Wyścig o to kto szybciej znajdzie dziurę w WordPressie jednym z najpopularniejszych skryptów do tworzenia bloga trwa. Nowy “hack” jaki się objawił jest niebezpieczny dla wszystkich tych, którzy nie zaktualizowali sobie WP do najnowszej wersji czyli 2.8.4 Spać spokojnie mogą natomiast blogerzy z platformy blogowej wordpress.com, błąd jest niebezpieczny tylko dla hostowanych indywidualnie blogów
Przyznam, że dla mnie jako dla osoby prowadzącej bloga coraz bardziej irytujące są problemy z bezpieczeństwem (nie chodzi o ten konkretny przypadek). Błędy pojawiają się coraz szybciej, konsekwencje ich wykorzystania mogą być dość poważne, a na poprawkę czekamy czasem kilka dni. Stan ciągłego zagrożenia i sprawdzania, czy aby na pewno dziś nie wyszła nowa wersja, którą natychmiast trzeba wgrać jest jak mówi młodzież “mało fajny”.
Gdyby ktoś teraz zapytał się mnie, czy lepiej jest hostować własnego bloga, czy też skorzystać z jakiejś platformy to chyba doradzałbym to drugie. Dlaczego?
Po pierwsze nie musimy martwić się o bezpieczeństwo, za nas martwią się administratorzy serwisu. Po drugie, nie musimy płacić rachunków za hosting – na początku są to drobne, ale z czasem kiedy mamy coraz więcej czytelników zaczynają się coraz większe problemy (a WP nie jest mimo starań autorów, lekkim skryptem – kilka niewinnych dodatków i nawet przy małym ruchu zostaniemy wyproszeni z większości firm hostingowych przy standardowym pakiecie).
Po trzecie wydajność bloga nie jest też chyba naszym problemem – nie wiem wprawdzie jak wygląda sprawa dużych blogów na platformie. Rozumiem, że wytrzymuje on sporo – ale nie wczytywałem się w regulamin i nie jestem pewien, czy jeśli blog ma b. dużą oglądalność to autor nie jest proszony o przesiadkę?
Jest jednak jedno ale.. wybór platformy blogowej niesie za sobą też pewne konsekwencje.
Nie wszystko możemy zrobić (podpięcie własnej domeny?), nie każdy dodatek możemy zainstalować i co najgorsze mogą się pojawić na naszym blogu różne dziwne elementy platformy (reklamy, niechciane widgety itp). Jest jeszcze sprawa instalacji reklam – na niektórych platformach może być z tym problem.
Witaj, nazywam się Grzegorz Marczak i jestem autorem tego bloga. Piszę tutaj o serwisach społecznościowych, nowych technologiach i nowych trendach w internecie.
Chyba trochę demonizujesz. Wszędzie pojawiają się łatki, do systemów operacyjnych także. Są one właśnie po to by dbać o bezpieczeństwo, a to że pojawiają się nowe możliwości wetknięcia swoich 3gr …no cóż od tego są hakerzy.
Wad korzystania z platformy blogowej jest więcej. Na przykład brak możliwości wstawiania własnych reklam. Albo brak możliwości rozszerzania funkcjonalności bloga (np. wprowadzenie poprawiania błędów językowych we wpisach przez twoich czytelników). Albo brak możliwości rozwinięcie bloga w większy serwis lub… sprzedania go. Ale jest trzecie rozwiązanie: można zrobić własny engine bloga, skrojony do własnych potrzeb. Dobrze przemyślane keszowanie załatwi problem wydajności i zminimalizuje ryzyko włamań via sql. Wszystkie słabe punkty bloga są ci znane, bo sam go zaprojektowałeś (lub nadzorowałes projekt). W kombajnach takich jak wordpress zbudowanych w oparciu o setki czy nawet tysiące plików/skryptów zawsze jest wiele słabych punktów i jest kwestią czasu czy ktoś je odkryje. Doskonałym przykładem są fora stawiane na phpbb, które mimo zabezpieczeń antyspamowych po jakimś czasem padają bądź wyciekają bazy haseł, a jeden nowo odkryty hack rozwala hurtem tysiące sajtów z całego świata. Jedynym rozwiązaniem jest albo ciągła aktualizacja (ale to i tak walka z wiatrakami), albo zrobienie własnego przemyślanego forum. Bezpieczeństwo niestety kosztuje.
