Jak a proč aktualizovat WordPress

Je až příliš časté, že starost o redakční systém nebo dokonce celý web končí v okamžiku předání díla a spuštění do provozu. Pak se ještě občas někdo zajímá, jestli jsou tam nějaké novinky, ale po určité době zájem opadne a stránky se ponechají svému osudu. Také to znáte?

Jako majitel nebo zodpovědný správce to nesmíte dopustit. Nejvíc práce sice dalo webové stránky spustit, ale tady péče nekončí. Aby vám web přinášel objednávky nebo plnil jiné stanovené cíle, musíte se o jeho redakční systém starat.

Aktualizace znamená lepší zabezpečení

Redakční systém – ať je to WordPress, nebo jiný – je nutné aktualizovat, stejně jako jeho komponenty – zásuvné moduly nebo témata vzhledu. Snahy útočníků ovládnout váš web nepolevují a nemá cenu před nimi schovávat hlavu do písku.

Ano, někdy se stane, že nová aktualizace přinese novou chybu. Ale přínos aktualizací je vyšší než riziko, že se objeví nová chyba; ta je totiž rychle opravena.

staré pluginy
Pluginy vyžadující aktualizace

Pokud dojde ke kompromitaci, tedy úspěšnému napadení a ovládnutí vašeho webu, pak to vůbec nemusíte poznat. Zjistíte to podle některých vnějších znaků až v okamžiku, kdy si to bude přát útočník (pokud tedy nepoužíváte některou službu pro pravidelné skenování celého webu). Může to trvat měsíce. Důvodů, proč je důležité udržovat redakční systém v aktuální verzi, je několik.

Nové funkce, nové příležitosti

Aktualizace přináší nové funkce v pluginech. Dostanete do rukou lepší nástroje, díky kterým můžete vydělat více peněz, zvládat věci rychleji a lépe. Nebo se zbavit nějakého problému, který vás roky otravoval. Příklady aktualizací:

  • lepší ochrana proti spamu (pluginy Gravity Forms a jeho podpora reCaptcha v3)
  • kompletní průvodce pro lepší nastavení parametrů (RankMath, All in One SEO pack, iThemes Security – všechny v roce 2021 výrazně upgradovaly své možnosti)
  • nové a nové funkce pluginu Elementor přibývají v každé verzi
  • v případě WordPressu je to např. nová stránka pro práci s widgety (8/2021)
Zcela nový report pluginu All in One SEO Pack
Jak a proč aktualizovat WordPress 4

Nemůžete na svůj web kašlat

Nemůžete si dovolit nestarat se o své webové stránky. Stály spoustu energie a peněz. Chtěli jste je.

Nefunkční webové stránky znamenají ztrátu pro vaše podnikání. Když web nefunguje, jak má, nebudí v návštěvnících důvěru a oni ho opustí. Nechodí vám poptávky, klesá návštěvnost. Ztrácíte potenciální zájemce o své služby.

Velmi brzy zjistí napadení webu Google, který web zablokuje v prohlížečích Chrome/Chromium, takže se v něm vaše stránky vůbec nezobrazí. Následuje pak vyřazení z indexu Googlu, takže váš web nebude možné vyhledat.

To vše jsou také zvýšené náklady na opravu. Uvedený stav lze napravit, ale je to dražší než preventivní zásahy a pravidelná správa. Je zcela reálné, že vás oprava, obnova, odvirování a zabezpečení dva roky zanedbaného webu mohou přijít – podle rozsahu – až na desítky tisíc korun.

Zapomeňte na tvrzení, že to nejde

Setkáváme se s mnoha názory, které jsou nebezpečné, protože na první pohled vypadají logicky a důvěryhodně, ale neodpovídají realitě. Je to blbost, neberte je vážně, jinak si uškodíte.

Mě to nezajímá, však to funguje, nevidím problém

Možná si říkáte, že bylo povinností dodavatele dodat bezchybné dílo, které nesmí být ohroženo nějakými útoky a musí fungovat stále stejně.

To je bohužel nereálné. V době předání bylo jistě vše v pořádku, ale software a internetové prostředí se stále mění a vyvíjí. Pokud nemáte smlouvu o správě webu a předpokládáte, že stav z doby předání webu do provozu bude stále dostačovat, pak se mýlíte. Redakční systém je nutné spravovat, aktualizovat a vylepšovat, protože se mění prostředí, v němž existuje – internet.

Proč by se někdo zajímal o náš web?

