Jak zapytasz jakiekolwiek programistę, lub nawet osobę siedzącą trochę w tematyce komputerów o najpopularniejszy CMS(ang. system zarządzania treścią) to zwykle dostaniesz jedną odpowiedź: Wordpress.

Tymczasem odwołując się do statystyki tylko 25-30% stron z niego korzysta. Ok, ale są jeszcze inne: Joomla, Drupal i inne mniejsze systemy to one obsługują pozostałe strony. One stanowią zaledwie 10% rynku. W takim razie nasuwa się pytanie: co z pozostałym 60% stron? W trosce o bezpieczeństwo, łatwość rozbudowy oraz szybkość działania korzystają z dedykowanych systemów CMS spersonalizowanych pod konkretne potrzeby.

Najnowsze dane ze strony W3Techs pokazują, że ok. 50 % stron nie korzysta z żadnego gotowego systemu CMS. Liderem jest WordPress z wynikiem 30%. Daleko za nim jest Joomla i Drupal z wynikiem poniżej 3%.

Co jest takiego złego w WordPress, że odszedłem od korzystania z niego? Udało mi się podzielić to na 3 sekcje, które są od siebie niezależne i w zależności od sposobu użytkowania strony oraz jej typu mogą być problematyczne.

Kod jądra WordPress

Przede wszystkim jest on jawny, czyli każdy ma wgląd do podstawowej wersji systemu. Co jest złego w tym, że kod strony jest jawny? Przecież z jednej strony to zaleta: umożliwia dokładne sprawdzenie kodu pod kątem infekcji. No właśnie, powoduje to wyścig pomiędzy hakerami a specjalistami zabezpieczeń, wypuszczający aktualizację. I to zwykle naszą stronę pierwszy znajdzie robot spamujący, niż wejdziemy w panel zarządzania i wybierzemy aktualizację do najnowszej wersji. Już po mniej więcej 3-4 miesiącach po premierze najnowszej łatki czy wersji, system staje się idealną bramką spamową.

Od strony programistycznej kod WordPressa wygląda jaki pisany przez studenta na zaliczenie. Przeglądając go można mieć wrażenie, że zatrzymał się kilka lat temu, gdy technologie webowe jeszcze raczkowały. Nie uświadczymy tam żadnych wzorców projektowych. Miejscami to człowiek się zastanawia: ”kto to %@&$ zaprojektował?”. Wykorzystywane jest mnóstwo zmiennych, filtrów i funkcji globalnych. Powoduje to, że przed wczytaniem strony musi się załadować całe mnóstwo kodu, który nigdzie nie zostanie wykorzystany.

Ten punkt nie jest bezpośrednio ważny dla osoby zamawiającej stronę, lecz odczuje go, dostając rachunek za zwiększenie wydajności serwera. Strony na wordpresie są znacznie wolniejsze. Jest to związane z architekturą, na której został oparty.

Wraz z rozwojem WordPressa urósł dług technologiczny i jest obecnie rekordowy. Długiem technologicznym nazywamy komentarz w kodzie w stylu: //dodać obsługę xyz, do zrobienia na później W WordPressie „później” zwykle przeradza się w „nigdy”.

SensioLabsInsight przedstawił na wykresie dług technologiczny najpopularniejszych projektów PHP. Obecnie dla WordPressa wynosi 20 lat, co oznacza, że tyle potrzeba by wprowadzić wszystkie zaplanowane poprawki.

Zewnętrzne pluginy i motywy

Co jest złego z pluginami? Co ja się znowu czepiam? Przecież istnieje ich masa – każdy znajdzie coś pod swoje potrzeby. I tak, i nie – im bardziej wymyślny projekt tym większy problem z odpowiednią wtyczką. Może okazać, że musimy napisać sami, a jak znajdziemy odpowiednią, to może się okazać, że staliśmy się jej niewolnikami. Pluginy mają to w sobie, że lubią odmawiać posłuszeństwa wraz z aktualizacją silnika CMS. Bezpieczeństwo i działanie naszej strony staje się być zależne od osoby odpowiedzialnej za plugin.

