Tomáš Kocifaj – odpovědi na nezodpovězené dotazy

Během přednášky o prémiových šablonách bylo položeno několik zajímavých dotazů na jejichž zodpovězení nezbyl čas.

Dotazy však byly zaznamenány a odpovědi na ně naleznete níže:

Bez prémiových šablon by nebyl WP tam kde je – proto zažil takový boom. Pěkná webová vizitka pro 80% firem co jsou na trhu za par stovek…

To je dobrá otázka a určitě správná úvaha. Souhlasím se vším co jste řekl(a). Nicméně v dnešní době už dávno nevnímám „web“ jako „web“. Jsou weby, které jsou investicí ať malou nebo velkou zbytečné, protože jejich cíl, myšlenka, konverze, atd. neodpovídá potřebám návštěvníka a není v souladu s tím, co od webu očekává také majitel. Pokud tedy chceme z webových stránek vytěžit maximum investice zpět a následně ještě vydělat, není to jenom o tom stáhnou hezkou líbivou šablonu a tu naplnit obsahem. Webové stránky jsou také jenom kouskem koláče celého marketingu. Ten také stojí peníze. Pokud za tyto peníze přivádíte návštěvníky na Váš web a „nekupují službu“, najednou Vaše šablona za 900 Kč stojí mnohem víc s porovnáním ztráty zisku. Jen to nikdo neměří a firmy často nevyhodnocují výsledky.

Jak jsem ale také říkal na své přednášce, jsou případy, kdy bych ji já sám použil a v porovnání cena / výkon jsou slušnou investicí. Pokud ale chcete jako firma řešit opravdu prodej, konverzní poměr poptávek / objednávek tak to dle mého názoru s šablonu nejde úplně dobře.

Boom byl určitě díky šablonám a možnostem modifikace. Také se ale velmi často setkáváme s lidmi, kteří dnes WordPress odsuzují a nemají ho rádi (nechtějí o něm ani slyšet), protože je špatný. A proč je špatný? „Web se nám načítal pomalu, nakonec nám ho někdo napadl a když jsme v něm chtěli něco změnit, nebyl nikdo, kdo by se v tom vyznal a o aktualizacích ani nemluvíme.“ To klient nemluví o WordPressu, ale o té prémiové šabloně. Takže vnímám šablony i trochu jako neštěstí pro WordPress, protože v době „boomu“ neudělaly dobrou vizitku.

Co si myslíte, kde je větší šance k dokonalé šabloně? U té na míru pro jednoho klienta, nebo u šablony kterou si koupilo 1000 lidí?

Rozhodně u jednoho klienta. Jedním konceptem šablony nemůžete nabízet služby účetní, opravu pneumatiky v autoservisu, prodej erotických pomůcek a následně ještě prezentovat restauraci. Každý projekt bude mít svou specifickou cílovou skupinu uživatelů a tedy potenciálních klientů. Tam je potřeba myslet na to, proč ty lidé chodí na stránky, co tam primárně hledají a proč tam přišli. Pokud tedy mluvíme o dokonalosti, bude Vás čekat uživatelský výzkum, návrh a prototypování, uživatelské testování, úprava návrhu, atd.

Určitě to můžete postavit na prémium šabloně, ale co je tedy podle Vás mírou dokonalosti? To že Vám web prodává služby, produkty je dobrým prodejním kanálem Vašeho marketingu nebo…

Jak u svých šablon reagujete na aktualizace WordPressu (jádra), aktualizujete každého klienta zvlášť, nebo nějak hromadně?

Jednoznačně hromadně… Nevidím důvod dělat to po jednom klientovi.
Na rychlost nemá vliv jen šablona, ale i použité pluginy.

Souhlasím, pokud jsou ale pluginy funkčním dílem šablony, tak je to dle mého názoru úplně stejné.

Doporučte prosím kde nakupovat, případně čím se řídit při výběru šablony a na jaké ukazatele a atributy si dát pozor.

Přesně toto jsem chtěl udělat na své přednášce. Prošel jsem spoustu míst, kde šablony prodávají. Nevím, zda je to schválně, ale nejhorší je, že přesně tyhle věci se nikde nedozvíte. Hledal jsem například, jaké pluginy šablona používá – nebo alespoň číslo. Ale nikdo to nepíše. Nemůžete si například ani spustit demo WP administrace, která Vás po koupi čeká. Proto to na mě působí jako ten bazar s navoněnou „károu“.

