ShoptetJsou základní věci, které je vhodné připomínat neustále dokola. Toto je pět základních věcí, na které dávat pozor u webů postavených na WordPressu.
1. Aktuální WordPress, pluginy i šablony
Zdá se to jako samozřejmá věc, ale hodně lidí zapomíná na pravidelnou údržbu a aktualizaci stránek. WordPress prochází neustálým vývojem – zejména po stránce zabezpečení a vylepšování funkcí. Některé zásadnější aktualizace se instalují automaticky bez našeho zásahu, ale je vhodné udržovat WordPress stále aktuální.
Stejná situace platí také u pluginů – musí držet krok s jádrem WordPressu, proto jsou vývojáři pravidelně upravované. U pluginů je potřeba hlídat vzájemnou kompatibilitu verzí s ostatními pluginy a s verzí WP. Občas se stává, že někteří vývojáři reagují na zásadní aktualizace se zpožděním a dochází pak ke konfliktům, pokud zbrkle odklikáme všechny aktualizace před kontrolou kompatibility.
Mnoho lidí ani netuší, že vývojem prochází také šablony (bavíme se o zakoupených šablonách). Typicky vývojáři připraví novou šablonu, uvolní ji po základním testování do prodeje a po prvních prodejích sbírají zpětnou vazbu od zákazníků a zapracovávají úpravy do aktualizací. Nebo jen reagují na vývoj WordPressu (typicky nástup Guttenbergu). Proto je vhodné sledovat i dostupné aktualizace šablony. Zde jen pozor na přepsání vlastních úprav v kódu při aktualizaci šablony. Toto se řeší pomocí tzv dětské šablony (children theme) – ale o tom někdy příště.
Jak často sledovat aktualizace? Podle mého názoru je dostatečné web zkontrolovat jednou za 2-3 měsíce. Je-li web neaktualizovaný déle než rok, je to na zvážení. Zvyšují se pak rizika úspěšného napadení webu, problémů s funkčností či kolize pluginů.
2. Zálohování
WordPress má dobře vyřešenou práci s obsahem – eviduje předchozí verze stránek a příspěvků pro návrat při nechtěné úpravě obsahu, smazané stránky a příspěvky přesouvá do koše a nemaže je hned…ale stejně se vyplatí web zálohovat. Zejména při nešťastné nebo chybné aktualizaci či tvrdém smazání obsahu. Jsou dva způsoby zálohování webu – zálohování na úrovni webhostingu a záloha pomocí pluginů.
Zálohu na úrovni webhostingu mám nejraději. Je to situace, kdy provozovatel webhostingu pravidelně zálohuje soubory i databáze. V případě potřeby si tak vyberete datum ze kterého chcete data obnovit a na pár kliknutí je máte nahrané na FTP. Jedinou slabou stránkou je fakt, že většinou se uchovávají zálohy ne víc než měsíc staré.
Záloha pomocí pluginu je druhou variantou. Například pomocí pluginu UpdraftPlus. Nevýhodou je zde fakt, že když omylem smažeme celý web nebo nám jej někdo hackne a smaže, jsme i bez zálohy. Bezplatné verze zálohovacích pluginů většinou umožňují provádět zálohu pouze manuálně, jejich placené verze nabízí plánování pravidelného zálohování a také zálohu na externí úložiště Dropbox, OneDrive apod. U zálohovacích pluginů je potřeba velmi dobře nastavit co se má zálohovat, abychom při ztrátě dat byli schopni web obnovit.
3. Přístupy a hesla
Je to neustále opakovaná základní věc – i přesto ji zde znovu připomenu. Používejte silná hesla. Divili byste se, kolik pokusů o přihlášení nebo napadení webu každý den stránky zažijí. Jsou to stovky až tisíce.
Tím, že je WordPress tak rozšířen a jeho zdrojový kód veřejný robotům tuto práci ulehčuje. Přihlašovací stránka je vždy na stejné adrese, formulářová pole se jmenují stejně, weby mají adresářovou strukturu apod. Pro prolomení přístupů tak nejjednodušeji používají knihovny uživatelských jmen a hesel a postupně se dotazují na nejčastější kombinace. Uživatel „admin“ s heslem „123456“ tak asi nebude nejlepším zabezpečením webu, že? Dále je zbytečné mít aktivní účty lidí, kteří již s webem nepracují (bývalí zaměstnanci apod).
Existuje také mnoho rozšíření chránících web před roboty. Blokují například po několika neúspěšných pokusech o přihlášení jejich IP adresu na určitý čas nebo povolí přístup do adminu pouze z vybrané IP adresy. Dále je možno použít dvoufaktorové přihlášení – se zasláním potvrzujícího kódu na e-mail.
Do tohoto bodu také patří samozřejmost provozovat web na HTTPS.
4. Zabezpečení formulářů a registrací
Už se mi to u webů dlouho nestalo, ale stejně je dobře to připomenout – pokud nepotřebujeme mít na webu povolené komentáře pod příspěvky, je vhodné je zakázat. Opět je na to dostupný praktický plugin Disable Comments – ten skryje komentářové formuláře všude. Roboti se přes ně pokouší umístit na náš web svůj nežádoucí obsah.
V případě, že komentáře chceme je vhodné jejich přidávání zabezpečit – ať nějakou externí službou (Disqus, Facebook) nebo pomocí captcha (takové ty opisovací texty, obrázky, matematické příklady).
Pokud se jedná o běžný web, pravděpodobně nebude potřeba mít povolené registrace nových uživatelů. Pokud registrace potřebujeme, opět je vhodné je například pomocí dvoufaktorového ověření lépe zabezpečit.
5. Smazat nepoužívané pluginy a šablony
Co nepotřebujeme, smazat. Jednoduché pravidlo, které opět bývá často porušováno. Typicky když si někdo „hraje s WordPressem“ a zkouší co který plugin umí – pak jich tam je celá řádka a jsou k ničemu. Aktivované pluginy zbytečné využívají memory limit serveru a zpomalují tak chod stránek. Neaktivní pluginy jsou tam zbytečně – je to další zátěž na hlídání aktualizací. A pokud je neaktualizujeme, jsou bezpečnostním rizikem.
Občas se stane, že nějaký vývojář napíše a pustí do světa užitečný plugin, ale dál se nevěnuje jeho vývoji. Může tak obsahovat chybu nebo bezečnostní díru, přes kterou je náš web ohrožen. Součástí kontroly pluginů je také to, zda jsou udržované a dále vyvíjené. Čím víc jich na webu máme, tím je i tato kontrola náročnější a hrozí přehlédnutí.