WordPress

• Estensione delle funzionalità tramite plugin^[2];
• Disponibilità di temi gratuiti^[3], e altri a pagamento, per personalizzare l'aspetto del blog;
• Gestione delle pagine con modelli;
• URL permanenti che aiutano l'ottimizzazione nei motori di ricerca;
• Gestione delle categorie;
• Funzioni di Trackback e Pingback;
• Editor WYSIWYG per la formattazione dei testi;
• Creazione di pagine statiche;
• Supporto multi-autori;
• Supporto multi-sito ( attivabile. dalla versione 3.0, o usando la variante WordPress MU);
• Log degli utenti che visitano il blog;
• Blocco di utenti in base all'indirizzo IP;
• Possibilità di specificare meta-tag;
• Dalla versione 3.7 è presente un sistema di aggiornamento automatico.
• Possibilità di convertire un sito statico in HTML in uno dinamico WP^[4][5]

La prima versione di WordPress fu pubblicata il 27 maggio 2003 dai fondatori Matt Mullenweg e Mike Little come fork di b2/cafelog. Il nome WordPress fu suggerito da Christine Selleck.

WordPress 5.0

Dopo il rilascio di WordPress 5.0 Bebo, precedentemente noto come “Project Gutenberg”^[6], WordPress ha apportato revisioni su come l'editor predefinito gestisce il contenuto di modifica all'interno di pagine e post. È in uso dal 2019 un editor basato sui blocchi^[7], il quale consente agli utenti di modificare il contenuto visualizzato in un editor molto più user friendly rispetto alle iterazioni precedenti.

Versioni

Le versioni di WordPress, a partire dalla versione 1.0^[8], sono chiamate con nomi di musicisti jazz.

WordPress permette di creare un solo blog per ogni installazione, anche se diverse installazioni possono convivere sullo stesso server e nello stesso dominio, in directory e database separati.

WordPress Multi-User o WordPress MU è la piattaforma multi-blogging derivata da WordPress. Consente infatti di gestire con una sola installazione un network di blog, amministrati tutti tramite un unico pannello. Nonostante non sia supportato dal core di WordPress è possibile avere anche più installazioni di WordPress che condividono gli stessi utenti e lo stesso database con un'unica autenticazione.

Dalla Versione 3.0 le versioni di WordPress e WordPress MU vengono integrate in quanto tramite la modifica del file wp-config.php è possibile attivare la modalità network nella propria installazione di WordPress.

WordPress permette di realizzare portali web con l'ausilio di opportuni plugin. Si tratta di moduli che estendono le funzionalità dell'applicativo e aggiungono nuove caratteristiche ed elementi ai siti realizzati. Per esempio esistono plugin, gratuiti o a pagamento, che estendono le funzionalità dell'editor integrato di WordPress, o che permettono di inserire funzionalità di gestione SEO al sito, o di inserire uno slideshow nelle pagine del sito realizzato con WordPress regolandone le caratteristiche in modalità drag and drop direttamente dall'editor integrato.

Esistono plugin che consentono anche di trasformare un sito sviluppato in WordPress in un e-commerce a tutti gli effetti.

Molto spesso capita che nei plugin gratuiti siano presenti dei link verso il sito di chi lo ha realizzato: è considerata come una forma di link building.

Iscrivendosi dal portale wordpress.com è possibile creare un sito utilizzando WordPress gratuitamente, ma non è possibile usufruire dei plugin per aggiungere funzionalità. Per poterli utilizzare è necessario sottoscrivere un piano a pagamento sul portale di WordPress oppure comprare un servizio di hosting, che supporti PHP e MySQL e scaricare nel proprio spazio web il software WordPress.

Il sito può essere esposto a rischi o attacchi come virus, spam, violazioni di password e login, furto di informazioni e dati. Per questo è sempre utile installare un plugin per la sicurezza al fine di migliorare ed estendere le funzioni di sicurezza base di WordPress.

Fondamentale è mantenere sempre aggiornato il proprio sito. Durante gli aggiornamenti le pagine non sono disponibili e verrà quindi utilizzato un plugin per mostrare la modalità in manutenzione. È possibile ricorrere a questo tipo di plugin anche per il ripristino del sito e per il backup.

