Câu chuyện tranh luận CMS mã nguồn mở nào là tốt nhất để tạo website, có thể là đề tài muôn thuở và chưa có dấu hiệu giảm nhiệt. Ngày càng nhiều các CMS và Framework ra đời khiến người “tiêu dùng” phải đâu đầu lôi ra so sánh và tranh luận. Một trong những CMS được đem ra mổ sẻ so sánh nhiều nhất đó là WordPress, người thì cho WordPress không bảo mật bằng các Framework như Laravel, người thì cho rằng WordPress nặng hơn code thuần rất nhiều,… Vậy thì WordPress có thật sự tốt hay không?
Nguyên lý hoạt động của WordPress
Trước khi đi đến kết luận là WordPress có nặng và kém bảo mật hơn các mã nguồn khác hay không thì mình sẽ phải tìm hiểu thử nguyên lý hoặc động của nó như thế nào đã nhé.
Trước đây WordPress chỉ được biết đến như là một nền tảng dành cho blog, nhưng qua thời gian, nó được nâng cấp cải tiến trở thành một hệ thống quản lý nội dung linh hoạt (CMS). Và theo khảo sát gần đây cho biết, có hơn 22,5% website đang chạy trên Internet hiện nay là nền tảng WordPress và con số vẫn đang tăng lên do sự chuyển đổi của các loại website cũ sang WordPress.
Khi yêu cầu 1 trang web từ wordpress, nó sẽ cần trải qua 5 bước để hoàn thành nội dung bao gồm:
- Khởi động mã nguồn: Khi bạn mở mã nguồn WordPress, bạn sẽ thấy có một tệp với tên index.php. Khi người dùng gửi yêu cầu truy cập đến website của bạn, nó sẽ được gửi qua tệp này. Trong bước này nó sẽ tiến hành truy xuất các thông tin bao gồm: cài đặt cơ bản (trong tệp wp-config.php), kết nối đến cơ sở dữ liệu để tải dữ liệu cơ bản, một số tệp cài đặt khác như wp-settings.php, và những tệp thiết đặt trong thư mục wp-include. Thông thường bước này không bao gồm xử lý, chỉ lấy thông tin nên quá trình diễn ra rất nhanh.
- Kích hoạt các Plugin: Các plugin sử dụng các hook được gắn trong WordPress Core nên nó phải được tải trước khi các phần khác được khởi động. Phần này là một trong những nguyên nhân khiến website WordPress tải chậm và kém bảo mật.
- Thực thi file functions.php trong theme: Tương tự như plugin, file functions.php cũng có những tính năng tương tự, cũng có thể sử dụng các hook nên nó là bước được thực thi sau khi kích hoạt plugin cũng là điều dễ hiểu. Một số theme có độ tùy biến cao sẽ là một trong những nguyên nhân khiến website WordPress tải chậm.
- Truy vấn và khởi tạo dữ liệu: Khi các hàm từ các Plugin và Functions sẵn sàng thì đây là lúc truy vấn trên theme được thực thi, dữ liệu được trả về sẽ được các hàm trong core, plugin, functions và trong theme xử lý. Vì là xử lý dữ liệu nên nó cũng sẽ ngốn một tí độ trể của website.
- Thực thi các template và trả về kết quả cho người dùng: Sau khi có dữ liệu trả về, bước cuối cùng là gắn những dữ liệu đó lên mẫu giao diện đã dựng sẵn và trả về cho người dùng. Quá trình này thường không mất thời gian và yêu cầu xử lý cũng không quá cao.
Như vậy mình đã trình bày 5 bước mà bạn phải trải qua khi yêu cầu một trang web từ WordPress và mình có nói đến những bước mà có thể làm quá trình tải trang trở nên chậm và kém bảo mật hơn đó là plugin và functions của theme.
Vì sao WordPress nặng và kém bảo mật hơn các mã nguồn khác?
Vì sao WordPress nặng?