Útoky jsou hromadné a spočívají ve využití chyby v softwaru, který na webu používáte (typicky plugin nebo téma vzhledu, ale samozřejmě i samotný WordPress). Nejde tedy o „osobní“ záležitost, ale obecnou. Útočníka nezajímá vás web, ale všechny weby, které může ovládnout nějakým zobecnělým postupem. A je pravděpodobné, že váš web do této skupiny také patří – bezpečnost je relativní pojem, ale nelze na ni rezignovat. Naštěstí lze většině automatizovaných útoků předcházet.

Stejně tam nemáme nic tajného

Nemůžete přesně vědět, s jakým cílem podnikají útočníci své výpady. Obvykle jim nejde o data, ale přístup k prostředkům vašeho hostingu – výpočetnímu výkonu, možnosti rozesílat nevyžádanou poštu vaším prostřednictvím, umístění reklam, které se pak zobrazují na jiných stránkách (za což může dostat váš web penalizaci). Často jde taky o trénink a zkoušení technologií, přípravu na větší cíle, sběr statistických dat.

Nám se o to stará firma a ta říká, že […] nejde

V principu útokům zabránit nelze, ale lze významně ovlivnit dopady na vaš stránky. Běžná instalace WordPressu je zranitelná a ke slušnému zabezpečení je nutné podniknout několik kroků. Existují skenovací nástroje, které vám prozradí, kde má váš web slabiny. Útočníci je používají nebo je mají napsané na míru svým potřebám. Používá je firma, která se vám stará o bezpečnost webu? (My je používáme.) Nevěřte zkratkovitým závěrům a požadujte přesné a aktuální informace, vyžádejte si třeba naši konzultaci. Všechno jde. Nemusí to být levné a zítra hotové, ale vždy existuje cesta ke kompromisům. Pomalé tempo je lepší než stagnace.

Jak se chová napadený web a jak to poznám?

Ne vždy to můžete poznat. Nejviditelnější projev je, když se rozpadne celý design webu. Stránky jsou velmi pomalé a na první pohled vidíte, že se něco stalo. Zobrazují se neznámé texty nebo obrázky, někdy v jiném jazyce.

Často ale napadení zjistíte, až vám píše vaše webhostingová společnost a informuje vás, že vám zablokovala funkci mail() pro odesílání e-mailů, protože z vašeho hostingu je rozesílána nevyžádaná pošta. To znamená, že útočník už využívá vaše zdroje pro své potřeby. Samotná kompromitace, tedy získání kontroly nad webem, mohla proběhnout před mnoha měsíci, kdy jste web bez problémů používali. Z toho mmj. vyplývá, že zřejmě máte napadené i zálohy webu, které vám vytváří hostingová firma.

Příklad napadení

Pokud byste identifikovali napadené nebo přidané soubory, pak byste mohli najít něco takového:

Ukázka malwaru
Ukázka malwaru

Cílem těchto škodlivých kódů je spuštění nějakého podsunutého skriptu. Například adresář wp-includes nemá – na rozdíl od mnoha ostatních – řídicí skript index.php. V něm bývá často pouze komentář „Silence is golden“; ale samotná existence skriptu zajišťuje, že se nevypíše obsah adresáře.

Když se ale ve vašem WordPressu skript wp-includes/index.php objeví, nemáte šanci „pohledem“ zjistit, že je to úspěšný útok, protože skripty index.php se objevují v mnoha adresářích a jsou považovány za běžné a žádoucí (samozřejmě pouze s oním komentářem nebo platným kódem WordPressu). A zrovna na tomto místě se může spouštět škodlivý kód, jak jsme nedávno zjistili na jednom webu. Platí přitom, že napadených míst bývá několik a že jsou zřetězená, v tomto případě byl napadený také skript functions.php v šabloně (spouští se při každém zobrazení každé stránky).

Aktualizujte WordPress pravidelně

Zanedbaný firemní web bude stát hodně peněz. Možná si říkáte, že platit několik tisíc měsíčně za údržbu je moc. Spočítali jste si, jaké náklady na web vynakládáte interně? Přistupuje k tomu dotyčný člověk zodpovědně, tzn. má promyšlené postupy, dělá je pravidelně, poradí si s problémy?

Náš tým profesionálů se věnuje výhradně údržbě WordPressu. Známe jej a máloco nás překvapí. Používáme procesy a postupy, takže víme, kam sáhnout. Ale obvykle nám weby, o které se staráme, nepadají a svým majitelům přinášejí peníze, kontakty a zakázky.

Spojte se s námi, postaráme se i o váš web.

Newsletter Rádce pro správce

Každou středu rozesíláme část svého know-how, které jsme pracně získali během posledních let. Zadarmo každému, kdo má zájem stát se zkušeným správcem WordPressu. Není určený našim zákazníkům, nýbrž našim kolegům v oboru. Vracíme tak komunitě to, co jsme získali od jiných. Podívejte se do jeho archivu.