I plugin per l'interazione con gli utenti sono il modo migliore per avvicinarsi ai visitatori del sito. Infatti permettono di conoscere le loro opinioni, lamentele e suggerimenti. I moduli di contatto sono quelli più utilizzati perché sono molto intuitivi e migliorano la comunicazione tra utenti.

Esistono molti tipi di plugin, ma l'importante è scegliere quello più adatto alle proprie esigenze e che consenta di raggiungere l'obiettivo prefissato. Nella scelta occorre quindi valutare la funzione svolta, la compatibilità con il sistema, il numero di installazioni attive con le rispettive recensioni e la valutazione media.^[39]

Classic Editor plugin

Il contenuto creato in precedenza sulle pagine WordPress è elencato sotto quello che si chiama il Blocco Classico.^[40]

Il plugin Classic Editor è stato creato come risultato delle preferenze degli utenti e un modo per aiutare gli sviluppatori di siti web a mantenere i plugin precedenti, compatibili solo con WordPress 4.9.8 dando agli sviluppatori di plugin il tempo di aggiornare i propri plugin e renderli compatibili con la versione 5.0. Con il plugin di Classic Editor installato, si ripristina l'esperienza di modifica "classica" di WordPress prima del rilascio di WordPress 5.0. Il plugin Classic Editor sarà supportato almeno fino al 2022.^[41]

WooCommerce

WooCommerce è un plugin di ecommerce open source per WordPress. Lanciato il 27 settembre 2011, il plugin è diventato rapidamente popolare per la sua semplicità di installazione, personalizzazione e per il prodotto di base gratuito. Il software è stato inizialmente sviluppato dallo sviluppatore di temi di WordPress, WooThemes^[42], che ha assunto Mike Jolley e James Koster, sviluppatori di Jigowatt, per lavorare su un fork di Jigoshop^[43], che è diventato WooCommerce.^[44]

Nel mese di novembre 2014, il primo WooConf, una conferenza su WooCommerce, si è tenuto a San Francisco. Ha attirato 300 partecipanti^[45].

Nel 2015 le statistiche mostrano che la percentuale di negozi online che utilizzano WooCommerce tramite il plug-in di Wordpress.org è superiore al 30%^[46]. La quota di mercato del 2019 per WooCommerce è il 22% del primo milione di siti che utilizzano tecnologie di e-commerce^[46].

Nel maggio 2015 WooThemes e WooCommerce sono stati acquisiti da Automattic, operatore di WordPress.com e collaboratore principale del software WordPress^[47]. Da allora WooCommerce ha continuato a guadagnare quote di mercato fino a diventare una delle principali piattaforme di e-commerce su Internet, raggiungendo nel 2022 una quota pari al 29% di tutti i siti web che fanno uso di ecommerce; a seguire Shopify con il 19% del totale.^[48].

Nel dicembre 2020 WooCommerce ha acquisito MailPoet, un popolare plugin per la gestione delle newsletter di WordPress^[49].

Wordpress e il Fediverso

Ci sono anche vari plugin per collegare WordPress con il Fediverso, e per interagire quindi con strumenti come Mastodon, Pleroma, Funkwhale o PeerTube^[50].

Lo stesso argomento in dettaglio: Ottimizzazione per i motori di ricerca.

Wordpress è ritenuto da alcuni il migliore per la SEO^[51][52]. I principali fattori di SEO per Wordpress sono^[53]:

• Plugin SEO affidabili
• Permalink con URL che contengono il titolo e/o le parole chiave del contenuto
• Parola chiave principale nel primo paragrafo
• Aggiungere lo stato Nofollow ai link di affiliazione
• Anchor Link nei contenuti più lunghi
• Descrizioni delle "Categorie"
• Uso di Google My Business e Bing Places
• Tag TITLE nei link
• Tag ALT, TITLE, LONGDESC, CAPTION nelle immagini
• Entrare nel Knowledge Graph di Google
• Multilingualità
• Articoli che mantengono lo stesso valore con il passare del tempo (detti "sempreverdi")
• Content Pruning (rimozione dei contenuti obsoleti che non possono più essere utili agli utenti)
• Applicare il social markup. Esempio:

<meta name=”twitter:card” content=”Film”><meta name=”twitter:site” content=”@Titanic”><meta name=”twitter:creator” content=”@John Smith”><meta name=”twitter:title” content=”Uscito il nuovo film di Cameron”><meta name=”twitter:description” content=”Descrizione del contenuto”><meta name=”twitter:image” content=”Url dell’immagine del contenuto”>

• Applicare lo schema markup. Esempio:

<div itemscope itemtype ="https://www.titanic.com/">  <h1 itemprop="name">Titanic</h1>  <span>Direttore: <span itemprop="director">James Cameron</span> (nato il 16 agosto 1954)</span>  <span itemprop="genre">Fantascienza</span>  <a href="../film/titanic-trailer.html" itemprop="trailer">Trailer</a></div>

Gli utenti di WordPress possono installare e passare da un tema all'altro. I temi consentono agli utenti di modificare l'aspetto e la funzionalità di un sito web WordPress senza alterare il codice principale o il contenuto del sito. Ogni sito web WordPress richiede la presenza di almeno un tema e ogni tema deve essere progettato utilizzando gli standard di WordPress con PHP strutturato, HTML valido (HyperText Markup Language) e Cascading Style Sheets (CSS). I temi possono essere installati direttamente utilizzando lo strumento di amministrazione "Aspetto" di WordPress nella dashboard, oppure le cartelle dei temi possono essere copiate direttamente nella directory dei temi, ad esempio, tramite FTP^[54]. Il PHP, HTML e CSS trovato nei temi può essere modificato direttamente per alterare il comportamento del tema, oppure un tema può essere un tema "figlio" che eredita le impostazioni da un altro tema e ignora selettivamente le funzionalità^[55]. I temi WordPress sono generalmente classificati in due categorie: gratuiti e premium. Molti temi gratuiti sono elencati nella directory dei temi di WordPress (nota anche come repository) e i temi premium sono disponibili per l'acquisto dai marketplace e dai singoli sviluppatori di WordPress. Gli utenti di WordPress possono anche creare e sviluppare i propri temi personalizzati. Il tema gratuito Underscores creato dagli sviluppatori di WordPress è diventato una base popolare per nuovi temi^[56].

WordPress.org è il sito da cui viene distribuita la versione ufficiale, gratuita, del software WordPress. Il sito WordPress.org è proprietà della WordPress Foundation che coordina lo sviluppo del progetto WordPress e lo finanzia.

WordPress.com è invece un sito della società Automattic che offre piani di hosting online con una versione modificata (ridotta) di WordPress. WordPress.com può utilizzare il marchio WordPress perché la società Automattic è stata fondata da Matt Mullenweg, cofondatore del progetto WordPress.^[57]

Applicazioni mobili

Esistono app per smartphone per WordPress per WebOS^[59], Android^[60], iOS (iPhone, iPod Touch, iPad)^[61][62], Windows Phone e BlackBerry^[63]. Queste applicazioni, progettate da Automattic, hanno opzioni come l'aggiunta di nuovi post e pagine di blog, commenti, moderazione dei commenti, risposta ai commenti oltre alla possibilità di visualizzare le statistiche^[61][62].

Accessibilità

Il team per l'accessibilità di WordPress ha lavorato per migliorare l'accessibilità per il core di WordPress e per supportare una chiara identificazione dei temi accessibili^[64]. Il team per l'accessibilità di WordPress fornisce supporto educativo continuo sull'accessibilità web e sul design inclusivo. Gli standard di codifica per l'accessibilità di WordPress affermano che "Tutto il codice nuovo o aggiornato rilasciato in WordPress deve essere conforme alle Linee guida per l'accessibilità dei contenuti Web 2.0 a livello AA"^[65].

Struttura

WordPress offre anche la gestione dei collegamenti integrata, la possibilità di assegnare più categorie ai post e supporto per la codifica dei post. Sono inclusi anche filtri automatici, che forniscono una formattazione e uno stile standardizzati del testo nei post (ad esempio, la conversione di citazioni normali in virgolette intelligenti). WordPress supporta anche gli standard Trackback e Pingback per la visualizzazione di collegamenti ad altri siti che sono a loro volta collegati a un post o a un articolo. I post di WordPress possono essere modificati in HTML, utilizzando l'editor visuale o utilizzando uno dei numerosi plug-in che consentono una varietà di funzionalità di modifica personalizzate.