@Grzegorz: jak się tego bloga prowadzi regularnie, to się szybko zauważa komunikat wzywający do jego aktualizacji do najnowszej wersji. To naprawdę nie jest już kłopotliwe…
@Sławomir: czasem tych reklam nie wolno wstawiać w ogóle, patrz WordPress.com.
Z tymi aktualizacjami to nie jest taki wielki problem, jeżeli chodzi o WP. Nie każdy wykryty błąd to “tragedia” – czego może obawiać się normalny blog – ataków?! Kogo? – ludzi którzy nawet nie wiedzą kim jesteś i ze masz założony blog?. Problem na pewno dotyczy BARDZO znanych blogerów, gdzie “warto” się włamać… a nie pikusiów ;-)
O ile druga część artykułu jest dla mnie jasna (za i przeciw danego rozwiązania), to jaka jest wymowa pierwszej? Że lepiej żeby błędy w aplikacjach przestały istnieć, to będzie fajniej? ;)
@Michał:
Całkiem możliwe :) Choć ostatnio przez 2 dni obserwowałem kiedy naprawią błąd dzięki któremu można było naprawdę naszkodzić blogerowi. Po dwóch dniach pojawiła się nieoficjalna łatka a potem dopiero aktualizacja.
Jest to o tyle stresujące, że przez te dwa dni osoba która nie zna się na kodowaniu (jak ja) jest kompletnie bezradna. A ludzi pokroju kmiotka – który kiedyś włamał się na mój blog chcąc sobie ego podbić – jest sporo.
Blogerzy wydają pieniądze na unikalny design, można też zamówić system blogowy dostosowany do własnych potrzeb.
Luzik :) Zaktualizowałem jak tylko się nowa wersja pojawiła :)
Odpowiem jak to jest na moim podwórku – b. duża oglądalność nie jest problemem. Jakimś benchmarkiem może być tu blog Kominka – zdarzało się, że dawał nam popalić, ale wtedy zabieraliśmy się za optymalizację serwisu.
Co do ograniczeń – faktycznie, nie da się podpiąć domeny, jest też “dziwny element” (niezbyt intruzywny). Reklamy nam nie przeszkadzają a swoich nie wsadzamy. Polecam ;)
Sam sobie zaprzeczasz – z zacytowanego powyżej zdania wynika, że problemem nie jest sam WP, a (niektóre) dodatki do niego.
@ols
Z ciekawości zapytam – podpinania własnych domen nie ma ze względów technicznych czy też taktycznych /strategicznych :) ?
no niestety z tym bezpieczeństwem i aktualizacjami trzeba uważać. Mi się zdarzyło zagapić i już piękny skrypt śmigał po całym kawałku serwera, który mam wykupiony…
Tutaj znajdziesz odpowiedzi na swoje pytania:
http://en.wordpress.com/vip-hosting/
http://en.wordpress.com/products/
http://en.wordpress.com/features/
Zobacz jak dużo “poważnych” serwisów z tego korzysta. Sam się powoli przymierzam do przejścia na tą platformę.
I masz swoją domenę, i masz pluginy, i wstawiasz reklamy.
Na razie jestem na etapie szukania jakie są minusy.
już znalazłem: stosunkowo wysokie koszty w tym konkretnym przypadku :/
Cicho zwrócę uwagę, że wordpress nie jest jedynym skryptem blogowym.
Hmm brak możliwości wpinania reklam nazwałbym ZALETĄ a nie wadą ;-) Za dużo ostatnio powstaje blogasków, których autorzy ewidentnie myślą wyłącznie o kasce z reklam.
