WordPress je CMS systém, alebo redakčný systém, ktorý umožňuje plnú správu užívateľa nad svojou stránkou. Poháňa viac ako 30% všetkých webstránok, čo je v podstate najpoužívanejšie CMS. Mnoho webstránok, ktoré navštívite je poháňaných týmto redakčným systémom, nakoľko je zdarma a je komplexný. Je tu ale niekoľko rád, ktoré by ste mali vedieť, ak máte web na WordPresse.
S WordPressom pracujem už od roku 2012, kedy som založil tento blog, naučil som sa vďaka nemu veľa, aktuálne moje skúsenosti využívam ako WordPress developer. Tu je niekoľko najdôležitejších rád, ktoré by ste mali dodržiavať.
1. Aktualizácie sú veľmi dôležité
WordPress je v licencií open source, podobne ako operačný systém Android, prehliadač Mozilla Firefox alebo prehrávač VLC media player. To znamená, že sú voľne stiahnuteľné, môžete ich upravovať a zdieľať. Výhoda je, že zdrojový kód vie programátor prečítať a upraviť si ho. Nevýhodou ale je, že sa dá jednoduchšie prelomiť, nájsť chybu a tým ohroziť bezpečnosť.
Preto je najdôležitejšie aktualizovať vždy systém WordPress ako aj pluginy, ktoré dotvárajú funkcie samotnému webu. Pokiaľ používate starý plugin, starší WordPress je práve teraz váš web zraniteľný aspoň jedným z exploitov. Mnohokrát už som musel riešiť problém s malwarom na stránke, preto je najlepší krok aktualizovať, aby ste predišli následnému znefunkčneniu stránky, strate údajov alebo ukradnutí údajov.
2. WordPress má svoje požiadavky
Aby Váš web bežal tak ako má, je potrebné splniť najprv tie najzákladnejšie podmienky – verzia PHP, verzia MySQL databázy a pod. Väčšina podmienok závisí od serveru, teda web hostingu, ktorý využívate. V podstate ale na bezproblémový web s najnovšiou WordPress verziou by ste mali mať na web hostingu nastavené :
- PHP aspoň 5.6 ale najlepšie 7.2 ale vyššia
- MySQL 5.6 alebo MariaDB 10.0
- Nginx alebo Apache s mod_rewrite modulom (spĺňa väčšina webhostingov)
- HTTPS podpora
Môžem s určitosťou povedať, že na WordPress web je najvhodnejší WordPress webhosting od Websupportu.
3. Témy zdarma sú risk
WordPress je zadarmo, viete si stiahnuť pluginy zdarma, ktoré Vám umožnia pridávať funkcionality. Často-krát sú ale niektoré pluginy spravené tak, aby ak chcete viac rozšíriteľnosti museli zaplatiť. Takto sú robené aj niektoré témy, autor teda svoju tému stále aktualizuje, nakoľko si niekto zakúpi plnú verziu témy. Čo ale s témami, ktoré nemajú žiadnu možnosť rozšírenia na plnú verziu ? Často-krát sa stáva, že tieto témy zostanú neaktualizované niekoľko rokov a potom stačí už len naozaj málo a vaša stránka je zraniteľná.
Najhorší variant, ktorý môžete spraviť je, že si stiahnete alebo Vám nejaký “programátor” dodá tému, ktorá bola stiahnutá z internetu, tzv. nulled. Tie sú zväčša s nejakým malým skriptom, ktorý buď niečo zachytáva, má v sebe nejaký exploit, alebo máte šťastie a nemá nič. Ale aj to je potom problém aktualizovať a tu sa potom dostávame k bodu č.1 znova. Určite by som nezačínal e-shop na téme zdarma, nakoľko samotný WooCommerce má pravidelné aktualizácie a pokiaľ téma zostane a WooCommerce budete aktualizovať, môže dochádzať k nefunkčnostiam.
4. SSL Certifikát by ste už mali mať nainštalovaný
Pokiaľ váš web stále beží na http:// namiesto https:// tak by ste to mali do júla 2018 napraviť. Ak používate webhosting ako WebSupport, tak máte možnosť využiť zadarmo SSL Certifikát nazývaný ako Let’s Encrypt. V júli už webstránky bez https a taktiež Váš web budú označené ako nezabezpečené výstrahou pri adrese stránky v prehliadači. SSL Certifikát tak už nie je nutnosť len každého jedného e-shopu a každej jednej spoločnosti, ktorá má web stránku. Ale týka sa aj bežných stránok, blogov. SSL certifikát ma niekoľko výhod:
- Váš web bude označený zámkom a bude pri ňom zobrazené bezpečne
- Váš web bude vyššie vo vyhľadávaní v záznamoch Google
- Váš web sa nebude môcť zneužiť na útok pomocou Man-in-the-middle a tak budete chrániť seba ale aj svojich zákazníkov, ktorí sa na web prihlasujú.
Pokiaľ máte problém s nasadením https protokolu, kľudne ma kontaktujte
5. Web treba chrániť
Je pravda, ako som písal vyššie, že je potrebné aktualizovať WordPress, stále ak je to možné. Ale myslím, že by na Vašom webe určite nemal chýbať plugin WordFence, ten je veľmi nápomocný pri hľadaní malwaru. Pravidelne skenuje súbory a upozorňuje na neaktualizované pluginy, kontroluje každý súbor, ak je v ňom malware, tak Vám to oznámi. Jeho verzia zdarma má aj niekoľko ďalších výhod :
- Upozorňuje na prihlásenie administrátorov stránky
- Limituje počet zadaní chybných hesiel
- Blokuje spamove a adresy zo zahraničia, ktoré sa snažia prihlásiť na Váš web
- Blokuje zadávanie zraniteľných parametrov, vďaka ktorým by sa vedeli útočníci dostať na web
Je ale treba WordFence veľmi dobre nastaviť, pretože niekedy to môže byť pre web veľká zátaž, nakoľko môže využívať plný max_memory_limit a tak spomaľovať web.
6. Úpravy treba robiť v child téme
Často-krát sa stretávam s tým, že klientovi bol robený web a úpravy boli robené priamo v téme. To znamená len dve riešenia, nechať to tak a čakať pokiaľ sa aktualizuje WordPress a iné pluginy a prídu chyby, vymažú sa úpravy alebo vytvoriť child tému. Čiže v podstate odvodenú tému, ktorá využíva svoje upravené php súbory ,a ktoré nie sú upravené načíta z originálnej témy. Tento krok je určený skôr pokročilým užívateľom, no pokiaľ chcete zasahovať do naprogramovanej témy, určite by ste mali vytvárať odvodenú tému pre bezproblémovosť a aktualizovanosť. Najmä pri aktualizácií WordPressu.
Ďalšie odporúčania
Samozrejme, je ešte veľa vecí, ktoré by ste mali vedieť pokiaľ máte samotný web, či už beží na WordPresse alebo nie. Napr. zaškrtnutie súhlasu so spracovaním osobných údajov vo formulári, nastavenie SEO, site mapy, nezobrazovať errory, mať správne zabezpečené chmod nastavenia, cachovanie a pod. To je ale na užívateľa a správcu WordPress webstránky náročnejšie. Svoju WordPress web-stránku si ale viete dať skontrolovať profesionálom a vyhnúť sa tak problémom s webstránkou.