Robisz regularnie kopie bezpieczeństwa swojej strony? Jeśli nie, to niezwłocznie zacznij. Jeśli tak, to świetnie – ale czy na pewno robisz je prawidłowo? Czy w razie problemów zawsze będziesz w stanie w miarę szybko odtworzyć swoją stronę?
Postanowiłem zebrać kilka porad, z których warto korzystać przy tworzeniu kopii bezpieczeństwa naszych stron.
Wydany nieco ponad tydzień temu WordPress 4.5 wprowadził nieco zamieszania – wielu użytkowników donosi, że na ich stronach po aktualizacji przestały działać skrypty JavaScript. Objawia się to w różny sposób – od niedziałających elementów strony do znikających obrazków. Znaczna część tych problemów ma swoje źródło w nowej wersji popularnej biblioteki jQuery, która w najnowszym wydaniu WordPressa została zaktualizowana do wersji 1.12.x. Co ciekawe, nie jest to błąd w samej bibliotece (wręcz przeciwnie – o czym za chwilę), ale w kodzie motywów i wtyczek.
Na szczęście problem jest dość łatwy do zdiagnozowania i naprawienia.
Edytor wizualny to jeden z najważniejszych elementów WordPressa – korzysta z niego praktycznie każdy użytkownik tego CMSa. To dzięki niemu możemy w łatwy i przyjazny sposób formatować nasze wpisy.
Edytor wizualny kryje wiele ciekawych funkcji, o których nie wszyscy użytkownicy wiedzą, a które mogą usprawnić naszą codzienną pracę z WordPressem. W tym wpisie przybliżę kilka z nich.
Każdy, kto korzysta z WordPressa, na pewno nie raz używał shortcode. Są to specjalne znaczniki wstawiane do treści wpisów, które generują fragmenty kodu HTML. Sam WordPress posiada kilka wbudowanych shortcode (np. `[gallery]` do wstawiania galerii czy `[video]` do osadzania filmów), ale wtyczki i motywy mogą rejestrować własne.
Oczywiście po usunięciu wtyczki lub motywu wszystkie dodane przez nie shortcode przestają działać i w treści wpisów zamiast na przykład efektownego przycisku zobaczymy znacznik w stylu `[super-przycisk]`. Problem nie jest wielki jeśli nasza strona ma kilka lub kilkanaście wpisów, ale jeśli pozbywamy się jakiejś wtyczki lub zmieniamy motyw na blogu, którego prowadzimy od kilku lat, to wyszukanie i usunięcie takich „osieroconych” shortcode może stanowić nie lada wyzwanie. Na szczęście istnieje kilka narzędzi, które mogą nam w tym pomóc.
Pisząc o bezpieczeństwie serwisów opartych na WordPressie najczęściej skupiam się na zabezpieczaniu stron przed atakami z zewnątrz. Jednak równie ważne jest zadbanie o jak najlepsze zabezpieczenie samego procesu logowania, tak aby nikt niepowołany nie uzyskał dostępu do konta z uprawnieniami administratora.
Jedną ze skuteczniejszych i najpowszechniej stosowanych metod zabezpieczania procesu logowania jest uwierzytelnianie dwuskładnikowe (two-factor authentication), nazywane też dwuetapowym. Metoda ta polega na dodaniu do procesu logowania dodatkowego składnika w postaci zmieniającego się co pewien czas kodu. Kod ten może być dostarczany użytkownikowi za pomocą SMSa, poczty e-mail (podobnie jak w opisywanej przeze mnie wtyczce Paswordless) czy generowany przez dedykowaną aplikację. Dzięki temu nawet jeśli ktoś wejdzie w posiadanie naszego loginu i hasła, to i tak nie będzie w stanie zalogować się na nasze konto.
W ostatnim czasie nacisk na udostępnianie stron internetowych za pośrednictwem szyfrowanego protokołu HTTPS jest coraz większy. Oczywiście w przypadku witryn, na których użytkownicy wprowadzają swoje dane (loginy, hasła, dane osobowe), szyfrowanie to podstawa, ale coraz więcej „zwykłych” stron WWW również przechodzi na protokół HTTPS.
Ja również dałem się w to wciągnąć i od kilku dni WPzen jest dostępny tylko przez HTTPS. Niestety, natknąłem się przy tej okazji na chyba wszystkie możliwe problemy, o których opowiem w dalszej części wpisu.
Google PageSpeed Insights to narzędzie, które dla wielu osób jest (często jedynym słusznym) wyznacznikiem jakości i szybkości działania strony internetowej. Nie jest to do końca prawda, ale faktem jest, że przedstawiany na stupunktowej skali wynik daje obraz tego, jak szybka jest nasza strona i co można zrobić, aby była szybsza.
Maksymalny wynik 100 punktów w teście PageSpeed Insights to marzenie niejednego właściciela serwisu internetowego. I mimo że jest to tylko „sztuka dla sztuki”, to w tym wpisie na konkretnym przykładzie pokażę, jak można taki wynik osiągnąć.
Strony WWW są nieustannie atakowane przez boty, które próbują wykorzystać luki w popularnych skryptach używanych do budowy witryn internetowych. Jednym z najpopularniejszych celów takich ataków jest WordPress, głównie przez swoją popularność, ale również przez sporą liczbę dostępnych wtyczek i motywów, z których niektóre są niestety pełne błędów.
Istnieje mnóstwo narzędzi i wtyczek służących do zabezpieczania stron opartych na WordPressie przed tego rodzaju atakami. Zawsze jednak warto rozglądać się za dodatkowymi lub lepszymi od aktualnie używanych sposobami na powstrzymywanie złośliwych skryptów. Jednym z wartych uwagi narzędzi jest 6G Firewall.
Nową stronę tworzymy zwykle na własnym komputerze lub na jakimś serwerze testowym. Gdy uznamy, że prace dobiegły końca, musimy przenieść cały serwis na docelowy serwer. WordPress nie posiada sensownego mechanizmu, który ułatwiałby taką operację. Wbudowany system eksportu danych nie nadaje się do przenoszenia całych serwisów – nie uwzględnia on bowiem ustawień strony, szablonu, wtyczek, menu i widgetów. Operację przenoszenia WordPressa na inny serwer można wykonać ręcznie, kopiując wszystkie pliki i bazę danych, a następnie modyfikując adresy URL, ale ponieważ zawsze staram się opisywać rozwiązania najprostsze, to zrobimy to za pomocą darmowej wtyczki Duplicator.
Aktualizacja – 18.01.2016: wpis został dostosowany do aktualnej wersji wtyczki (1.1.0).
WordPress 4.4 wprowadził funkcję pozwalającą na łatwe osadzanie wpisów w zewnętrznych serwisach za pośrednictwem oEmbed. Wystarczy wkleić w edytorze link do wpisu, a po publikacji zostanie on zamieniony na ramkę z fragmentem treści, linkiem do źródła oraz liczbą komentarzy. Nie zawsze jednak chcemy, aby zewnętrzne serwisy osadzały w ten sposób nasze wpisy. Na szczęście wspomnianą funkcję bardzo łatwo wyłączyć.