Aktualizacja WordPressa problemem ? Bez przesady, szczególnie jak ktoś bloguje niemal codziennie, informacja o aktualizacji jest od razu widoczna, a sam proces w obecnym kształcie to po prostu bajka. A bycie “na swoim” jest nie do przecenienia. Poza tym, wolę sam mieć pewność że korzystam z najnowszego, zabezpieczonego skryptu, niż zastanawiać się, czy ktoś nie włamie się na platformę i wykasuje wszystkie moje posty.. Żadna platforma nie daje nikomu gwarancji backupu itp.
Dość ciekawie przestawia się oferta Bloggera. Jest coraz więcej dodatków, działa stabilnie, nie zmusza cię do serwowania ich kontentu i możesz podpiąć własną domenę. Minusem jest brak aż tak wielu tematów i właśnie dodatków.
Pijotruś mówi: Squarespace. Niedrogie. Skalowalne. Importuje WordPressa. Free trajal, można sprawdzić.
To może warto się zastanowić na tym etapie popularności bloga czy nie zainwestować w własny skrypt – napisany przez jakąś firmę. Rozwiązanie dość drogie, ale plusem jest kod, którego nigdzie w sieci nie znajdziesz. Znalezienie luki w skrypcie bez dostępu do jego kodu jest znikome (zakładając, że skrypt napisze ktoś doświadczony).
Prowadzę coraz popularniejszego bloga o psychologii na platformie należącej do Google jaką jest Blogger. Nie narzekam, bo mam wszystko, co chcę. Domenka podpięta, hosting bez limitu transferu itd.
Wątpię też, aby Blogger prosił o przesiadkę, jeśli blog staje się “zbyt” popularny. Wiele blogów na tej platformie to blogi angielskojęzyczne, które czyta cały świat i które już dawno musiałyby być “wyłączone z obsługi”.
@Grzegorz Marczak:
Techniczno/strategicznych ;) Tzn. technicznie serwis w obecnym kształcie nie pozwala na takie manewry – trzeba by go w dużej części napisać od nowa. A to już duże koszty (głównie czas) – nie stać nas na takie poświęcenie zasobów dla niszowej w skali serwisu funkcji (= wybór wynikający ze strategii rozwoju).
Hmm dobrym pomysłem może być zrobienie listy najpopularniejszych powiedzmy 10 engine’ów opensource, odrzucenie pierwszych 5, jako skupiających zainteresowanie domorosłych hakierów i wybranie czegoś z drugiej piątki.
ta druga piątka jest na ogół wystarczająco dynamicznie rozwijana, z drugiej strony jest szansa że script kiddies rzadziej będą szukać w niej dziur dla zabawy.
@nrm:
Stosunkowo wysokie koszty? Rozwiń myśl :) Dobrze poczytny blog self hosted zużywa dajmy na to 60GB miesięcznie nie mówiąc już o sporym zapotrzebowaniu na CPU, więc ceny hostingów pod takie większe serwisy zaczynają się od 50zł/m wzwyż.
@nrm:
Raczej niewielkie koszty w porównaniu do self hosted.
Jeśli mówimy o jakimś bardziej poczytniejszym blogu to raz że zużywa gdzieś z 60GB/m to dwa że i zapotrzebowanie na CPU jest spore. Ceny utrzymania zaczynają się od 50zł/m, więc są całkiem spore.
Grzegorz jaki masz transfer danych miesięczny na blogu ?
@ITomk: _OD_ $500 za miesiąc (+$600 setup) to co byś nie brał pod uwagę to stosunkowo drogo. Nie wiem w jakim zestawieniu uważasz to za niewielkie koszty.
iTomek: 50 zł/m !? Bierze się hosting za granicą, kilkadziesiąt złotych za rok zabulisz i masz własny hosting bez limitu domen, masz własną pocztę itd. itp.