Nặng có nghĩa, một là nặng về kích thước trên máy chủ (các tệp mã nguồn), và hai là dung lượng tải một trang web từ WordPress.
- Nặng về kích thước tệp mã nguồn: Mình vẫn cảm thấy mã nguồn WordPress rất nhẹ. Toàn bộ mã nguồn khi tải xuống chỉ rơi vào khoảng 8.5 đến 9mb. Đập themes lên nữa thì tầm 20 – 25MB (theme mình tự viết có khoảng 9mb, một số theme mà các bạn nói lên đến hàng trăm mb thì mình không bao giờ dùng đến), đập thêm vài cái plugin cho khoảng 20mb thì tổng cũng chỉ là 54mb. Bạn đăng khoảng 200 bài viết với mỗi bài 2 tấm hình thì tổng dung lượng chỉ rơi vào tầm khoảng 200-250mb (chủ yếu là hình). Vậy thì không thể nói kích thước tệp mã nguồn WordPress nặng được, điều này là sai lầm.
- Nặng về dung lượng tải một trang web: Cái này thì lại có hai vấn đề tác động,
- Một là do mã nguồn xử lý quá nhiều làm chậm tiến trình, thường là ở bước 2, 3 và 4 trong quá trình hoạt động của WordPress. Nếu bạn sử dụng ít plugin, functions.php ít hàm xử lý phức tạp thì vấn đề này sẽ được giải quyết (vì mã nguồn gốc của WordPress xử lý rất nhanh).
- Hai là do thiết kế của theme quá nặng. Thông thường những theme nặng thường chứa nhiều tệp Javascript hoặc nhúng nội dung bên ngoài. Hình ảnh quá nhiều cũng là một trong những nguyên nhân chính gây ra chậm website.
- Như vậy tóm lại WordPress không hề nặng. Thật tế website của mình trừ đi các tệp hình ảnh chỉ có tổng dung lượng là 50mb. dung lượng tải về của một trang trung bình là 2.5-3mb, và tốc độ trung bình trên site của mình là 4-5s cho lần tải mới (chưa có cache) và 2-3s cho lần tải sau (đã có cache).
Vì sao WordPress kém bảo mật?
Theo đánh giá của mình WordPress vẫn là một trong những CMS bảo mật nhất đến thời điểm hiện tại. mã nguồn này luôn được cập nhật mới và những lần cập nhật gần đây không có liên quan đến bảo mật, điều này đồng nghĩa với việc vẫn chưa phát hiện một mối đe dọa nào.
Nhưng vẫn có ý kiến cho rằng WordPress thường xuyên bị dính mã độc,… Các bạn có dám chắc là ngoài mã nguồn WordPress các bạn tải free thì theme, plugin,… các bạn đều trả phí không? các bạn đã chắc chắn mật khẩu của bạn đạt độ bảo mật cao và chỉ một mình bạn biết không? bạn có chắc chắn là host của bạn bảo mật 100% và không có ai xâm nhập host bất hợp pháp không? trước khi bạn muốn phán WordPress không bảo mật thì bạn phải xem xét lại những điều trên. Nếu Facebook, Google, Microsoft, IBM,… mà không chắc chắn những điều trên thì họ cũng chưa dám khẳng định là mã nguồn họ đang sử dụng chưa tốt đâu nhé.
Cho nên trước khi muốn đổ lỗi tại WordPress bạn phải xem lại hành động của bạn trên website đó như thế nào. Thật tế 22,5% website hiện đang sử dụng WordPress trên thế giới chưa bao giờ đồng loạt bị hacker tấn công, nó chỉ xảy ra ở một vài website và những người quản trị website đó cũng đã thừa nhận rằng họ đã sơ xuất trong khâu bảo mật website.
Nếu có bất cứ điều gì xảy ra, tổ chức WordPress và một cộng đồng khổng lồ của nó chắc chắn không chịu ngồi yên và chậm trễ đâu.
