Rubrika: Blog | Objavljeno: 10.06.2021.
Uvod:
Iako je naslov postavljen kao da sugeriše šta je najbolja praksa u vezi sa održavanjem Wordpress sajtova, želim odmah naglasiti da ću ovde navesti i opisati samo naš spisak procedura, koji sasvim sigurno odstupa od procedura i preporuka nekih drugih webmastera. Ovo je dakle samo naš pristup. Mi ga ne sugerišemo, ali ga objavljujemo sa ciljem da drugi webmasteri od kojih neki hostuju i na našim serverima dignu sopstvene lestvice kvaliteta, tehničke ispravnosti, ali i bezbednosti na viši nivo.
Sadržaj:
1. Kompletan apdejt sajta
2. Email notifikacije i zaštita od spama
3. Koristite SSL enkripciju
4. Instalirajte Classic Editor
5. Instalirajte i podesite Yoast SEO
6. Dodajte sajt na Google Search konzolu
7. Podesite Google analitiku, a opciono i Facebook pixel
8. Uređivanje sajta kroz urednički ili administratorski nalog
9. Zaštitite sajt, aktivirajte firewall
10. Koristite plugin za keširanje
11. Napravite backup sajta
Prvi i osnovni princip koji najdirektnije utiče na bezbednost sajta, ne samo Wordpressa, već svih drugih CMS-ova jeste da sajt uvek bude potpuno apdejtovan. To se ne odnosi samo na jezgro CMS-a, već i na dodatke i temu koja pokreće sajt. Naravno, ne treba zanemariti ni verziju PHP-a.
Kada je reč o samom CMS-u, tu je stvar veoma jednostavna. Ako je ikako moguće uvek ga držite na najnovijoj mogućoj verziji. Samo tako ćete obezbediti da budu primenjene sve zakrpe, ali i optimalnost koda koja utiče na performanse i brzinu učitavanja vašeg sajta.
Ne manje bitno jeste da svi dodaci (pluginovi) i teme takođe budu apdejtovani, jer svaki neizvršen apdejt predstavlja potencijalni rizik, tj. rupu kroz koju može da se "provuče" neki vid zlonamernog koda. Primera radi, može vam biti apdejtovano bukvalno sve izuzev tog nekog plugina, koji ste ili propustili da apdejtujete ili je napušten od developera, pa da sav vaš trud bude anuliran, jer je moguće hakovati sajt i preko tog jednog plugina, ako sadrži bezbednosni propust.
Upravo zbog toga mi preferiramo minimalizam kada je reč o izradi sajta i pluginova koji se koriste. Danas na Themeforestu postoji na hiljade i hiljade različitih WP tema. Mnoge od njih su oslonjene na 3rd party pluginove, tj. na rad drugih developera. Dešava se da odaberete temu koja vam se mnogo sviđa i da ona iz početka radi savršeno, a da je nakon par godina ne možete apdejtovati, jer je u međuvremenu "pukla" kompatibilnost između teme i dodatnih pluginova koje ona koristi. Takođe, uzmite u obzir da neki developeri prosto sporo apdejtuju vlastiti kod, pa je za njih sasvim normalno da ne podržavaju aktuelnu verziju PHP-a, itd. Zbog svega ovde navedenog, naš pristup podrazumeva rad sa jednostavnim i proverenim temama i dodacima, kao i upotrebu što manjeg broja pluginova za Wordpress.
Na kraju, ne zaboravite da pre svakog apdejta prvo napravite backup, jer se ne dešava tako retko da sajt "pukne" nakon apdejta. Takođe, ako se desi da je apdejt problematičan, možete pokušati parcijalni apdejt, pa ćete tako sistemom eliminacije doći do plugina koji pravi problem. Ne zaboravite i na to da u wp-config.php fajlu možete da uključite debug opciju, koja vam može ukazati na probleme nakon apdejta sajta.
Kreatori sajta veoma često naprave grešku već na samom početku, kada prilikom instalacije Wordpressa unesu pogrešnu email adresu sajta. Dešava se recimo da sajt kasnije ima problema sa spam komentarima, pa ako se na početku upiše privatna adresa vlasnika sajta, onda njegov mailbox bude zasut notifikacijama o neželjenoj pošti. Onda on iz neznanja klikne na "Report spam" i tako reportuje sopstveni sajt i server na kome hostuje. Zato smatramo da je najbolji mogući pristup taj da se kao email adresa sajta i admin korisnika stavi nešto tipa admin@adresasajta.com. A da se onda u okviru tog naloga podesi redirekcija i filteri.
Takođe, vodite računa o tome gde stižu mejlovi sa kontakt forme, online shopa, itd. Sve to ručno probajte, jer ako niste podesili gde stižu mejlovi, vrlo je moguće da sve stiže na email adresu sajta, što može biti pogrešno ako se ona razlikuje od prave email adrese vlasnika.
