Cloudflare tung EmDash đòi lật đổ WordPress: Tham vọng xịn xò hay bánh vẽ 'lùa gà'?

Đã bao nhiêu lần các ông tỉnh dậy lúc 3 giờ sáng, mồ hôi đầm đìa vì cái plugin slider củ chuối nào đó tự nhiên dở chứng rước nguyên một ổ malware vào server? Chắc nhiều đếm không xuể. Kiến trúc cũ rích của WordPress thì ai cũng biết là mỏ vàng cho hacker rồi. Nhưng tin sốt dẻo đây: Cloudflare vừa mới ném một quả bom mang tên EmDash với tham vọng lật đổ ngai vàng của WP, đi kèm lời hứa "giải quyết triệt để bảo mật plugin". Nghe có vẻ ảo ma Canada, vào việc luôn xem có gì hot!

Mổ xẻ con cưng mới của pháp sư Cloudflare

Nói tóm tắt cho anh em lười đọc, trên blog của mình, Cloudflare vừa tự hào flex về EmDash - một nền tảng được họ ưu ái gọi là "người kế vị tinh thần" (spiritual successor) của WordPress.

Vấn đề lớn nhất của WP từ trước đến nay là gì? Là mấy ông cài plugin vô tội vạ. Một cái plugin thời tiết bé tí xíu viết bằng PHP dở tệ cũng có thể bóp chết toàn bộ site, tuồn database ra ngoài, hoặc biến cái hosting đắt tiền của các ông thành máy cày crypto cho hacker.

EmDash đẻ ra để khóa mõm vấn đề này. Dù Cloudflare chưa hé lộ chi tiết đến từng dòng code, nhưng anh em dev nhìn vào là đoán ngay được bài: Họ chắc chắn dùng kiến trúc sandboxing (cô lập) - rất có thể là dựa trên WebAssembly (WASM) kết hợp với Cloudflare Workers. Nghĩa là sao? Là nhốt từng cái plugin vào một cái lồng sắt vô hình. Plugin thích múa may quay cuồng gì thì múa, nhưng đ*o bao giờ chạm được vào core system hay các dữ liệu nhạy cảm khác. Cách tiếp cận này phải nói là xịn xò con bò!

Giang cư mận Hacker News chia phe combat

Dù bài post bú gần 600 points trên HN, nhưng giang cư mận - đặc biệt là các lão quái vật code dạo - thì không dễ bị dắt mũi đâu. Luồng tranh luận đang chia phe khá gắt:

• Phe "Thở phào nhẹ nhõm": Rất nhiều anh em đang ngán WP đến tận cổ. Họ mừng rơi nước mắt vì cuối cùng cũng có một ông lớn đứng ra đấm vào cái lỗ hổng kiến trúc 20 năm tuổi của WP. "Dẹp ngay cái mớ spaghetti PHP đi, WASM là chân ái!" - một thanh niên lạc quan cho hay.
• Phe "Sự thật mất lòng": Mấy lão làng thực dụng thì cười khẩy. WP bá đạo đ*o phải vì core nó ngon, mà vì hệ sinh thái theme/plugin tỷ đô của nó. Ai cũng biết cách làm cho WP an toàn hơn, nhưng đập đi xây lại thì lấy đâu ra hàng triệu plugin cho end-user xài? EmDash có thể là kỳ quan công nghệ, nhưng user bình thường chỉ quan tâm "tôi có cài được Yoast SEO với Elementor không?". Không có ecosystem thì cũng toang thôi.
• Phe "Thuyết âm mưu": Đừng quên đây là Cloudflare. Một số cao nhân cảnh báo nhẹ về mùi vendor lock-in. "Anh em nhét hết vào hệ sinh thái Workers của Cloudflare đi, chạy mượt lắm, an toàn lắm. Xong năm sau nó đổi pricing model thì khóc bằng tiếng Miên nhé!".

Góc nhìn từ Coding4Food: Bài học sinh tồn cho dev

Tóm cái váy lại, EmDash là một nước đi rất ma giáo của Cloudflare. Có lật đổ được WordPress không? Tỉ lệ chắc cỡ 1%. WP nó cắm rễ vào non nửa cái internet này rồi, nhổ lên không dễ đâu.

Nhưng bỏ qua chuyện drama lùa gà hay giành giật thị phần, bài học xương máu cho anh em dev chúng ta nằm ở Kiến trúc hệ thống. Thời đại bây giờ làm app, làm SaaS, nguyên tắc tối thượng là phải Isolate (cô lập). Chức năng nào ra chức năng đó, module nào lỗi thì sập module đó, tuyệt đối không được để một tính năng phụ làm chết cả con app.

Việc tích hợp WASM/Sandboxing không chỉ dành cho mấy tay to như Cloudflare nữa. Anh em rảnh rỗi nên lôi mấy cái này ra cày đi. Code ngon không chưa đủ, code sao để lỡ thằng đồng nghiệp có viết ngu thì server mình vẫn không bốc cháy mới là đỉnh cao sinh tồn nhé các đồng đạo!