napisany wót Sara Rosso

Pśinoski wót Barry Abrahamson, Michael Adams, Jon Cave, Helen Hou-Sandí, Dion Hulse, Mo Jangda, Paul Maiorana

Wersija 1.0 měrc 2015

Nožki

• [1] https://w3techs.com/, as of December 2019
• [2] https://make.wordpress.org/core/handbook/about/release-cycle/
• [3] https://make.wordpress.org/core/handbook/about/release-cycle/version-numbering/
• [4] https://wordpress.org/news/2014/08/wordpress-3-9-2/
• [5] https://hackerone.com/wordpress
• [6] https://wordpress.org/news/
• [7] https://wordpress.org/news/2013/10/basie/
• [8] https://www.owasp.org/index.php/Top_10_2013-Top_10
• [9] https://developer.wordpress.org/plugins/security/
• [10] https://codex.wordpress.org/Data_Validation#HTML.2FXML
• [11] https://wordpress.org/support/article/hardening-wordpress/
• [12] https://www.openwall.com/phpass/
• [13] https://developer.wordpress.org/plugins/security/nonces/
• [14] https://wordpress.org/news/2013/06/wordpress-3-5-2/
• [15] https://make.wordpress.org/core/2013/06/21/secure-swfupload/
• [16] https://developer.wordpress.org/reference/functions/wp_safe_redirect/
• [17] https://wordpress.org/plugins/developers/
• [18] https://developer.wordpress.org/themes/getting-started/
• [19] https://make.wordpress.org/themes/handbook/review/
• [20] https://codex.wordpress.org/Theme_Unit_Test
• [21] https://wordpress.org/plugins/theme-check/
• [22] https://automattic.com/security/
• [23] https://codex.wordpress.org/WordPress_APIs
• [24] https://developer.wordpress.org/apis/handbook/database/
• [25] https://codex.wordpress.org/Filesystem_API
• [26] https://wordpress.org/support/wordpress-version/version-2-6/
• [27] https://developer.wordpress.org/plugins/http-api/
• [28] https://wordpress.org/support/wordpress-version/version-2-7/
• [29] https://developer.wordpress.org/reference/functions/current_user_can/