A archiwizację to niestety i tak trzeba robić samemu co jakiś czas.
pozdrawiam
Arek
@Arnold Buzdygan:
nie zaryzykował bym stawiania czegoś na takim hostingu, i nie chce mi się wierzyć, że nie mają limitów na wydajność. Zakładam, że tak samo jak i w naszych jak wyskoczysz ponad kreskę to dostajesz kopa – z tym, że tam infolinia jest w indach jak chcesz zadzwonić :)
Blogger.com w tym przypadku wyróżnia się, bo
* nie prowadza limitu ruchu,
* można podpiąć własną domenę,
* umożliwia import/eksport pomiędzy WordPressem a Bloggerem,
* dość zaawansowany system szablonów,
* istnieje dla niego cała masa dodatków (mimo obiegowej opinii, że jest z tym słabo).
Aaaaa… i Blogger umożliwia zarabianie na blogu :).
@nrm:
WOW skąd takie kwoty???
@iTomek: http://en.wordpress.com/vip-hosting/
“You may be a good candidate for VIP hosting if, for example, you get more than 500,000 pageviews a month on your blog. Pricing begins at $500/month per blog with a one-time setup fee of $600, but may be flexible depending on your circumstances or number of blogs.”
Oż w mordę, ceny zabójcze póki się nie ma oglądalności jak tvn24.pl ;)
Hmm to czym się różni VIP hosting od Premium kont wordpress.com. Ja robiłem wyliczenia właśnie dla WP.com premium to wychodzi bardzo tanio w sumie a ma się i dostęp do css i więcej miejsca etc.
Grzegorz: Mam własny hosting na światłowodach – ktoś ma pomysł jak wykorzystać kilkadziesiąt mb/s wolnego łącza? ;) – domeny na serwerze w Indiach, USA i trochę domen na jednym tanim koncie na dreamhost.com (z CMSem drupala, wordpressa, i własnym softem na sklepy).
Z dreamhostem są czasem drobne, chwilowe problemy z wydajnością, czasem poczta trafia do spamów ludziom, ale w sumie za 100 zł rocznie to nie ma co narzekać. Nie wiem jaki transfer zjadam, ale widocznie nigdy nie wpadłem ponad limit. Wątpię też by ktoś kto nie ma filmów, a raczej plików mp3 i innych przekroczył limit. Gdyby jednak to nie wykopią Cię tylko podniosą Ci opłatę.
A tam hosting kosztuje 5 dolców za 1mb/s miesięcznie a nie 70 jak u nas.
pozdrawiam
Arek
Poprawka do ostatniego zdania:
A tam łącze do hosta kosztuje 5 dolców za 1mb/s miesięcznie a nie 70 zł jak u nas.
pozdrawiam
Nie znam ŻADNEJ solidnej firmy z USA, która by miała czyste sumienie wobec oferowanych limitów. Jakby ktoś znał w 100% sprawdzoną firmę z USA to niech się podzieli :)
Site5 czy Dreamhost pozwalają sobie czasem na ingerencje w pliki użytkownika. HostNine od paru miesięcy nie zwraca pieniędzy / nie wypłaca PP.
Niestety właśnie z doświadczenia nie znam takich super solidnych :/ Owszem prawie każda daje nam “unlimited” za kilka dolarów tylko kto wierzy w opłacalność takiej oferty? Chyba nikt.
@iTomek: nie wiem właśnie. Zdążyłem tylko tak pobieżnie przejrzeć serwis. Nie wiem czy właśnie jednak nie pójdę w stronę bloggera.
@nrm:
Wysłałem zapytanie, czekam na ich odpowiedź.
Co do bloggera to również o nim myślałem ale przeszkadza:
1. Kompletny brak supportu w PL.
1. a) a co za tym idzie trudno znaleźć programistę / kodera który pomoże przy zmianach czy zwiększeniu funkcjonalności.
2. Lekko skostniała i przestarzała konstrukcja. Google jakby zapomniało o tym projekcie. Dopiero coś ostatnio się powoli ruszyło.
3. Ze świeczką szukać koderów, którzy znają się na konstrukcji szablonów i za rozsądne pieniądze zrobią transport np. z WP.
@iTomek
Akurat dla mnie żadne z powyższych to wada ;)
No jak się jest developerem i koderem w jednym to rzeczywiście masz z górki :P
@Grzegorz:
Podpięcie własnej domeny jest najmniejszym problemem. W przypadku wordpress.com najgorszy jest chyba brak możliwości stosowania reklam.