Le cause principali per un sito lento fatto in WordPress (ma valgono per molti altri CMS^[66]) sono^[67]:

• Hosting: quando il server di web hosting non è configurato correttamente può danneggiare la velocità del sito web
• Configurazione: se il sito non usa pagine memorizzate nella cache sovraccaricherà il server, causando la lentezza o il blocco del sito web
• Immagini pesanti: a una risoluzione alta (adatta per la stampa ma non per il web) e/o una dimensione ampia e/o mancato uso degli Sprite CSS per evitare molte chiamate al server^[68]
• Riproduzione automatica dei video all'arrivo dell'utente e video ospitati sul proprio server anziché incorporato da YouTube, Vimeo o altri servizi esterni^[69]
• Plugin non validi e/o non aggiornati: se si utilizzano plugin mal codificati e/o obsoleti il sito web può rallentare notevolmente
• Script esterni: annunci, caricatori di caratteri, ecc. possono avere un enorme impatto sulle prestazioni del sito web. Ad esempio utilizzare troppi font incorporati con Google Fonts^[70] o altri plugin di incorporazione^[71] font può rallentare il sito^[72]
• Cache disattivata
• Assenza di una Content Delivery Network (CDN)^[73]

Molti problemi di sicurezza^[74] sono stati scoperti nel software, in particolare nel 2007, 2008 e 2015. Secondo Secunia, WordPress nell'aprile 2009 aveva sette avvisi di sicurezza senza patch (su 32 totali), con un punteggio massimo di "Less Critical". Secunia mantiene un elenco aggiornato delle vulnerabilità di WordPress^[75].

Nel gennaio 2007, molti blog di alto profilo per l'ottimizzazione dei motori di ricerca (SEO), così come molti blog commerciali di basso profilo con AdSense, sono stati presi di mira e attaccati con un exploit di WordPress^[76]. Una vulnerabilità separata su uno dei server web del sito del progetto ha permesso a un utente malintenzionato di introdurre codice sfruttabile sotto forma di backdoor per alcuni download di WordPress 2.1.1. La versione 2.1.2 ha risolto questo problema; un avviso rilasciato in quel momento consigliava a tutti gli utenti di eseguire l'aggiornamento immediatamente^[77].

Nel maggio 2007, uno studio ha rivelato che il 98% dei blog WordPress in esecuzione era sfruttabile perché erano in uso versioni obsolete e non supportate del software^[78]. In parte per mitigare questo problema, WordPress ha reso l'aggiornamento del software un processo automatizzato "con un clic" molto più semplice nella versione 2.7 (rilasciata nel dicembre 2008)^[79]. Tuttavia, le impostazioni di sicurezza del file system richieste per abilitare il processo di aggiornamento possono rappresentare un rischio aggiuntivo^[80].

In un'intervista del giugno 2007, Stefan Esser, il fondatore del PHP Security Response Team, ha parlato in modo critico del track record di sicurezza di WordPress, citando problemi con l'architettura dell'applicazione che hanno reso inutilmente difficile scrivere codice protetto dalle vulnerabilità di SQL injection, come così come altri problemi^[81].

Nel giugno 2013 è stato rilevato che alcuni dei 50 plug-in di WordPress più scaricati erano vulnerabili agli attacchi web comuni come SQL injection e XSS. Un'ispezione separata dei primi 10 plugin di e-commerce ha mostrato che sette di loro erano vulnerabili^[82].

Nel tentativo di promuovere una migliore sicurezza e di semplificare l'esperienza di aggiornamento in generale, in WordPress 3.7 sono stati introdotti aggiornamenti automatici in background^[83].

Le singole installazioni di WordPress possono essere protette con plug-in di sicurezza che impediscono l'enumerazione degli utenti, nascondono risorse e contrastano i probe. Gli utenti possono anche proteggere le loro installazioni di WordPress adottando misure come mantenere aggiornate tutte le installazioni, temi e plug-in^[84], utilizzando solo temi e plug-in affidabili, modificando il file .htaccess di configurazione del sito se supportato dal server web per prevenire molti tipi di attacchi SQL injection e bloccando l'accesso non autorizzato ai file sensibili. È particolarmente importante mantenere aggiornati i plug-in di WordPress perché potenziali hacker possono facilmente elencare tutti i plug-in utilizzati da un sito e quindi eseguire scansioni alla ricerca di eventuali vulnerabilità di tali plug-in. Se vengono rilevate vulnerabilità, possono essere sfruttate per consentire agli hacker, ad esempio, di caricare i propri file (come una web shell) che raccolgono informazioni sensibili.