Nejsem zastánce šablon, takže jsem k tomu přistupoval stejně jako běžný uživatel bez zkušeností. A dle mého názoru není možné na první pohled poznat, v jakém je šablona stavu. Některé recenze a hodnocení šablon mi přišly také hodně „umělé“ než vypovídající, takže ani na to bych moc nespoléhal.

Opravdu jsem po hodinách hledání nevěděl, co bych na to mohl říct a doporučit…

Ukazujete extrémy, jsou šablony, které jsou odladěné a načítají 1,5 MB za 2 sec.

Nemohu si pomoci, ale 1,5MB a 2 sec loading time není podle mě odladěná šablona.

V případě zájmu o další mé názory na toto téma neváhejte využít komentáře 😉

Tomáš Kocifaj

Vláďa Smitka – odpovědi na nezodpovězené dotazy

Během přednášky bylo položeno několik zajímavých dotazů na jejichž zodpovězení nezbyl čas.

Dotazy však byly zaznamenány a odpovědi na ně naleznete níže:

Vidíš nějaké řešení/vylepšení (tvůj názor) pro systém distribuce pluginů? (Předcházení šířeni hacknutých pluginů)

Nad tím jsem popravdě ještě nepřemýšlel, osobně beru jako samozřejmost používání důvěryhodných zdrojů. Pokud by se tato oblast měla nějak vylepšovat, tak by bylo například zajímavé automaticky kontrolovat hashe souborů z oficiálních zdrojů proti repozitáři – jednoduše by takto bylo možné najít ty změněné. Co se týká použití dalších zdrojů jako je code canyon, tak zde by mohli jejich provozovatele poskytnou něco podobného ve formě pluginu – každý by si tak mohl zkontrolovat, zda jsou jeho soubory v pořádku a nezměněné.

Jak řešíte izolaci webů proti vzájemnému napadení?

U nás na serverech používáme open basedir a několik instancí PHP (používáme nginx + PHP-FPM) s různými uživateli podle účelu. Většina bežných webů je však pod stejným uživatelem a izolovaná pouze pomocí openbase dir. Možností jak tohoto dosáhnout je však několik.

Pokud máme ze spamových komentářů založeno i tisíce uživatelů, máme je smazat?

Nejsem si jistý co znamená v tomto případě založený uživatel, ale obecně doporučuji vše nepotřebné smazat.

Jak jednoduše otestovat, že je wp web hacknutý?

Úplně jednoduché to není, nákaza se může projevovat mnoha způsoby. Pokud se nákaza projevuje vkládáním cizích kódů do frontendu webu, tak je mohu zkusit otestovat například na https://sitecheck.sucuri.net/, nebo https://www.virustotal.com/. Pokud se takto veřejně neprojevuje, je dobré se podívat do strojových PHP a JS souborů, zda v nich není nějaký podezřelý kód – dlouhé řetězce nesmyslných znaků. Často jsou infikovány všechny soubory daného typu, takže stačí namátkově zkontrolovat několik souborů. V tomto mohou pomoci také pluginy typu WordFence nebo Sucuri Security. Když ani toto nezabere, je potřeba prohledat web na podezřelé funkce, které se však mohou vyskytovat v běžných regulérních souborech… k tomu je potřeba už dost zkušeností. Nejčastěji se jedná o funkce:

eval, gzinflate, base64_decode, gzuncompress, move_uploaded_file, file_put_contents, fputs, exec, rawurldecode, strrev, ini_set, shell_exec, fopen, curl_exec, popen

S tím, že první tři jsou nejpoužívanější.

Hacknutý web mohu někdy poznat i z nestandardního chování jeho uživatelů. To mohu zaznamenávat například pluginem WP Security Audit Log. Známkou napadení je zvýšený počet odchozích emailových zpráv, to však často nejde jednoduše sledovat.

Dokáže už Seznam spolehlivě indexovat HTTPS?

Spolehlivě indexovat HTTPS umí Seznam už dlouho, měl však problémy s přeindexováním webu při přechodu z HTTP na HTTPS. Toto by však mělo být již vyřešené: http://fulltext.sblog.cz/2016/01/12/testujeme-rychlejsi-presmerovani-webu-na-nove-adresy-tedy-napriklad-na-https-2/

V posledních měsících jsme přechod několikrát řešili a nenastaly žádné závažné problémy.