Da biste se zaštitili od spam pošte potrebno je da sve kontakt forme, kao i komentari imaju određeni vid zaštite. Najosnovniji vid zaštite komentara, koji je u stvari i podrazumevani jeste plugin Akismet, koji je predinstaliran na svakom Wordpressu. Ako ste ga uklonili, sa lakoćom možete i da ga vratite. Akismet vrši filtraciju spam komentara na vašem blogu i to prilično efikasno. Da biste ga aktivirali potrebno je da se registrujete na njihovom sajtu kako biste dobili API kod koji kasnije možete da koristite na svim svojim sajtovima. Takođe, komentari se na kvalitetan način mogu zaštiti od spama koristeći i plugin wpDiscuz, koji ne samo da unapređuje korisničko iskustvo kada je reč o komentarima, nego i blokira spam, pod uslovom da ste ga povezali sa Google reCaptchom.
Što se tiče kontakt formi, postoji veliki broj različitih pluginova za Wordpress. Naš je predlog da koristite onaj koji vam omogućuje implementaciju Google reCaptcha zaštite. Postoje dve različite verzije reCaptche trenutno i obe su efikasne. Najveći broj Wordpress korisnika ima instaliran Contact Form 7 koji je veoma popularan, ali i jednostavan dodatak. Kod njega možete koristiti quiz shortcode. Jednostavno ukucajte pitanje i odgovor - nešto što će svi znati da odgovore, ali da bude dovoljan vid zaštite protiv web robota. Mnoge teme i builderi imaju sopstvene module za kontakt forme, a gotovo sve podržavaju Google reCaptcha, što umnogome olakšava posao.
Ne zaboravite da zaštitite i login ako koristite neki sistem poput WooCommerca, itd.
Prošla su vremena kada su svi sajtovi bili podrazumevano http, ili što bi se to danas reklo non-secure. Obaveštenja o tome da neki sajt ne koristi secure protokol nekada nisu ni postojala. A sajtovi koji su želeli da koriste https protokol su tu uslugu papreno plaćali. Na sreću, danas je sasvim moguće doći i do potpuno besplatnog SSL sertifikata koji što bi se reklo radi posao.
Pored SSL priče, bitno je i da li koristite www poddomen. Nekada su svi domeni sadržali www, a danas se taj poddomen (da, www je samo poddomen) sve manje koristi. Vodite računa o tome da već prilikom instalacije Wordpressa definišete da li ćete koristiti www ili non-www naziv domena.
Ako nemate uključen SSL na svom domenu, obavezno ga uključite. Sajtovi koji ga ne koriste ne samo da imaju oznaku "non-secure", već se i slabije pozicioniraju na stranicama Google pretrage.
Sajtovi koji koriste free WP teme i koji imaju mali broj uključenih pluginova obično veoma lako mogu da aktiviraju secure protokol. To se naravno čini kroz podešavanja. Ali ako je vaš sajt stariji i ako ima veliki broj backlinkova i ako mu je bitna pozicija na Googlu, onda je možda najbolji pristup aktivacija plugina Really Simple SSL, koji automatski postavlja i 301 redirekcije i sve ostalo što je bitno za prenos autoriteta koji vaše pojedinačne stranice imaju.
S druge strane, ako u okviru svog hosting paketa nemate mogućnost upotrebe SSL-a, kontaktirajte svog provajdera, jer on sasvim sigurno to može da vam omogući.
Sve velike kompanije pre ili kasnije prođu kroz fazu eksperimentisanja. To se desilo Microsoftu sa Windowsom 8, to se desilo Facebooku sa raketicom, a to se desilo i Wordpressu sa Gutenbergom. Reč je naravno o default editoru na svim novim verzijama Wordpressa. Međutim, korisnici su dali svoje mišljenje, a ono je negativno.
Ako pogledate na plugin installeru, videćete da Gutenberg ima svega 300.000 uključenih postavki a da mu je ocena 2/5, za razliku od klasičnog uređivača koji ima više od 5 miliona uključenih postavki i ocenu 5/5.
Dakle ljudi ne žele da koriste Gutenberg. Naše je mišljenje da bi za Wordpress bilo najbolje da to što pre prihvati kao realnost. Na sreću, moguća je instalacija Classic Editora, koji u potpunosti disejbluje Wordpressov Gutenberg. Mi to činimo na svim sajtovima koje administriramo, a i vama savetujemo da to učinite.
Kada je reč o SEO-u sajta treba da razmišljate o nekoliko jednostavnih stvari. Pre svega, bitni su naslovi i opisi tekstova, zatim štelovanje OG podataka, a naravno i sajtmapovi.
