WordPress este cel mai popular sistem open source de gestionare a conținutului existent la [632287]

Introducere

WordPress este cel mai popular sistem open source de gestionare a conținutului existent la
momentul actual oferind posibilitatea de a publica, edita, modifica, organiza, șterge și între ține
conținutul unei baze de date dintr -o singură interfață centra lizată .
Datorită ușurinței de utilizare și a posibilită ților mari de personalizare prin intermediul temelor
si plugin -urilor, WordPress a devenit lider de piaț ă, fiind utilizat de nume mari precum Google,
Facebook, Microsoft, Disney, Sony, Mozilla, LinkedIn, TechCrunch, Bloomberg , New York Times,
CNN, etc.
Si totuși, ce înseamnă asta transpus în cifre? Conform unui studiu realizat de W3Tech , o
companie ce monitorizeaz ă utilizarea tehnologii lor web, WordPress este motorul din spatele a
30% din totalul site -urilor existente in Internet si a 60% din totalul site-urilor al căror s istem
de gestionare a conținutului este cunoscut .
În cadrul acestei teze va fi prezentat un plugin WordPress al cărui rol este de a preveni accesul
public la conținutu l site-urilor WordPress in diferite sta dii ale ac estora : când sunt în
construcție , în stadiu de mentenanță sau când accesul la conținut este permis doar unui număr
restrâns de oameni. (site -uri interne pentru companii , platforme de curs private, etc)
Folosind acest plugin , administratorii site-urilor pot controla în mod granular accesul
utilizatorilor în funcție de rolul acestora ( pentru utilizatorii care au cont -uri) sau în funcție de
adresa IP a acestora (pentru utilizatorii care nu cont -uri), având posibilitatea de a folosi atât
IPv4 cât și IPv6 în format standard, wildcard, CIDR sau interval de IP -uri.

Motiva ția alegerii temei

Mi-am ales această te mă deoarece sunt pasionat de tehnologie și programare web și consider
că dezvoltarea unei astfel de aplicații W ordPress mă poate aduce mai aproape de obiectivul meu
profesional: lansa rea unui magazin online cu produse digitale ( teme și plugin -uri premium
pentru WordPress )
În plus, d ezvoltarea acestui plugin reprezintă un exercițiu excelent pentru înțele gerea
diferitelor tehnologii și procese de lucru utilizate în cadrul pachetelor software distribuite
global precum și o întelegere foarte bun ă a arhitecturii WordPress , a API -urilor acestuia, a
modalităților de integrare cu alte pachete software și nu în u ltimul rând, securizarea ,
internaționalizarea și documentarea inline a acestuia .
Mai mult , dezvoltarea modulului de acces pe bază de rol și adresă IP din cadrul acestui plugin
va deveni un punct excelent de plecare pentru dezvoltarea unui firewall web în cadrul un plugin
de securitate pe care am de gând să îl lansez în viitor.

Gradul de noutate al temei

Există mai multe plugin -uri asemanatoare, atât gratuite cât și premium , însa în majoritate
acestea sunt pline de bug -uri, sunt greu de configurat sau pu r și simplu au un design oribil .

Ce e șocant însă e că în majoritate acestea folosesc framework -uri externe pentru panoul de
control , încarcând inutil în memorie librării masive de cod. Acest lucru duce la un timp mar e de
încarcare al site-ului și uneori la probleme de memorie pe serverele cu pu ține resurse.
În plus, foarte puține plugin -uri conțin un modul de control al accesului în funcție de adresă IP
iar când acesta există , accesul se face în funcție de IP individual în format IPv4.
Drept urmare, în u rma investigațiilor mele, nu există nici un plugin WordPress care îndeplinește
toate cerințele de mai jos:
– ușor de configurat
– intuitiv la navigare
– impact minim la timpul de înc ărcare
– design pl ăcut cu posibilități de personalizare în panoul de control
– posibilit ăți avansate de configurare a accesului în funcție de rol și adresă IP, cu
posibilitatea de a folosi atât IPv4 cât și IPv6 în format standard, wildcard, CIDR sau
interval de IP -uri
– neintruziv în panoul de control WordPress (fără panouri publicitar e, upsell -uri la
versiuni premium, culori stridente, etc )