WordPress informuje, że w swojej bazie na prawie 55 tysięcy pluginów. Czy ktoś jest w stanie je skontrolować? Nieświadomi użytkownicy klikają tylko przycisk „instaluj”.

To samo w przypadku autorskiej wtyczki. W momencie aktualizacji silnika WordPress może okazać się, że dana funkcja działa inaczej, została usunięta, lub cokolwiek innego. Winny WordPress, w którym panuje większy bałagan niż spółkach Skarbu Państwa.

Ponadto istnienie niezliczonej liczby pluginów zwiększa ryzyko ataku przez niezałatana jeszcze dziurę w kodzie. Większość wtyczek jest pisana w celu szybkiego zarobku. Jeżeli dodatek wyszedł w wersji stand-alone(do zaimplementowania na statycznej stronie html), to musi wyjść na wordpressa, ponieważ to tutaj jest największy rynek zbytu gotowców. W ten sposób większość wtyczek jest pisanym na kolanie ulepem, który nie przeszedł żadnych testów, a jest wypuszczany w celu zarobku.

To samo tyczy się gotowych motywów. Tu dochodzi jeszcze wszechobecna bylejakość. Zwykle motywy są kiepskiej jakości. Łamią zasady WCAG 2.0, a co za tym idzie, łamią prawo. Ogranicza to możliwość stosowania tych motywów przez organizacje publiczne oraz firmy korzystające z dotacji. Motywy te mają wyglądać, a to, co jest wewnątrz, mało obchodzi nieświadomego klienta. Często skórki posiadają własne, zintegrowane pluginy, które po czasie są porzucane i niekompatybilne z najnowszą wersją wordpressa.

Ludzie

Tak, największym problemem wordpresa są osoby, które, go wykorzystują. WordPress wykorzystywany jest głównie w nisko budżetowych produktach. Inwestor za małą kwotę wymaga wodotrysków. Takie cięcia kosztów powodują, że webmasterzy, które chcą dorobić sobie grosza, uciekają się do pirackich wersji szablonów czy pluginów. Prawie zawsze taki plugin zawiera pułapkę w postaci backdoora. Oznacza to, że kod w odniesieniu do wersji oryginalnej jest lekko zmodyfikowany, tak by w przyszłości cracker mógł wykorzystać go do np. rozsyłania spamu.

Innym typowym problemem jest brak zainteresowania przez właścicieli. Często zdarza się, że na etapie szukania wykonawcy jednym z wymogów jest system CMS WordPress. Strona ta jest zwykłą wizytówką firmy – posiada informacje o firmie i dane kontaktowe. Strona po stworzeniu wisi w sieci przez lata i jest źródłem kontaktu z interesantami. Rodzi się tu pytanie: po co został wykonany system zarządzania treścią?

Strona, której kod silnika nie jest na bieżąco aktualizowany staje się doskonałym celem hakerów. Przed zleceniem warto skonsultować się z programistą i przedstawić mu swoje potrzeby. Dobry webmaster nie będzie patrzał przez pryzmat zarobku, a zaproponuje rozwiązanie dopasowane do klienta. Kalkulując koszty wykonania statycznej strony oraz późniejsze ewentualne ręczne zmiany mogą one okazać się niższe niż strona z systemem CMS.

Źródło: WordPress - statystyki. Po niemal 4 miesiącach od aktualizacji tylko 44% osób korzysta z najnowszej wersji. Zatrważające jest to, że ok. 40% osób korzysta z wersji sprzed 2 lat.

Słowem podsumowania

W żaden sposób nie neguję używania WordPressa, a nie mam zamiaru, przedstawiać go jako coś co należy unikać. Doskonale się sprawdza w celach, do jakich został stworzony, czyli do szybkiego utworzenia bloga niewymagającego przesadnej wydajności i stabilności. Natomiast uważam, że tworzenie na nim sklepów jest kompletną głupotą, gdy istnieją darmowe alternatywy niewymagające takich kombinacji.