Ja jestem zdecydowanie za własnym serwerem. Korzystając z jakiejkolwiek platformy blogowej nie masz na wiele rzeczy wpływu (pomijam już, że nie masz wpływu na widzimisię administratorów). Poza tym na platformach może i łatwiej o ruch, ale często jest on o wiele mniej wartościowy niż osoby, które odwiedzają Cie z google’a czy innych blogów “niezależnych”.
Poza tym własna domena, poczta w domenie, miejsce na tymczasowy hosting plików, jeśli zachodzi taka potrzeba.
A koszty? Trudno, żeby ich nie było. Dla mnie jednak blog na własnym serwerze to przywilej, którego nie da mi żadna platforma blogowa.
[...] wątpię żeby konieczność dokonywania tych aktualizacji była aż tak uciążliwa jak pisze Grzesiek. Dla blogera, który kilka razy dziennie loguje się do swojego panelu administracyjnego [...]
podzielam dramatyzowanie Grześka, sam prowadzę kilka stron, administruję samodzielnie serwerem linuxowym, skryptami, piszę też sporo artykułów i materiałów,
wszystko to zajmuje MASĘ czasu, każda godzinka jest na wagę złota – oczywiście przy założeniu że chcesz jeszcze pracować i spędzać czas z rodziną,
każdy problem ze skryptem, serwerem, bazą danych, wydajnością – to kolejne godziny późnowieczorne (tylko takimi dysponuję), zbyt krótki sen, albo koszty (bo nie wszystko dam radę zrobić sam),
nawet aktualizacje – wychodzące do każdego popularnego skryptu dość często – powodują konieczność zrobienia kopii zapasowej bazy i plików, testowania zgodności z dodatkami, powodują czasem nowe błędy itd…
oczywiście w pewnym momencie trzeba wybrać czy chcemy poświęcać się dla pasji czy może naszym celem ma być rezygnacja z pracy ‘tradycyjnej’ na rzecz prowadzenia bloga, albo czegoś podobnego…
podejrzewam że Grzegorz jest już albo bardzo blisko albo już nawet na tym etapie – ale nie wiem, choć z chęcią bym się dowiedział, może to pomysł na notkę? :)
@Arnold Buzdygan:
i to jest niestety błędne myślenie – nie ma takiej firmy, która daje coś za darmo, tak więc jeśli twoje popularne strony na tanim hostingu zajmują 20% czasu serwera na którym jest 100 kont to albo dostajesz kopa i szukaj sobie miejsca albo płać za te 20% faktyczne koszty plus marża (jak masz szczęście do firmy to zaproponują ci przenosiny stron na ich vps, albo dedykowany serwer, za 10x większą kasę niż obecnie płacisz),
przerabiałem to na wielu kontach – każda firma prędzej czy później musi się zabezpieczyć przed userami zjadającymi zasoby, jest tyle sposobów ilu adminów ale nie ma firm rozdających dedykowane maszynki za darmo :)
@palik:
Sam mam “tylko” 4 blogi i aktualizacja wtyczek, kopie etc. zajmują mi średnio z 30min w tygodniu.
Z chęcią bym się nawet i przesiadł na jakąś gotową platformę ale nie ma co ukrywać WP ma najlepszy support i community na świecie.
Mnie w wordpress.com przeszkadza brak obsługi JavaScriptu :/
WordPress.com – gotowy blog, darmowy hosting, aktualizacje wersji wordpressa i poprawka dziur itp. @iTomek napisał, że aktualizacje zajmują 30 minut, podczas gdy na wordpress.com aktualizacje w większości robi usługodawca. Ktoś może powiedzieć, że po co w takim wypadku kupować hosting, domenę, bawić się w przygotowanie szablonu wordpress itp, skoro tutaj wystarczy siąść i “tylko” pisać ? Autor artykuły ma poniekąd racje, ale warto poczytać komentarze i poznać opinie tych którzy stoją po drugiej stronie wordpress.com :>