Obiectivele generale ale proiectului

Proiectul de licență își propune următoarele obiective:
– prezentarea conceptelor care stau la baza dezvoltării unui plugin WordPress (redat în
cadrul capitoul ui 1 al tezei )
– dezvoltarea unui plugin WordPress cu rolul de a preveni accesul public la conținutul site –
urilor WordPress in diferite stadii ale acestora: când sunt în construcție, în stadiu de
mentenanță sau când accesul la conținut este permis doar unui nu măr restrâns de
utilizatori (redat în capitolele 2 -7 ale tezei )

Metodologia folosit ă

Ca metodologie de lucru, am avut într -o primă etapă o abordare axată pe cercetarea pe Internet
a diverselor plugin -uri WordPress cu aplicabilități asemănătoare . Această etapă de studiu a
durat aproximativ un an, timp în care am studiat documentația oficială WordPress și am parcurs
mai multe cărți , cursuri și articole de specialitate scrise de experți în domeniu.
Pentru întregirea cunoștințelor și o înțelegere mai bună a arhitecturii și a standardelor de
codare WordPress am studiat atât codul WordPress cât și codul mai multor plugin -uri etalon
din industrie : WooCommerce, Easy Digital Downloads, MonsterInsights, WPForms, Advanced
Custom Fields , Yoast SEO, etc.
Am participat de asemenea la mai multe conferințe și evenimente WordPress precum
WordCamp Romania, WordCamp Europa și Bucharest WordPress Meetup , în cadrul cărora am
luat legătura cu specialiști din domeniu .

A doua etapă a constat in definirea foarte clară a funcționalității și a interfeței grafice, atât
pentru panoul de control, cât și pentru partea de front -end. Acest pas a constat în crearea mai
multor machete grafice în Photoshop (pentru partea de front -end) și a unei organizări riguroase
a setărilor în pa noul de control.
După ce am definit foarte bine structura finală a plugin -ului am trecut la cea de -a treia etapă :
dezvoltarea propriu -zisă a plugin -ului. Dezvoltarea acestuia am facut -o în PHP, folosind
multiple API -uri, atât native WordPress, cât și exter ne: Plugin API, Settings API, Options API,
Transients API, Google Fonts API, etc .
Foarte importantă în cadrul acestui pas a fost scrierea codului sursă folosind standardele de
codare WordPress si documentarea inline a acestuia folosind standardele DocBlock . Această
practică permite o colaborare ușoara cu alți developeri , acceptarea pachetului software în
repository -ul official de la WordPress și de ce nu, generarea automat ă de documentație tehnică
folosind soft -uri precum phpDocumentor sau DocBlox.
Ulima etapă a constat în testarea propriu -zisă a produsului final. În cadrul acesteia am testat
toate scenariile posibile de configurare, folosind atât valori valide cât și invalide. Am rugat de
asemenea mai mul te persoane (atât programatori cu experiență , cât și utilizatori normali de
WordPress ) să testeze plugin -ul și să-mi ofere feedback atât pe partea de uzabilitate, cât și pe
partea de tehnică , cu scopul de a identific a bug-uri vizuale sau de funcționalitate.

Contribu ția studentului

Contribuția orig inală a studentului constă în:
– dezvoltarea unui plugin WordPress pentru protejarea conținutului pe site -urile private,
aflate în construcție sau în stadiu de mentenanță
– crearea unui panou de control cu opțiuni avansate de customizare a modului de
funcționa re și a aspectului interfeței afișate vizitatorilor fără drepturi de acces
– crearea unei pagini de întâmpinare cu un design plăcut afișată utilizatori lori fără acces
în cadrul căreia se afișează un ceas func țional (animat cu ajutorul CSS și JavaScript )
– implementarea unui mod de acces fără restricții în funcție de rolul utilizatorului sau
adresa IP a acestuia cu posibilitatea de a folosi atât IPv4 cât și IPv6 în format standard,
wildcard, CIDR sau interval de IP -uri
– internaționalizarea plugin -ului și crea rea unui fișier de traducerea pentru limba româna
cu scopul de a permite utilizarea acestuia în limba preferată a utilizatorului (engleză sau
română, cu posibilitatea de a adăuga în viitor suport și pentru alte limbi )
– securizarea codului sursă prin validar ea, sanitizarea și limitarea datelor acceptate în
panoul de control
– dezvoltarea plugin -ului folosind multiple API -uri, atât native WordPress, cât și externe:
Plugin API, Settings API, Options API, Transients API, Google Fonts API, etc
– scrierea codului surs ă folosind standardele de codare WordPress si documentarea inline
a acestuia folosind standardele DockBlock

