Ja. A Directus vagy más headless cms önmagában nem váltja ki a teljes WP-t, csak a testét, admin + backend. Ehhez még kell fejleszteni egy külön fejet pl. Astro, Hugo, ami a statikus oldalt generálja. Ez valóban több meló és tudás, nem a kattintok és kész WP-módszer. Egyben ez is biztosítja, hogy ne egy kókler kattintgassa össze a portált.
És akkor miért éri meg mégis? Pont a komáromi kórház esete miatt.
A kórház WP oldalát azért törték fel valószínűleg egy plugin résén át, mert a WP sebezhető cms admin és a publikus oldal egybe van drótozva. A cracker bejutott, feltöltött egy PHP fájlt, és mivel a szerver PHP-t futtat, máris övé volt az irányítás.
Felvetetted a "Headless WP"-t, azaz statikus oldal generálása WP-ből és az admin eldugása. Ez technikailag működik, de a biztonsági rés megmarad. De az eldugás önmagában nem védelem. security through obscurity. Ha megtalálják az eldugott WP-t, ugyanúgy feltörhető a régi pluginokon keresztül, és a PHP miatt ugyanúgy futtatható rajta kártékony kód.
A modern Headless, mondjuk Directus + SSG modellnél viszont két védelmi szinted is van.
1. Publikus oldal, full statikus HTML. Nincs PHP, nincs mit lefuttatni. A komáromi kúrházas betörés itt technikailag lehetetlen.
2. Admin oldal. Itt is van eldugás, de a különbség az, hogy mit rejtünk el. Nem egy ezer sebből vérző, pluginokkal teli WP-t, hanem egy modern, Node.js alapú, minimális támadási felületű rendszert.
Szóval röviden: a WP-t eldugni olyan, mintha egy fa viskót rejtenél az erdőbe. A Directust eldugni pedig olyan, mintha egy betonbunkert. Megtalálni mindkettőt meg lehet, de feltörni nem ugyanaz a kategória.
Szóval hosszú távon megéri a befektetett plusz munka.