Tytułowe pytanie brzmi dziwnie gdy jest zadane przez człowieka, który od 5 lat jeździ po kraju i opowiada o możliwościach WordPressa. Jednak wbrew pozorom jest w interesie tego CMS-a.
O ostatnim festiwalu hakowania WordPressów przez lukę załataną w WP 4.7.2 na pewno słyszeliście. Teraz przez najbliższe 2-3 lata na każdej prezentacji poświęconej bezpieczeństwu będzie slajd, który będzie wspominał przełom stycznia i lutego 2017 roku jako piękny dowód czym kończy się brak aktualizowania WordPressa 😉
Moim zdaniem to w wielu wypadkach dowód na to, że ludzie wybrali sobie nieodpowiednie narzędzie do publikowania treści w sieci.
WordPress to oprogramowanie Open Source – oznacza to ni mniej ni więcej, że za darmo dostajemy efekt kilkuset tysięcy roboczogodzin programistów z całego świata z całym dobrodziejstwem inwentarza. Dlatego trzeba liczyć się z tym, że gdy ktoś znajdzie poważną lukę w WordPressie (i nie chodzi o to czy znajdzie ale kiedy) to powinniśmy w ciągu kilkunastu godzin zareagować i zaktualizować swoją witrynę. WordPress potrafi robić to automatycznie, ale i tak warto sprawdzić czy akurat tym razem coś nie padło, bo skrypt samoaktualizacji też nie musi być doskonały.
Krótko mówiąc – instalując WordPressa na serwerze niejako zobowiązujesz się dbać o jego właściwe utrzymanie – bez tego, prędzej czy później Twoja strona zostanie zamieniona w nośnik cudzej propagandy lub siedlisko malware’u.
Ilość stron zaatakowanych poprzez ostatnią lukę pokazuje, że całkiem sporo osób:
- zapomniało o utrzymaniu albo
- wyłączyło automatyczne aktualizacje w obawie, że coś zepsują na ich stronie (jeszcze inna opcja to zła konfiguracja WordPressa/serwera uniemożliwiająca automatyczną aktualizację).
Mnóstwo osób pewnie dopiero za jakiś czas odkryje, że ich strona nie do końca wygląda tak jak sobie wymarzyli. Dlaczego? Bo nie mają czasu interesować się swoją stroną 3 razy w tygodniu i nikomu nie zapłacili by robił to za nich.
Patrząc na to co ludzie po tych atakach wypisują (a wypisują czasem rzeczy, których po rozsądnych ludziach w życiu bym się nie spodziewał) trzeba powiedzieć jasno – dla WordPressa to wizerunkowa klapa. Niby był czas by zaktualizować strony, ale jak widać dla wielu za krótki. Prawdziwy jak nigdy staje się jeden ze slajdów z mojej prezentacji:
Każda strona na WordPressie pozostawiona sama sobie może niszczyć jego reputację
Tworząc nową stronę zastanów się nad tymi kwestiami:
- Ile będę mógł poświęcić jej czasu?
- Jak często zamierzam publikować?
- Czy stać mnie na usługę administracji i zarządzania WordPressem?
- Czy jeżeli pojawi się luka to będę w stanie szybko zareagować?
Jeżeli odpowiedzi na nie zamykają się w zbiorze: („mało”, „rzadko”, „nie”) to warto zastanowić się czy WordPress na własnym serwerze jest dla nas najlepszym rozwiązaniem. Są trzy opcje, które warto wtedy rozważyć:
- WordPress.com – czyli platforma blogowa bazująca na WordPressie,
- Inne platformy do blogowania,
- Strona statyczna.
Prosty przykład – strona łódzkiego WordUpa. Szok i niedowierzanie – nie stoi na WordPressie 😉 Ale wynika to z czystego pragmatyzmu – ta strona jest aktualizowana góra raz na kwartał. Dzięki temu, że umieszczona jest na Github Pages jedyne o czym muszę pamiętać to przedłużenie domeny 🙂
Gorąco polecam to podejście – szczególnie w sytuacji gdy ilość czasu jaką jesteśmy w stanie przeznaczyć na utrzymanie danej witryny (zarówno techniczne jak i publikacje) jest znikoma.