Rozhovor – Vláďa Smitka, bezpečnost a temná strana síly

Vláďa Smitka se stará především o sítě a servery. Díky tomu přináší do WordPress komunity jedinečný pohled na to, jak věci fungují zevnitř. Specializuje se zejména na bezpečnost a výkon webových aplikací a mohli jste o něm slyšet například díky jeho velkému průzkumu 65 000 českých WordPress webů.

Už několikrát jsme tě viděli přednášet o bezpečnosti. Začneme tedy otázkou na tělo. Světlá, nebo temná strana?

Jako jestli zranitelnosti využívám ve svůj prospěch? Samozřejmě, že ano 🙂 . Využívám je k tomu, abych se poučil a měl o čem přednášet. A samozřejmě tím, že někoho upozorním na problém a poskytnu mu i návod k vyřešení situace, dokazuji, že bezpečnost u nás ve firmě nebereme na lehkou váhu. Jinak si nemyslím, že bych temnou stranu síly nějak zneužíval. Například za poslední měsíc jsem nahlásil přes 500 kritických zranitleností na českých webech a jejich tvůrce a vlastníky jsem pozval na WordCamp. A dalších zhruba 500 mi k oznámení zbývá, musím jen dohledat kontakty, což je na této práci bohužel to nejsložitější.

To není vůbec málo. Jak vlastně lidé na tvé oznámení reagují?

To mě trošku trápí… Pouze ve zhruba 5 % případů mi přijde odpověď, že chybu už opravili, nebo to budou řešit s tvůrcem, a že děkují. Zhruba 10 % dalších chybu v tichosti odstraní. 15 % mi však přijde stále jako velmi malá úspěšnost na to, že je oznámení psáno v přátelském duchu, je v něm návod, jak problém odstranit, a ani v něm nevnucuji žádnou svou službu. Musím také podotknout, že část emailů adresátům vůbec nedorazí, protože na webu nejsou funkční kontakty. I tak se pozná, že se majitel o web nestará. Najdou se však i tací, kteří to berou velmi osobně a hrozí za zaslané ohlášení soudem a podobně, těch je ale naštěstí opravdu málo. Jsem ale rád za každý opravený web.

V přednášce se budeš věnovat bezpečnosti. Jak hodnotíš aktuální stav WordPress z tohoto pohledu?

Osobně si myslím, že to není tak špatné, jak se z různých zpráv může zdát. Nejsem si vědom, že by závažných bezpečnostních chyb v jádře WP bylo nějak znatelně více než u ostatních redakčních systémů. A když už se objeví, tak jsou i velmi rychle opraveny a patch je díky automatickým aktualizacím brzo aplikován. Odlišná situace samozřejmě panuje kolem pluginů a šablon, u kterých jsou velmi často zanedbávány aktualizace, či pochází z nelegálních zdrojů, a to je příčinou mnoha zpráv o tom, jak je vlastně WP nebezpečný.

Všeobecně panuje názor, že je nedostatek kvalitních WordPress odborníků. Jaký je tvůj pohled?

Nemyslím si, že je to problém jen WordPressu. Například sehnat kvalitního programátora je náročná záležitost a pro koncového zákazníka může být opravdu obtížné rozlišit, zda daný člověk problematice skutečně rozumí, nebo jen umí dobře mluvit. Jsem toho názoru, že skutečných odborníků, kteří vidí i do detailů (např. nastavení serveru) a umí více než nahrát a trochu upravit pár pluginů, je skutečně málo.
Na druhou stranu v případě WordPressu pro provoz menšího blogu lze vystačit s minimem zkušeností. Stačí se jen držet několika základních pravidel – pravidelně aktualizovat, zálohovat, neinstalovat zbytečnosti, když už něco instalovat, tak jen z důvěryhodných zdrojů a prostě se o svůj web starat.

Je něco, co ti na WordPressu vadí? Co bys změnil, nebo vylepšil?

Myslím, že mnoho kolegů odpoví podobně 🙂 Na WP je mnoho věcí, které mi nevyhovují, ale dá se s nimi žít. Myslím si, že začínající uživatel, který se chce posunout jen o kousek dál, má před sebou velmi složitou cestu. Několik příkladů:
Pokud chcete zvýšit výkon, je potřeba doinstalovat doplněk podle cachovací technologie dostupné na serveru. O tom běžný uživtel prakticky nic neví. Proč není už v základu použitá nějaká univerzální cache, kterou si začátečník jen zapne a zkušenější si ji přizpůsobí svému serveru?
Také si často kladu otázku, proč v základu není automatické dočasné blokování uživatele, který několikrát špatně zadal heslo. Začátečník tak na to, že je dobré něco podobného blokovat, musí přijít sám. Anebo přijít na mou přednášku, kde mu to řeknu 😉

Můžeš nám tedy představit, o čem bude tvá přednáška, na co se můžeme těšit?

Mým cílem je především ukázat uživatelům, kde vlastně nebezpečí hrozí a jak se ho vyvarovat. Je třeba pochopit, že útoky jsou ve světě internetu běžné, a je nutné být na ně připraven. Ukážeme si případy některých skutečných útoků a zkusíme se z nich poučit.

3 komentáře u „Rozhovor – Vláďa Smitka, bezpečnost a temná strana síly“

  1. Jo, smiti je dobre se drzet, stejne tim pruzkumem trochu rozcisnul WP scenu ;-), ale fajnove. Camp nestiham, ale rad bych zasel na pivko. Tak drzim palec at to vse klapne. F

  2. Ahoj Vláďo, myslíš si, že WP Super Cache má smysl? Na Savaně jsem nedávno řešil problém, kde mi jeden web je při vyšší návštěvnosti pomalu a podpora poukazovala právě na tento plugin, že může být přičinou zpomalení. Pravdou je, že po deaktivaci se ten web chová (alespoň pocitově) rychleji.

  3. Ahoj, já osobně zrovna WP Super Cache často a rád používám. S nepříznivým vlivem na výkon sem se ještě nesetkal, ale nevylučuji ho. Pokud jsou na stránce nějaké dynamické prvky, které posílají příznak necachovat, tak plugin přináší zbytečnou režiji navíc. U Savany jsem se však ještě několikrát setkal s tím, že byly pomalé diskové operace a dlouho trvaly i například dotazy na obrázky, css nebo jiné statické soubory (tedy i vygenerované soubory cache). To lze ověřit například testem na http://www.webpagetest.org/ – pokud budou dotazy na statické soubory o velikosti pár desítek kB a větší trvat stovky milivteřin, tak to může indikovat právě problém s výkonem disků hostingu.

Komentáře nejsou povoleny.

WordCamp Praha 20. 2. 2016 is over. Check out the next edition!