Mohl byste rozvést, proč by administrátor neměl tvořit obsah?

Odpověď od jiného účastníka: Čím větší práva, tím větší do pak při odposlechu. Pluginy řeší jen admin.

S odpovědí samozřejmě souhlasím, dodal bych však, že se nejedná jen o odposlech, ale i náchylnost na různé další bezpečnostní chyby – viz příklad s XSS v přednášce. Další věcí je, že pokud admin nevytvoří žádný příspěvek, tak jeho uživatelské jméno nenajdeme jako autora nějakého obsahu webu – neprozradíme případnému útočníkovi půlku přihlašovacích údajů.

Mate zkušenost kolik lidí, co mají WordPress je zároveň administrátor a kolik lidí dělí a používá role na různé uživatelé / tj. skutečně další osoby?

Přesná čísla bohužel nemám, takže se mohu pouze domnívat na základě několika vzorků. V případě, že web spravuje pouze jedna osoba, tak je v naprosté většině případů administrátorem – nepoužívá druhou roli pouze pro publikaci. U webů s větším počtem uživatelů se často setkávám s dělením na role, nejčastěji jeden administrátor a ostatní jako šéfredaktoři. Speciální kapitolou jsou guestposty, kdy je běžnou praxí dávat externím přispěvovatelům roli editora.

Tip od účastníka: Mám zkušenosti z analýzy zkoušených hesel hackery: název webu, doména, doména bez .cz apod. Takže na to taky pozor!

Váš názor: Je lepší řešit zabezpečení přes vlastní setupy do .htaccess nebo používat pluginy jako iThemes Security apod. ?

Na svých serverech bezpečnostní pluginy příliš nepoužíváme – většinu jejich funkcionalit se nám podařilo zajistit již na straně serveru. Přiznám se však, že základ našeho .htaccess (ekvivalentní pravidla máme v konfiguraci nginx) vychází právě z pluginu iThemes Security – stačí si jej nastavit a prohlédnout si vygenerovaný .htaccess – tyto pravidla pak můžete jednoduše použít na dalších webech. bezepčnostní pluginy však přináší další funkce – například blokování uživatele po určitém počtu chybných přihlášení. Pokud tyto funkce nemáme vyřešeny jinak, tak doporučuji spíše využít bezpečnostní pluginy.

Jaký máte názor na různé techniky skrývání faktu, že používáte WP?

Osobně si myslím, že je to trochu zbytečné (ale i přes to to částečně dělám 🙂 ). Pokud mám aktuální verzi WP, tak si myslím, že nemám důvod to skrývat. Dokonalé skrytí WP webu je velmi složité a je potřeba vynaložit dost úsilí. I když zakáži readme.html, /feed/, skryji meta generator, přejmenuji wp-content a podobné, tak lze stále zjistit, že se jedná o WP – například ze skriptů a css, která načítá a podle jejich tvaru jde i poměrně přesně určit verze.

Názor na přesunutí wp-config.php o složku výše?

Osobně to neodporučuji. Toto doporučení vzniklo když chyba v systému Plesk (správa serveru) mohla znefunkčnit vykonávání PHP a tak byl tento soubor, obsahujíc například hesla do databáze, veřejně čitelný. To je však již velmi dlouhá doba a podobné problémy se příliš neobjevují. Fakt, že WP má přistup mimo svou složku, pokud wp-config.php přesunu výše, mi přijde potenciálně více nebezpečný.

Hi, Lynt, bude Vase prezentace ke stazeni?

Samozřejmě: https://www.slideshare.net/vsmitka/wordcamp-praha-2016-bezpenost-wordpress 😉

3 nejdůležitější rady pro zabezpečení WP

  1. aktualizovat
  2. zálohovat
  3. používat bezpečnostní plugin

+ mít dobrá hesla spravovaní password managerem

Pokud máte nějaké další dotazy, ptejte se v komentářích, rád na ně odpovím.

Můžete mne také sledovat na twitteru.

Vláďa Smitka

WordCamp Praha 20. 2. 2016 is over. Check out the next edition!