Capitolul 1: Plugin -urile WordPress – Privire de ansamblu

1.1. Ce este un plugin

Un plugin WordPress este un script PHP care extinde sau modifică funcționalitatea de bază
existent ă în core -ul WordPress. Cu alte cuvinte, plugin -urile sunt instalate în WordPress pentru
a adăuga sau a modifica anumite caracteristici . Modul de funcționare al acestora este foarte
asemănător cu cel al aplicațiilor terțe pe telefoanele mobile.
Com plexitatea acestora variază de la un caz la altul în funcție de problema pe care încearcă să o
rezolve . Putem vorbi în cadrul acestui ecosistem software atât despre plugin -uri simple, care
aduc schimbari minore la co mportamentul implicit , cât și despre plugin -uri complexe cu
funcționalități precum ecommerce, caching sau securitate.
Datorită unei structuri foarte bune și a diverselor API -uri disponibile în WordPress , nu există
nici o limită când vorbim de posibilitățile de extindere a funcționalității prin intermediul plugin –
urilor.

1.2. Avantajele plugin -urilor

WordPress oferă o mulțime de avantaje prin folosirea plugin -urilor . Cele mai importante sunt:

Nemodificarea core -ului WordPress:
Unul din principalele avantaje în utilizarea plugin -urilor este posibilitatea de a modifica
comportamentul WordPress fără a atinge fișierele din core.
Modificarea acestora duce la pierderea posibilității de a face update fără pierderea schimb ărilor
la lansări de versiuni noi ale pachetului software precum și instabilitate în execuție. Foarte
multe fișiere în WordPress sunt interdependente , modificarea unuia putând duce la efecte
neașteptate .

Conveniență și ușurință în dezvoltarea codului
Un alt avantaj îl reprezintă existe nța API-urilor. Multe funcționalități comune sunt disponibile
în core -ul WordPress și pot fi utiliza te direct în codul plugin -ului. Astfel, nu mai este nevoie să
construim de la zero anumite module. De exemplu, funcția wp_mail() ne permite să trimitem
mail -uri programatic fără a mai fi nevoie sa creăm funcționalitatea din spate. E de ajuns
introducerea unor parametrii la intrare și WordPress se ocupă de restul.
Utilizarea functionalităților deja existente în WordPress ne poate ajuta să reducem în mod
considerabil timpul necesar dezvoltării unui plugin. Mai mult, acest lucru permite maximizarea
compatibilității între plugin -ul nostru, core -ul WordPress și restul plugin -urilo r instalate.

Ca o concluzie, când dezvoltăm pachete software pentru un anumit ecosistem (fie că vorbim de
WordPress sau de un alt sistem ) trebuie să folosim pe cât posibil funcțiile deja existente .

Separarea plugin -urilor de teme
Un plugin poate prelua c ontolul asupra procesul de randare devenind în acest fel o “temă”. În
mod similar, o temă poate include și funcționalitate de plugin. Din acest motiv, diferența dintre
cele două poate deveni destul de confuză pentru un programator neexperimentat.
Totusi, d e ce nu includem codul unui plugin direct în te mă? Răspunsul este unul simplu: plugin –
urile sunt menite să adauge funcționalita ți noi pe când rolul temelor este de a controla felul în
care informația stocată în baza de date este afișata utilizatorilor. În acest fel avem o separație
clară între functionalitate și prezentare.
WordPress este construit modular pentru a putea schimba cu ușurință tema și o data cu ea
întregul aspect al site -ului. Dacă funcțiile plugin -ului ar fi inclus e în temă , la schimbarea acesteia
am pierde toată funcționalitatea necesară unei bune funcționări. Când avem o separație clară
între cele dou ă, schimbarea temei nu ne afectează în nici un fel .