Gli sviluppatori possono anche utilizzare strumenti per analizzare potenziali vulnerabilità, tra cui WPScan, WordPress Auditor e WordPress Sploit Framework sviluppato da 0pc0deFR. Questi tipi di strumenti ricercano le vulnerabilità note, come CSRF, LFI, RFI, XSS, SQL injection e l'enumerazione degli utenti. Tuttavia, non tutte le vulnerabilità possono essere rilevate dagli strumenti, quindi è consigliabile controllare il codice di plugin, temi e altri componenti aggiuntivi di altri sviluppatori.

Nel marzo 2015, è stato segnalato da molti esperti di sicurezza e SEO, tra cui Search Engine Land, che un plug-in SEO per WordPress chiamato Yoast, utilizzato da oltre 14 milioni di utenti in tutto il mondo, ha una vulnerabilità che può gli hacker a fare una Blind SQL injection^[85][86]. Per risolvere il problema, è stato introdotto una versione più recente (1.7.4) dello stesso plug-in^[87].

Nel gennaio 2017, i revisori della sicurezza di Sucuri hanno identificato una vulnerabilità nell'API REST di WordPress che consentirebbe a qualsiasi utente non autenticato di modificare qualsiasi articolo o pagina all'interno di un sito con WordPress 4.7 o versioni successive. I revisori hanno informato silenziosamente gli sviluppatori di WordPress ed entro sei giorni WordPress ha rilasciato una patch ad alta priorità alla versione 4.7.2, che ha risolto il problema^[88][89]. L'avviso di fingerprinting di Canvas viene in genere fornito da Tor Browser per i siti web basati su WordPress.

A partire da WordPress 5.2, il requisito minimo per la versione PHP è PHP 5.6^[90], che è stato rilasciato il 28 agosto 2014, e che non è stato supportato dal gruppo PHP e non ha ricevuto alcuna patch di sicurezza dal 31 dicembre 2018^[91]. Pertanto, WordPress consiglia di utilizzare PHP versione 7.3 o successiva^[90].

In assenza di modifiche specifiche al codice di formattazione predefinito, i siti web basati su WordPress utilizzano l'elemento Canvas per rilevare se il browser è in grado di eseguire correttamente il rendering delle emoji. Poiché Tor Browser attualmente^[quando?] non discrimina tra questo uso legittimo dell'API Canvas e il tentativo di eseguire il fingerprinting, avverte che il sito web sta tentando di "estrarre i dati dell'immagine di Canvas HTML5". Gli sforzi in corso cercano soluzioni alternative per rassicurare i sostenitori della privacy pur mantenendo la capacità di verificare la corretta capacità di rendering delle emoji^[92].

Attacchi hacker

Sebbene esistano plugin per aumentare la sicurezza, potrebbero verificarsi:

• Backdoor: metodo per eludere la procedura d'accesso al server del sito web^[93]
• SQL injection o SQLi: un hacker può inserire istruzioni SQL dannose nel sito ottenendo potenzialmente l’accesso a dati sensibili presenti nel database o distruggendo questi dati
• Pharma hack: l'hacker distribuisce pubblicità farmaceutiche ai visitatori attraverso link incorporati e anchor text sulle pagine del sito di un altro utente^[94]
• Redirect dannosi: l'hacker può nascondere degli script sul sito di un altro utente e renderizzare i visitatori da altre parti^[95]
• Download drive-by: l'hacker può inserire degli script sul sito di un altro utente per fare in modo che i visitatori scarichino software a loro insaputa^[96]
• Cross-site scripting (XSS):^[97] permette a un cracker di inserire o eseguire codice lato client al fine di attuare un insieme variegato di attacchi quali, ad esempio, raccolta, manipolazione e reindirizzamento di informazioni riservate, visualizzazione e modifica di dati presenti sui server, alterazione del comportamento dinamico delle pagine web, ecc.
• File Inclusion: Local File Inclusion (LFI) consente a un utente malintenzionato di includere file su un server tramite il browser web^[98]. Remote File Inclusion, o RFI, nell'ambito della sicurezza informatica indica una vulnerabilità che affligge i servizi web con uno scarso controllo delle variabili arrivate da un utente, in particolare le variabili GET e POST del PHP.
• Il Cross-site request forgery, abbreviato CSRF o anche XSRF, è una vulnerabilità a cui sono esposti i siti web dinamici quando sono progettati per ricevere richieste da un client senza meccanismi per controllare se la richiesta sia stata inviata intenzionalmente oppure no.
• Esecuzione di codice in modalità remota: ottenere l'accesso a un account con privilegi riservati almeno al livelloauthor su un sito di destinazione per eseguire codice PHP arbitrario sul server sottostante, portando a un'acquisizione remota completa^[99].
• Privilege Escalation: l'escalation dei privilegi si verifica quando a un utente con privilegi amministrativi inferiori vengono concessi privilegi più elevati^[100].
• Clickjacking: tecnica dannosa che induce gli utenti a fare clic su qualcosa di diverso da quello che si aspettano^[101].

