широко используемые CMS обычно тщательно тестируются

Когда, казалось бы, ну сколько ещё можно найти дыр в WordPress…


https://wordpress.org/news/2017/09/wordpress-4-8-2-security-and-maintenance-release/


3 дня назад вышел апдейт с фиксом 9-ти критических уязвимостей. Да, открытые CMS тестируются, но это не значит, что в них доселе нет глупейших уязвимостей, и это не значит, что я доверяю опыту тех программистов, которые писали WordPress Core.


Для более-менее серьёзной конторы надо очень подсуетиться, чтобы сделать из open-source CMS безопасную систему. Либо написать своё решение, если позволяет опыт сотрудников (писать безопасный, поддерживаемый, etc., etc. код) и поставленные процессы.


В моей компании пошли по первому пути. Я этому WordPress'у (как InfoSec Engineer) урезал почти всё, что можно, и не жалею.

Когда, казалось бы, ну сколько ещё можно найти дыр в WordPress…

Ага, хотелось прям добавить после «тщательно тестируются»… ботами, ищущими кто не успел обновиться. Логи прям пестрят интресными запросами, несмотря, на то что не использую WordPress…
Окей, а как тогда будут получаться новые OpenSource продукты? Ведь первая написанная строчка в таком проекте де-факто «своя CMS».
Самое смешное, что если следовать этому заклинанию «не пишите свои CMS», то тот же упоминаемый WordPress не появился бы. Он же далеко не первая CMS.
В наследство достался зоопарк cms. Все разные, порядка 8, включая все популярные, кроме drupal. Ни одна из них не удовлетворяла потребностям, я уж не говорю про дырки. Написал болванку на yii2. Под каждый проект создаем ветку и накручиваем до нужной кондиции. Интерфейс пишется для людей, которые выкладывают материал. Если им, что то не удобно делать, то мы оптимизируем процесс. Все довольны, а сколько счастья в глазах =) и ни единого разрыва (пока никто не взломал, тьфу, тьфу).
А какое ускорение идет!
Переписал проект с Wordpress на Yii2 — как минимум генерация страницы ускорилась в 10 раз.
Конечно, при этом теряется модульность и возможность быстро добавить нужный плагин в систему, но когда уже точно сформирован функционал, и знаешь, чего от него нужно — такой перевод сказывается очень позитивно.
Очень многие разработчики говорят о реальном ускорении, после перехода с CMS на фреймворк.
Ну конечно, 90% исполняемого кода отпадает из-за ненужности.
А может кто-нибудь рассказать про эти headless cms? Это вроде облачной БД с REST API и веб-интерфейсом для редактирования? А я у себя на сервере (ну, можно и на клиенте) через API получаю данные и генерирую HTML?
Если у кого-нибудь есть опыт работы с такими штуками, расскажите пожалуйста. А то в гугле по запросу «headless CMS» гораздо больше странных статей вроде этой, а реальных продуктов с нормальной документацией — не густо.
значит надо сделать

Тот же самый Wordpress можно использовать как headless, если включить REST API. А дальше все как вы описали. Никакой революции тут нет, просто сегодня React позволяет комфортно работать в таком формате.

+1. Тоже интересно, есть ли что-нибудь такое для ecommerce.
Автор приводит эту ссылку на вопрос о бесплатных безголовых CMS
Согласно вашему утверждению, не стоит жить ибо жизнь ведет к смерти.
Полностью с вами согласна. Автор отговаривает людей от разработки… наоборот, это дает очень много опыта, и ник то не отменял успешных проектов, кто то ж когда-нибудь сделает удобную CMS…
Начали использовать похожий подход у себя. Даже не знали, что это называется модным термином headless-CMS :-)

Пользуясь случаем, хотелось бы узнать, кто какие headless-CMS использует на «бэкенде»? Интересуют свободные standalone решения.

Мы же у себя, на данный момент, остановились на Wagtail в качестве «бэкенда». А в качестве «фронтенда» используем обычное Node.js приложение для пред-генерации страниц для React'а (тот самый server side rendering).

Wagtail — это CMS, построенная на базе Django.

По первым впечатлениям: Wagtail больше заточена для использования её как «классической» CMS, однако имеет встроенный REST API (использует Django REST Framework), позволяющий забирать нужные сущности. Хотя, этот API достаточно негибкий: чтобы получить нужный набор полей сущностей, да ещё и с нужной глубиной вложенности связанных объектов, приходится достаточно много писать кода, обильно снабжая его копипастой из ядра Wagtail.
Интерфейс управления контентом и его редактирования в Wagtail достаточно удобный «из коробки», есть интересная система виджетов. Однако, опять же, для сложных кастомных виджетов приходится писать изрядное количество кода, да и UX начинает страдать.

