Názory k článku Útok na WordPress přes REST API: třetina webů nemá poslední záplaty

To není tak úplně pravda. Chápu tenhle pohled. Samozřejmě to nemusí vadit "majiteli" webu, ale může to negativně ovlivňovat reputaci IP adresy poskytovatele. Jedno z rizik napadeného webu je, že skrze něj je rozesílán spam. Jsou samozřejmě metody, jak ten dopad minimalizovat, ale to nic nemění na faktu, že to reálně škodí. A v některých případech - třeba souběhu více "rozesílačů" - to už může ovliňovat i výkon serveru.

To asi nebude tak jednoduché, když WP webů je odhadem přes čtvrt miliardy.Nechci tě podceňovat, ale všechny předělat asi nezvládneš :-)

Co konkrétně ti vadí?

S tím nelze než souhlasit. WP je takový jaký je hlavně protože vznikl v době, kdy MVC znamenalo především Microsoft Visual C++, a od té doby se snaží vše dělat stejně pro maximální kompatibilitu.

Už jsem to psal do diskuse k Postřehům z bezpečnosti že pokud potřebujete publikovat originální obsah (a ne dělat mashup guláš z cizího obsahu), je daleko výhodnější jak z hlediska bezpečnosti tak pro samotné psaní textů použít wiki editor Zim-wiki nebo jakoukoli jinou desktopovou aplikaci, která generuje statický web jako post-recive hook git repozitáře: Tím máte vyřešenou bezpečnost, protože statický web se špatně hackuje, zejména když přístup na webserver omezíte na git-shell.
Pokud jde o psaní hypertextově provázaných dokumentů, v zimu označím myší slovo, stisknu Ctrl+L, vložím lokální URL a kliknu na něj. Tím skočím do nově vytvořené stránky, něco do ní napíšu a zase se vrátím zpět přes Alt+Left jako v browseru. Všechno se samo ukládá a když chci vidět výsledek v HTML, stisknu Ctrl+P a stránka se vytiskne do browseru. Kdyz jsem spokojený, uložím verzi do gitu a mám na webu složitou strukturu provázaných článků.
Naproti tomu když chci ve WP (a jiných web based administračních pseudoeditorech) udělat několik provázaných dokumentů, musím si uložit otevřený dokument, založit ten, co na něj odkazuju a mezitím zapomenu, co jsem chtěl psát. To nemluvím o tom, že když mi spadne spojení nebo vytuhne browser, je moje práce ztracená (ať mně někdo opraví jestli má wp nějaký autosave do lokálního úložiště).

Ano, statický web je samozřejmě co do bezpečnosti i rychlosti nejlepší řešení. I s WP existují projekty, které využívají jen administrace a následně vygenerují statický web. Samozřejmě se na to nehodí každý web, záleží na potřebách interakce s uživatelem (i když spousty z nich lze udělat pomocí JS - např. komentáře přes Disqus atd.). Vytváření odkazů na budoucí obsah je také velmi specifický use case, nicméně i proto existují řešení v podobě pluginů. To vidím jako velkou opravdu velkou výhodu WP - pokud nějakou specifickou funkci potřebuji, není velký problém ji dodělat (nemyslím tím stažení nějakého amatérského pluginu) a WP lze tak použít prakticky pro cokoliv.

Desktopové aplikace mají nevýhodu právě v tom, že je třeba je instalovat a často nemají verzi pro mobilní zařízení, možná se to nezdá ale počet uživatelů, kteří píšou články třeba z tabletu není zanedbatelný.

WordPress používá session storage (od verze 3.6 z roku 2013), takže při ztrátě spojení lze bez problémů pokračovat dále. Samozřejmě když si uživatel sám tab s editorem zavře tak o data přijde. Proti tomu zase částečně brání automatické ukládání konceptu po minutě (lze libovolně přenastavit).