Sviluppatori chiave

Matt Mullenweg e Mike Little sono stati co-fondatori del progetto. Gli sviluppatori principali sono Helen Hou-Sandí, Dion Hulse, Mark Jaquith, Matt Mullenweg, Andrew Ozz e Andrew Nacin^[102][103].

WordPress è sviluppato anche dalla sua comunità, inclusi i tester WP, un gruppo di volontari che testano ogni versione. Hanno accesso anticipato a "build notturne", versioni "beta" e candidate "release". Gli errori sono documentati in una mailing list speciale o nello strumento Trac del progetto .

Sebbene in gran parte sviluppato dalla comunità che lo circonda, WordPress è strettamente associato ad Automattic, la società fondata da Matt Mullenweg^[104]. Il 9 settembre 2010 Automattic ha consegnato il marchio WordPress alla nuova WordPress Foundation, un'organizzazione che supporta WordPress.org (inclusi il software e gli archivi per plugin e temi), bbPress e BuddyPress.

Sviluppatore WordCamp e conferenze utente

I WordCamp sono conferenze casuali e organizzate localmente che coprono tutto ciò che riguarda WordPress^[105]. Il primo di questi eventi è stato il WordCamp 2006 nell'agosto 2006 a San Francisco, che è durato un giorno e ha avuto oltre 500 partecipanti^[106][107]. Il primo WordCamp fuori San Francisco si è tenuto a Pechino nel settembre 2007^[108]. Da allora ci sono stati oltre 1.022 WordCamp in oltre 75 città in 65 paesi diversi in tutto il mondo^[105]. WordCamp San Francisco 2014 è stata l'ultima conferenza annuale ufficiale degli sviluppatori e utenti di WordPress che si è svolta a San Francisco, essendo stata ora sostituita con WordCamp US^[109]. Lanciati per la prima volta nel 2013 come WordCamp Europe, i WordCamp regionali in altre regioni geografiche si svolgono con l'obiettivo di mettere in contatto persone che non sono già attive nelle loro comunità locali e ispirare i partecipanti ad avviare comunità di utenti nelle loro città^[110]. Nel 2019 la regione nordica aveva il proprio WordCamp Nordic^[111][112]. Il primo WordCamp Asia si sarebbe dovuto tenere nel 2020^[113], ma fu annullato a causa della pandemia COVID-19^[114].

Supporto

Il sito web di supporto principale di WordPress è WordPress.org. Questo sito web di supporto ospita sia WordPress Codex, il manuale online per WordPress e un repository vivente per le informazioni e la documentazione di WordPress,^[115] sia i forum di WordPress, una comunità online attiva di utenti di WordPress.^[116]

• Vincitore del premio "Best of open source software: Collaboration" di InfoWorld, assegnato nel 2008^[117].
• Vincitore degli Open Source CMS Awards "Overall Best Open Source CMS", assegnato nel 2009^[118].
• Vincitore della "Hall of Fame CMS category in the 2010 Open Source" di digitalsynergy, premiato nel 2010^[119].
• Vincitore del "Bossie award for Best Open Source Software" di InfoWorld, assegnato nel 2011^[120].
• WordPress ha una valutazione sulla privacy a cinque stelle dalla Electronic Frontier Foundation^[121].