Istina, Yoast SEO ne radi kompletan posao kada je reč o SEO-u - čak ni blizu. On samo malo pomaže oko lakšeg definisanja naslova i opisa, kao i OG podataka. Naravno, ima on i neku svoju proširenu funkcionalnost, ali iskreno, nema ništa bez ručne modifikacije i dodatne optimizacije sajta. Yoast SEO je tu samo da pomogne.
Ono gde je on zaista sjajan jeste generisanje sajtmapova za Google Search konzolu. Dovoljno je da ga instalirate i on će vam odmah omogućiti sitemap funkciju. Sve što treba da uradite jeste da adresu sajtmapa dodate u Search konzolu svog sajta, a sve ostalo se dešava automatski kako budete objavljivali nove stranice i članke.
Nebitno je da li vam je SEO bitan, Google Search konzola vam omogućuje dobar uvid u to kako Google vidi vaš sajt. Zato vam preporučujemo da bez obzira na sve sajt dodate na Search konzolu.
Da biste to odradili biće potrebno da verifikujete vlasništvo nad sajtom. To možete da učinite prostim aploadom verifikacionog fajla u public_html folder sajta, ili još bolje kroz dodavanje tekstualnog DNS zapisa, ako imate pristup DNS zoni sajta. Kada verifikujete sajt, potrebno je još samo da dodate sajtmapove na Search konzolu i to je sve.
Vratite se na Search konzolu za par meseci i pogledajte šta je Google prikupio od podataka o vašem sajtu. Saznaćete na koje sve načine možete da ga unapredite na stranicama Google pretrage. Ovo vam možda nije bitno u početku, ali je sasvim izvesno da ćete jednom doći i do toga, ako dovoljno ozbiljno budete radili na unapređivanju sopstvenog sajta.
Nije moguće kvalitetno izmeriti posete sajta bez korišćenja Google analitike. Tačno je da i sam hosting paket ima neki interfejs za prikazivanje broja posetilaca, itd, ali to sve ne može da se meri sa preciznošću koju poseduje Google analitika.
Zato je jedan od obaveznih koraka upravo dodavanje sajta na servis Google analitike, kao i ubacivanje koda za praćenje, kako bi svaka poseta bila evidentirana. Ne zaboravite da svom klijentu omogućite pristup Google analitici i uputite ga kako da instalira aplikaciju na svoj telefon, bez obzira na to da li je reč o Androidu ili iPhonu.
Ako znate da ćete vi ili vaš klijent koristiti Facebook pixel, onda je pravi trenutak da i njega podesite. Što više podataka prikupite u svom pixelu, to ćete kasnije lakše targetirati korisnike u okviru bilo kakve kampanje na Facebooku i/ili Instagramu.
Kodovi za praćenje Google analitike i Facebook pixela se lako integrišu na svaki sajt prostim ubacivanjem javascript koda na za to predviđeno mesto koje se najčešće nalazi u podešavanju teme koju koristite. Ako autor teme nije predvideo mesto za ubacivanje koda za praćenje, onda taj kod možete ubaciti i ručno u header.php teme, ali imajte u vidu da bi u tom slučaju nakon apdejta i taj kod mogao biti prepisan, tj. obrisan (izuzev ako koristite child temu). Treća opcija je korišćenje plugina koji omogućuje povezivanje koda za praćenje. U tom slučaju vam preporučujemo plugin PixelYourSite koji ima mogućnost da istovremeno prati i Facebook pixel i Google analitiku.
VAŽNO: Ako prikupljate podatke od svojih posetilaca, po novim zakonima koji su već stupili na snagu na teritoriji EU, treba da obavestite posetioce o tome, ali i da im date mogućnost da li će prihvatiti ili odbiti korišćenje kolačića. Ovo možete omogućiti korišćenjem nekog od pluginova za usaglašenost sa GDPR-om.
Pametno bi bilo da svom klijentu omogućite samo ograničeni pristup kontrolnoj tabli sajta. Iz našeg dugogodišnjeg iskustva, ako klijentu date pun pristup administraciji sajta, on će u nekom trenutku napraviti "eksperiment", pa je realno očekivati da dođe i do nekog problema u radu sajta. Primer je recimo nekontrolisani apdejt bez backupa, koji bi on iz neznanja mogao pokrenuti. Naravno, postoje i druge mogućnosti, jednako problematične.
Ovo možete sprečiti na taj način što biste klijentu omogućili prost urednički nalog bez administratorskih privilegija. U tom slučaju, on će moći da uređuje vlastiti sajt, ali ne i da napravi neki problem na njemu. S druge strane, ako vaš klijent zahteva upravnički nalog, tj. punu administraciju sajta, onda možete instalirati plugin Activity Log koji loguje sve administratorske aktivnosti i prosleđuje ih na email koji definišete, pa ćete makar znati šta je rađeno i kako je došlo do problema.