Actualizări software automate
WordPress permite actualizarea automată a unui plugin la ultima versiune. Pentru plugin -urile
instalate din repository -ul oficial se primesc notificări în mod automat la apariția de noi
versiuni.
Pentru restul, dezvoltatorul plugin -ului trebuie să definească o locație externă și să facă
integrarea cu un sistem de update -uri. În lipsa acestor adăugiri, plugin -urile nu pot fi actualizate
automat. (doar manual, prin FTP)
Notă: Actualizarea softurilor la zi este foarte important ă. Acesta este singurul mod în care un site
poate fi menținut făra bug-uri și vulnerabilități de securitate .

Ușor de distribuit și reutilizat
Plugin -urile sunt ușor de distribuit. Este mult mai ușor de partajat un plugin decât să cerem
cuiva să modifice codul sursă în cadrul unei teme sau chiar din core -ul WordPress.
Încapsularea codului în plugin -uri permite totodată reutilizarea acestuia între site -uri cu o
ușurință extraordinară . Instalarea unui plugin dureaza câteva secunde.

Protec ție la erori
Activarea unui plugin defectuos în WordPress nu va strica întregul site . Dacă plugin -ul
declanșează o eroare fatală , WordPress îl va dezactiva în mod automat înainte ca acesta să poată
rula. Există situații când astfel de plugin -uri defectuase cauzează ecrane albe datorită erorilor,
însa mulțumită unui sistem bine pus la punct, simpla redenumire a director -ului de root al
plugin -ului va duce la dezactivarea acestuia , administratorul site -ului putând reveni cu usurință
la starea anterioară.

Pe de altă parte, când se fac modificări direct în core -ul WordPress , o eroare fatală poate duce
la daune definitive, mai ales când sunt executate instrucțiuni ce afectează baza de date.

1.3. Tipuri de plugin -uri

WordPress utilizează mai multe tipuri și stări pentru plugin -uri. O bu nă înțelegere a rolului și a
diferențelor dintre ele este foarte important ă pentru procesul de administrare, respectiv
dezvoltare a acestora .

Activ : plugin -ul este activ și rulează în WordPress .
Inactiv : plugin -ul este instalat , dar nu este activ. Codul plugin -ului nu este executat.
Obligatoriu : plugin -ul este instalat în directorul wp-content/mu -plugins și este încarcat
automat. Singura modalitate prin care acesta poate fi dezactivat este prin ștergerea sa manuală
prin FTP.
Drop -In: funcțiile core ale WordPress pot fi înlocuite cu plugin -uri de tip Drop -In. Aceste plugin –
uri sunt un singur fișier PHP specificat în mod explicit în directorul wp-content . Dacă
WordPress detectează un astfel de fișier , acesta va fi încărcat în mod automat și afișat sub
meniul de Drop -Ins. În present există 10 plugin -uri de acest tip:
– advanced -cache.php – plugin avansat de caching
– db.php – clasă personalizată pentru procesarile în baza de date
– db-error.php – mesaj personalizat de eroare pentru procesările în baza de date
– install.php – script personalizat de instalare
– maintenance.php – mesaj personalizat de mentenanță
– object-cache.php – cache de obiecte extern
– sunrise.php – mapare avansată a domeniilor pentru multisite
– blog-deleted.php – mesaj personalizat la stergerea unui blog din multisite
– blog-inactive.php – mesaj p ersonalizat la inactivarea unui blog din multisite
– blog-suspended.php – mesaj personalizat la suspendarea unui blog din multisite

1.4. Cum funcționează interacțiunea dintre WordPress și plugin -uri

WordPress pune la dispoziție mai multe API -uri pentru a fi utilizate în dezvoltarea plugin -urilor.
Fiecare din ele permite interacțiunea cu WordPress într -un mod diferit. Mai jos sunt enumerate
principalele API -uri disponibile si funcțiile pe care acestea le îndeplinesc:
Plugin API
Acest API pune la dispoziție un set de cârlige care permit accesul plugin -urilor la anumite părți
ale WordPress. WordPress conține două tipuri diferite de cârlige : acțiuni și filtre .

Cârligul de tip acțiune permite declanșarea unei anumite bucăți de cod la anumite punct e în
timpul exe cuției . De exemplu, o funcție poate rula înainte sau după urcarea unui fișier media în
librăria WordPress .
Cârligul de tip filtr u modifică valoarea unei variabile înainte sau după preluarea valorii acesteia
din baza de date.