Мы ещё не достаточно глубоко завязались на этом решении, поэтому было бы классно узнать о хороших альтернативах.
Django в целом и DRF в частности настолько удобный и мощный инструмент, что я не понимаю зачем на их осонове делать не проекто-заточенные CMS. Если уже ставите django, то вам в любом случае нужен разработчик, который в нем разбирается. А если есть такой разработчик, то зачем нужны псевдо-универсальные решения? Они все-равно не подходят на 100% и их приходится тюнить под себя.
Мне кажется, если Wagtail из коробки не подходит, и с ним приходится сражаться, то лучше вообще его не использовать, а работать на голом django/drf.
Согласна с Вами, Django и создана для тех, кому не подходит стандартный функционал CMS)
Wagtail даёт достаточно удобный интерфейс для управления контентом, на первый взгляд. Да, есть трудности по кастомизации этого интерфейса, но пока ещё не понятно, перевешивают ли эти трудности те усилия, которые придётся затратить на написание пользовательского интерфейса работы с контентом на голой джанге. Всё-таки, встроенный веб-интерфейс админки django обычным пользователям показывать нельзя.

У нас проект не настолько «контенто-центричен», чтобы писать CMS с нуля на джанге (или чём либо другом).
Что касается встроенной админки, то у них это где-то в документации даже написано, что она не для обычных пользователей и им туда доступ давать не надо.
Т.е. у вас CMS на базе Django отдает данные через REST, а React рендерит HTML на сервере? А чем это хуже использования Django и для рендеринга тоже? Какой профит дает React?
React на «фронтендовом» бекенде даёт такой профит, что после первой отдачи подготовленного на сервере специального HTML дальше пользователь работает с сайтом как с Single Page Application и данные для следующих страниц сайта уже забираются браузером пользователя непосредственно из API Wagtail'а.

Фактически, получается так называемое изоморфное приложение. Здесь можно почитать подробнее: Изоморфные приложения. Взгляд в будущее с React.

Такие вещи нужны, в первую очередь, тогда, когда вам нужно дать пользователю какой-то сложный интерфейс на странице, а не просто статичный кусок текста статьи, но, при этом, вы хотите, чтобы и поисковики вас хорошо индексировали, и у обычного пользователя статья загрузилась быстро, как будь то это обычный статичный блог-пост, а не SPA, которое может грузиться по несколько секунд.
Пишу свою CMS. Только потому, что websitex5 для меня слишком неудобна. Ну и платная.

Вообще, клон твиттера что на рельсах, шо на джанге пишется за вечер. А вот бложик формата жж с тегами поисками френдами — уже требует интересных развлечений.
А вот с cms — мне интересно как логически решать вложенность страниц, как это делается легким движением руки в вордпрессе, например?

websitex5 и cms, которую я пишу, предназначены исключительно для сайтов со статическим контентом (результатом можно запаковать в chm файл, например). Т.е. френдов и прочего нет by design. Хотя, если статьи хранятся в БД, то найти по тэгам или id пользователей — не проблема (проблема, конечно, но сделаем вид, что не проблема).
В чём проблема со вложенностью страниц? Дерево построить вообще не проблема (как дерево папок в файловом менеджере, но каждая «папка» при этом может быть и файлом), из этого же дерева автоматически строится главное меню. Именно так и реализовано во многих CMS. Чуть сложнее, если нужно не дерево, а граф.

Спасибо, пожалуй надо надо на досуге об этом подумать.

Каким образом это относится к хабу отладка?

Простите пожалуйста, а где в статье про WebGL?
How I built a CMS, and why you shouldn’t
In the past 15 years, I’ve written five Content Management Systems and built a leading CMS software company. Now let me tell you why you shouldn’t write your own CMS.


Персонаж, разрабатывающий ЦМСки и создавший компанию по разработке ЦМСок сейчас объяснит вам, почему вам не стоит писать свою. Лучше, конечно же, купить (у него).

