Для каждого, кто хоть раз сталкивался с WordPress, вполне очевидно, что сам по себе WP, голый, из коробки, для реального использования не очень пригоден и не очень удобен. Вся сила этого движка – в многочисленных плагинах, коих только в официальном репозитории насчитывается почти 18 тысяч. С их помощью можно превратить сайт на Вордпресс практически во что угодно: хоть в магазин, хоть в портфолио, хоть в википедию, хоть в доску объявлений. Но даже если мы остаемся в рамках традиционного блога, всё равно без некоторых плагинов просто не обойтись (особенно русскоязычному сайту), а некоторые существенно облегчают работу над сайтом и улучшат его вид и удобство использования.

Special Recent Posts – один из моих самых любимых плагинов, я использую его практически на каждом своем сайте. Он выводит список последних постов на вашем блоге с миниатюрными картинками и цитатой из текста поста, обладает множеством настроек, может выводится через специальный виджет, функцию для шаблона или через шорткод. Хотя при желании отображение последних записей можно и самому написать, не пользуясь плагином (в некоторых случаях я так и делал), однако удобство использования и богатство настроек в данном случае перевешивают.
В общем идеальное решение для вывода свежих постов блога, никакого сравнения с унылым стандартным виджетом, однако у плагина есть существенный недостаток – он некорректно работает с русскими буквами.

Отличный шаблон для создания профессионального сайта с обзорами и рейтингами. Подойдет для любой ниши, но я рекомендую все-таки использовать эту тему для сайтов с обзорами гаджетов, мобильников, ноутбуков или других новинок техники, все-таки дизайн шаблона, выполненный в серо-синих тонах, традиционно ассоциируется с новыми технологиями.
В состав архива включены, кроме темы, исходники картинок в psd-файлах и подробная документация.
Немного подробнее об особенностях и возможностях шаблона.

Великолепная полностью настраиваемая тема для любого типа сайта с простым названием UX. Название ничем не примечательное, но вот сама тема очень интересная.
Во-первых, она использует HTML5, CSS3 и полностью готова под версию WordPress 3.3+. Во-вторых, благодаря обширным настройкам и различным типам представления контента её можно использовать и для простого блога, и для портфолио, и для портала компании, и вообще для любого типа сайта.
Шаблон сделан в приятных, светлых и серых тонах, впрочем, если вы предпочитаете дизайн поярче – настройки темы позволяют легко её расцветить, не залезая в код.

Премиум-шаблон Volt идеально подойдет для новостного портала или газеты. Тема светлая, широкая, трехколоночная, расположение колонок настраивается в опциях шаблона. Есть готовые места под рекламные объявления. Кроме того, в этой теме есть свои уникальные виджеты, шорткоды и шаблоны страниц. Внешний вид вашего сайта полностью кастомизируется при помощи многочисленных областей под виджеты, структура страницы может быть любой, а не просто традиционной «контент-сайдбар».
Конечно, встроена интеграция с социальными сетями, Twitter, Facebook и Google+. Вместо стандартных виджетов типа «последние посты» или «последние комментарии» лучше пользоваться виджетами, включенными в тему, выглядят они значительно лучше и аккуратнее, кроме того, используют миниатюры постов.

Поддавшись всеобщему безумию увлечения социальными сетями и голосованиями решил и я поучаствовать в вакханалии. Кто ж не хочет ухватить кусок от жирного пирога траффика фейсбука и вконтакте?
Сооружать очередное «социальное голосование» или «битву брендов» уже неинтересно, посему пришлось немного переосмыслить тему. Тем более, что как раз попался повод – решил довести до ума очередной давно задуманный проектик.
Итак, в результате родился плагин – плагин рейтинга поста, но не простого, а «социального» рейтинга. Плагин выводит под каждым постом блок с заголовком «Голосуй в социальных сетях» и кнопками Вконтакте, Facebook и Twitter, с количеством уже отметивших вас пост юзеров этих социальных сетей. И отдельно – общий рейтинг поста (просто сумму голосов во всех сетях). При нажатии на соответствующую кнопку посетителю вашего сайта открывается окно, где он может поделиться ссылкой на ваш пост в любимой сети – таким образом в теории достигается модный вирусный эффект продвижения удачных постов.

Еще один простой с точки зрения функциональности, но потрясающе тематичный и оригинальный, шаблон для настоящих линуксоидов. Ваш блог превратится в настоящую консоль сервера: аскетичные цвета, радующие глаз любителей командной строки, строгий минимализм – то, что нужно для вашей целевой аудитории.

Интересная тема в ностальгическом советском стиле. Никакими особенными функциями и удобствами не обладает, подойдет далеко не для любого блога – но мне нравятся такие оригинальные тематические шаблоны. Говорить о ней особо нечего, так что просто скриншот и демо.

Прочитал на Хабре, что в популярном модуле ресайза картинок timthump.php, который входит в большинство современных тем для WordPress, обнаружена критичная уязвимость. Злоумышленник может загрузить на сервер любой php-код.
Дырку обнаружил Марк Маундер на своем блоге.
А состоит она в следующем: в конфиге timthumb.php указаны несколько «доверенных» доменов (flickr.com, picasa.com, blogger.com, wordpress.com, img.youtube.com, upload.wikimedia.org, photobucket.com),с которых он может загружать картинки. Однако проверка передаваемого URL реализована с ошибкой, в результате которой можно загрузить на сервер шелл с адреса поддомена, совпадающего с доверенным доменов. Например, скрипт с адреса wordpress.com.hacker.com/shell.php будет пропущен, как доверенный, и загружен на сайт.
Радует только то, что для злоумышленник должен быть зарегистрирован на вашем блоге с правами создания постов и загрузки изображений.
Однако если у вас многопользовательский блог, советую скачать пропатченный файл timthumb.php.

Проблема безопасности стоит на одном из первых мест для любого веб-сайта на любом движке. Вордпресс – не исключение, хотя это и не самая дырявая система, но и он подвержен взлому и обладает уязвимостями. Конечно, если у вас скромненький личный блог с парой десятков посетителей, вы вряд ли станете жертвой хакерских атак, но даже и в этом случае, что приятного может быть в хакнутом сайте? А уж про серьезные прибыльные проекты и не говорю, тут не только моральный ущерб можно получить. Короче говоря, сразу после установки и настройки вашего WordPress-сайта рекомендую заняться его безопасностью. Надеюсь, несколько нехитрых советов вам помогут:

1. Включите использование SSL.
Между прочим, Вордпресс умеет использовать защищенный протокол SSL для обмена данными во время сеанса администратора. Это защитит ваш блог от возможного перехвата данных, правда необходимо, что ваш хостер позволял вам использовать SSL.
Просто добавьте в wp-config.php в корневой директории установки Вордпресса следующую строчку:

define('FORCE_SSL_ADMIN', true);