Settings API
Prin utilizarea a cestui API se pot crea setări sau secțiuni de setări pentru plugin -uri. Principalul
avantaj în folosirea acestuia este securitatea. Toate datele setărilor sunt curățate de elementele
nedorite. Astfel, programatorii nu trebuie să -și facă griji în privința a tacurilor de tip XSS sau
CSRF în timpul salvării informațiilor în baza de date.

Options API
Prin utilizarea acestui API se stochează și se preiau opțiunile salvate în baza de date. Acesta
dispune de capacitatea de a crea noi opțiuni, de a actualiza opțiunile existente, de a le șterge sau
de a prelua orice opțiune deja definită.

Transients API
Prin utilizarea acestui API se pot crea opțiuni temporare. Ca structură este foarte similar cu
Options API, singura diferență fiind faptul că toate opțiunile sunt salvate cu un timp de expirare.

Metadata API
Prin utilizarea acestui API se face accesarea și manipularea diferitelor tipuri de obiecte
WordPress de tip metadata. Metadatele sunt perechi de tip cheie -valoare și conțin informații
suplimentare despre obiectul părinte. În WordPress există 3 tipuri implicite de metadata: post
metadata, comment metadata și user metadata.

Rew rite API
Prin utilizarea acestui API se pot crea reguli personalizate de rescriere a permalink -urilor. Cu
ajutorul lui se pot adăuga elemente statice (end -point -uri) în cadrul link -urilor precum /post-
type/, etichete de structură precum %postname% și se po t crea feed -uri RSS personalizate.

Database API
Prin intermediul acestui API se accesează baza de date WordPress. Acesta dispune de
capacitatea de a crea, de a actualiza, de a șterge sau de a recupera înregistrări din baza de date
pentru a fi utilizate la dezvoltarea plugin -uri.

Shortcode API
Acest API permite adaugarea de suport pentru shortcode -uri în cadrul conținutului. Un
shortcode este un cârlig care permite apelarea unei funcții PHP prin adăugarea unor elemente
precum [shortcode] în conținutul unui post sau a unei pagini.
Prin folosirea shortcode -urilor se permite utilizatorilor finali să controleze unde se execută o
anumita bucată de cod.

Widgets API
Acest API permite crea rea, modifica rea sau distruge rea widget -urilor afișate în orice bară
lateral ă înregistrată de tema activ ă. De asemenea, acest API permite ca mai multe instanțe ale
aceluiași widget să fie utilizate concomit ent.

Dashboard Widgets API
Acest API permite crearea de widget -uri pentru panoul de control al administrat orilor. Widget –
urile apar în mod automat pe panoul de control și conțin toate elementele standard de
personalizare, inclusive funcțiile de drag -and-drop și de ascundere în funcție de preferințele
fiecărui utilizator.

HTTP API
Prin intermediul acestui API se pot trimite cereri HTTP în baza cărora se poate prelua con ținut
de la o adresă URL externă sau se poate trimite conținut către aceasta .
În present există mai multe metode de a trimite cereri HTTP. Acest API standardizează acest
proces și testează fieca re metodă înainte de executare pentru a determina metoda corectă în
funcție de configurația serverului.

REST API
Acest API pune la dispoziție o serie de end -point -uri pentru diferite tipuri de date WordPress
ce permit programatorilor să interacționeze cu site-uri și aplicații externe prin trimiterea și
primirea de obiecte JSON.
JSON este un format de date standard deschis , ușor de interpretat , ce permite citirea, crearea și
actualizarea conținutului WordPress din JavaScript sau din aplicații externe , indi ferent de
limbajul de programare folosit la dezvoltarea acestora.

File Header API
Acest API permite interpretarea antetelor definite în fișiere . Temele si plugin -urile WordPress
conțin unul sau mai multe fișier e. Dintre acestea, unul este întotdeauna de tip obligatoriu și
conține meta -informații precum Nume, Descriere, Versiune, Autor, Licența, etc.

Aceste informații sunt plasate în interiorul unui bloc -comentariu aflat la începutul fișierului sub
forma unor însi ruiri de informații de tip Nume: Valoare .