Заголовок спойлера
Куча спорных моментов в статье — почти на каждую причину в моем опыте есть либо контрпример, либо личные возражения.
Как всегда в советах что делать а сто нет обсуждаются не вершина пирамиды а середина. А на вершине всегда один и тот же вопрос (мало кто его себе кстати задаёт вначале).
А именно: Чего вы хотите получить в результате решения. Ну или как ваше решение может повлиять на результат.
Так вот исходя из объекта топика, можно определить задачи (скажем так очевидные, не очевидные каждый пуст ставит для себя сам):

1. Сделать типичный сайт стороннему клиенту
2. Сделать нетипичный сайт стороннему клиенту
3. Сделать один типичный сайт. Например вам в компании поручили сделать сайт компании.

Так что выбрать? Готовое или самописаное? Я просто хочу сказать, что постулат в заголовке ошибочен, т.к. предполагает выбрать одну стратегию и всё. Хотя для каждой стратегии оптимален свой вариант.

P.S. Я как то коллеге сказал — зачем изобретать велосипед. На что он дал мне толстый журнал — новинки велосипедов за такой то год. Коллега увлекался велоспортом.

P.S.S. Когда появился google — уже существовали серьёзные поисковики. Когда появился facebook — уже существовали сайты для общения.

P.S.S.S А теперь всё вышесказанное выкинте из головы (ну или просто положите в архив памяти) как очередной совет типа топика. Есть одно правило прежде чем что то делать подумайте зачем и как. Ну или просто делайте.
Сплошные призывы. Некоторая аргументация присутствует, с некоторыми тезисами я даже готов согласиться, но в целом больше похоже на рекламу. Причем, давно известной конфеты в другой обертке. Это я про «Headless CMS».

Если не ошибаюсь, изначальный автор статьи написал «Kentico CMS». Я с ней сталкивался. Давно. Ничего интересного и революционного в ней на тот момент (2012 г.) не было. Просто платная (очень платная) CMS для внедрения в бизнес-сегменте. Документация была запутанной. Чем-то все это напоминало «Битрикс» — много маркетинга и довольно средний продукт в красивой рекламной коробке. Это мое личное мнение, разумеется. Возможно, я просто не сумел оценить ее или с тех пор что-то стало сильно лучше. Своих денег, на мой взгляд, она не стоила.

Я таким конторам не очень доверяю.
Есть очень простая причина для создания цмс — занятие ниши рынка, получение на ней преимущества.
Создав продукт который лучше других решает задачи определённой ЦА — получаешь конкурентное преимущество для работы с этой ЦА. Будешь делать лучше, дешевле, быстрее — при прочих равных, но не вообще, а для данной ЦА.
Универсальных ЦМС как таковых быть не может, поэтому нишевой продукт всегда будет иметь спрос, если ниша конечно выбрана хоть немного с головой.
Какой-то пиар какого-то очередного конструктора на стороне.
50 процентов статей — это пиар)
Себя, своей библиотеки, предмета своего обожания.
Остальные 50 процентов: переводы чужого пиара)

Да кто ж спорит-то. Просто аргументация у автора слабовата, на мой субъективный взгляд.

чем больше кода — тем больше ошибок.

никогда не понимал зачем использовать готовое решение, при условии сроков не на вчера, если есть наработки (почти у каждого уверен они есть) простой, к примеру, админки, а на выходе: визитка, каталог, или интернет магазин.

Вот ты сделал чтото, например, на вордпрессе, или, прости Господи, на джумле, ну или на магенто… все работает, свежие патчи, десятки сторонних модулей и кучи-кучи-кучи кода под капотом в который вникать и разбираться не то чтобы не хочется, сроки в рамках проекта не позволяют…

… что с этими готовыми решениями будет? Кто будет следить за свежими апдейтами сторонних компонентов системы?

Были случаи, когда давний сайт на одной из известных ЦМС не обновлялся длительное время, в результате, из-за уязвимости в одном из модулей начались бесконечные емейл-рассылки с ВПС и заражение других сайтов… секс был еще тот все это вычистить.

Брать чужую цмс, пусть даже бесплатную, вижу в случаях:

— ограниченные сроки
— ограничен бюджет
— лень возится, проще взять готовое, тик-шмык и работает
— другие причины, типо, рук не хватает, ума не хватает и т.п.

У каждого свои методы работа, но как по мне, легче сделать свое простое с необходимым минимальным набором функций, чем использовать комбайн и следить за апдейтами и его компонентами.
Никогда не пишите свою CMS потому что… Я написал свою CMS! И вы обязаны её купить потому что… Ну это же Я её написал, а я знаю, что вам нужно!
А ещё у неё нет головы.
Только полноправные пользователи могут оставлять комментарии.
Войдите, пожалуйста.