Apdejtovani Wordpress jeste siguran, ali imajte na umu da na svom sajtu sasvim sigurno imate i 3rd party pluginove i teme. Ko će vam garantovati da su svi oni bezbedni? Činjenica je da se najnoviji propusti otkrivaju svakodnevno. Zato ništa ne prepuštajte slučaju.
Kako biste smanjili potencijalni rizik od hakovanja, potrebno je da učinite sve što je u vašoj moći da sajt adekvatno zaštitite. Ono što u svakom slučaju preporučujemo jeste da koristite neki plugin za zaštitu. Svi ti pluginovi imaju niz različitih opcija i određeni stepen zaštite, ali se u pogledu osnovnih opcija ne razlikuju mnogo. Dakle, tu osnovnu zaštitu mogu da vam obezbede gotovo svi security pluginovi. Mi konkretno najčešće koristimo Wordfence, jer smatramo da je dobro optimizovan i da radi posao baš kako treba.
Ako ćete poslušati naš savet i instalirati Wordfence, vodite računa o tome na koji email idu notifikacije. Ako želite da ti mejlovi odlaze negde van servera, onda objasnite vlasniku mejla šta znače ti mejlovi i zašto su bitni. Naravno, moguće je i isključiti neke od tih notifikacija.
Wordfence poseduje i integrisani firewall, koji je potrebno aktivirati, a to se čini odmah nakon instalacije klikom na obaveštenje koje će vam se pojaviti pri vrhu kontrolne table Wordpressa. Konfiguracija zaštitnog zida se vrši upisom u .htaccess i .user.ini fajlove koji se nalaze u vašem public_html folderu. Ako vam Wordfence ponudi automatski apdejt, slobodno mu to dopustite, jer on sasvim sigurno neće napraviti nikakav problem ako se automatski apdejtuje.
Proverite da li je na vašem serveru aktivan mod_security. Njegova uloga je da odbija mnoge napade na vaš CMS, čak i ako sajt nije apdejtovan, mada nije dobro oslanjati se na to, jer mod_security svakako nije svemoguć.
Možda mislite da je vaš sajt dobro optimizovan i da se brzo učitava? Istina je da to može i bolje. Instalirajte plugin za keširanje i aktivirajte ga. Razliku ćete odmah uočiti. Brzina sajta sa pluginom za keširanje ili bez njega je neuporediva. Mi koristimo WP Super Cache, ali postoje i mnogi drugi jednako kvalitetni pluginovi.
Vodite računa i o tome da uključite opciju za gzip keširanje na strani browsera. Neki pluginovi za keširanje ovo podrazumevano podržavaju, dok je kod nekih drugih kao što je recimo Comet Cache ta opcija po defaultu isključena.
Pluginovi za keširanje ne samo da ubrzavaju sajt, već i rasterećuju rad servera, mada to vama možda i nije toliko važno. Ono što jeste važno i o čemu bi trebalo da razmišljate jeste činjenica da što vam je brži web sajt, to su vam veće šanse da dostignete visoke pozicije na stranicama Google pretrage.
Još nešto, ali veoma bitno: plugin za keširanje uključite poslednji, tek kada budete 100% sigurni da su sve izmene koje ste napravili na sajtu ispravne i da sve funkcioniše kako treba.
Kada sve gore navedeno primenite i kada proverite da li je sve potpuno funkcionalno, da nema nikakvih grešaka na sajtu, obavezno napravite backup, ili što bi se reklo rezervnu kopiju. Tako ćete se osigurati u slučaju problema, ako vam neko hakuje sajt, ili se desi neki ozbiljan kvar u okviru vašeg hosting servera.
Vodite računa i o tome da sve backupe čuvate na sigurnom mestu, a to sigurno mesto nikako ne može biti vaš hosting nalog, bez obzira na to koliko je on dobar i pouzdan. Backupe možete čuvati na svom računaru, ili na internet cloudu. Poželjno na više mesta uporedo. I neka vam uvek bude pri ruci, da možete brzo da reagujete ako se desi neki problem, zlu ne trebalo... :)
Na kraju, backup pravite nakon svake bitne izmene sajta. I čuvajte različite verzije backupa, jer se može desiti da ne uočite odmah da nešto ne radi kako treba, a ako nemate prethodnu verziju sajta, onda nema nazad.
* * *
I još jednom da naglasim. Iako sam ovaj naslov postavio pomalo sugestivno, u članku se nalazi sve ono što ja lično, a takođe i što moje kolege smatraju najboljom praksom. Ali to naravno ne znači da je to najbolja praksa za vas. Voleo bih da čujem kakva je vaša praksa i koje sve procedure primenjujete kada je reč o održavanju Wordpress sajtova. Pišite o tome u komentarima, a pozivam vas i da članak podelite na društvenim mrežama.