Filesystem API
Acest API a fost create initial pentru funcția de actualizare automata a WordPress -ului. În
present, acesta abstractizează funcționalitatea necesară pentru citirea și scrierea fișierelor
locale pe s erver în mod securizat.
Orice plugin sau temă ce are nevoie să scrie fișiere la nivel local trebuie să folosească acest API.

Theme Modification API
Prin utilizarea acestui API se stochează și se preiau opțiunile specific temelor salvate în baza de
date. Acesta dispune de capacitatea de a crea noi opțiuni pentru teme , de a le actualiza sau de a
le șterge pe cele existente . Acest API este foarte similar cu Options API .

Theme Customization API
Prin utilizarea acestui API se pot crea controale în panoul de personalizare a temelor unde
administratorii pot schimba setările acestora și pot previzualiza în timp real efectele
modificărilor efectuate . Acest API este foarte similar cu Settings API.

Suprascrierea f uncții lor pluggable
Pe lângă API -uri, WordPress inc lude și funcții pluggable. Acestea ne permit suprascrierea unor
funcții de bază pentru a altera comportamentul implicit . De exemplu, funcția wp_mail() poate
fi suprascrisă pentru a trimite mail -uri prin intermediul SMTP și nu prin metoda implicită care
poate activa foarte ușor filtrele de spam ale clienților de email.
Toate funcțiile pluggable sunt definite în /wp-include/pluggable.php .
Există de asemenea o serie de funcții predefinite ce pot fi folosite când WordPress efectuează
anumite task -uri precum activarea, dezactivarea sau stergerea definitivă a unui plugin. Cu
ajutorul acestor funcții putem crea setări implicite sau prelucrări speciale în baza de date la
activare sau dezactivare și foarte important , putem face curățenie în baza de date la
dezinstalare.

1.5. Lista de API-uri folosite la dezvoltarea plugin -ului

Pentru dezvoltarea plugin -ului prezentat în aceasta lucrare au fost utilizate următoarele API –
uri:

API-uri WordPress folosite
Nume API Utilizare API
Plugin API Acest API este esențial la dezvoltarea plugin -ului. Cu ajutorul lui definim
momentele de timp la care se execută anumite secțiuni de cod. Fără el nu se
poate face integrarea cu WordPress.
Settings API Acest API este folosit la crearea panoului de control , integrarea ace stuia în
interfața WordPress și la securizarea opținilor înainte de salvarea datelor în
baza de date .
Options API Acest API este folosit pentru stocarea, preluarea și modificarea opțiunilor
salvate în baza de date. Cu ajutorul lui manipulăm informațiile introduse de
administrator în panoul de control.
Transients API Acest API este folosit pentru crearea de opțiuni temporare. În cazul nostru,
el este folosit pentru stocarea listei de font -uri Google și la reactualizarea
automată a acesteia din 30 în 30 de zile.
Metadata API Acest API ne permite stocarea de informație adițională. În cazul nostru, el
este folosit pentru a ține minte când un administrator ascunde notificările
afișate în panoul de control .
HTTP API Acest API este folosit pentru trimiterea de cereri HTTP către site -uri și
aplicații externe. În cazul nostru, el este folosit pentru a prelua lista de font –
uri Google . (inclusive lista locală, când serviciile Google nu funcționează )
Filesystem API Acest API este folosit pentru manipularea fișierelor locale. În cazul nostru, el
este folosit pentru accesarea fișierului JSON de backup cu lista locală de font –
uri Google. (accesat când serviciile Google nu funcționează)
File Header API Acest API permite interpretarea antetelor definite în fișiere. În cazul nostru,
el este folosit la crearea antetului din fișierului principal raindrop.php
pentru a permite identificarea acestuia ca plugin.

Tabel 1.1 . API-uri WordPress folosite la dezvoltarea plugin -ului

API-uri externe folosite
Nume API Utilizare API
Google Fonts API Acest API permite utilizarea font -urilor Google. În cazul nostru, el este
folosit pe pagina de întâmpinare pentru a încărca font -urile definite de
administrator în panoul de control. (cu suport pentru limbile latine,
inclusive cele cu diacritice )

Tabel 1. 2. API-uri externe folosite la dezvoltarea plugin -ului