V sobotu 18. února 2017 proběhl v budovách VŠE další ročník českého WordCampu, hlavního setkání vývojářů a uživatelů redakčního systému WordPress. Účastnil jsem se jako posluchač a v tomto článku přináším krátké subjektivní shrnutí.
Wordcamp Praha 2017 – recenze
Akce se konala v moderní univerzitní budově, kde je potřebné zázemí – dostatečně velké prostory včetně přednáškových místností a učeben, dostatek „koutů“, kde se dá posedět a v klidu si popovídat, vyhovující zázemí (šatny s personálem, WC na dosah). Centrálním místem se stala aula, kde byly umístěny stolky, u kterých se ve stoje vedly strategické rozhovory, v jejich blízkosti bylo dostupné občerstvení – voda, káva, během dne střídavě chlebíčky, bagety a další pečivo.
Program byl rozdělen do pásma pro uživatele a pro vývojáře. Ráno proběhly ještě dva workshopy o měření výkonu webových stránek. Účastnil jsem se těchto přednášek (celý program včetně prezentací):
- Vláďa Smitka: Nejčastější technické problémy WordPress webů
- Borek Bernard: Představení VersionPressu a kam se za rok posunul
- Martin Michálek: Jak vylepšit rychlost načítání WordPress šablon
- Michal Špaček: Co WP neimplementuje zrovna nejlépe
- Filip Podstavec: Jakou cestu ušel Google v SEO a co je potřeba na webu změnit?
Vladimír Smitka prošel několik aspektů, které se týkají každého webu – rychlost, bezpečnost, upozorňoval na typické rizikové situace a navrhoval, jak se jim vyhnout. Vycházel přitom ze svého aktuálního auditu českého internetu, při kterém pravidelně získává informace o tom, kolik WordPressů „u nás“ vlastně máme. Přednáška byla obsahově nabitá a vzhledem k rychlému tempu si myslím, že většina lidí si sotva stihla dělat poznámky.
Borek Bernard už několikátým rokem se svým týmem pracuje na VersionPressu, což je využití Gitu v prostředí WordPressu. Česky řečeno – Git je verzovací nástroj, ukládá tedy rozdíly o jakékoliv změně ve sledovaných souborech. Plugin VersionPress tuto metodiku práce aplikuje na prostředí WordPressu, ukládá tedy záznam o jakékoliv změně v databázi WordPressu, ať je jakkoliv malá. Jeho revoluční přínos bude v tom, že umožní navrácení webu do jakéhokoliv bodu historie, vytvoření klonu webu z jakéhokoliv bodu jeho historie nebo sloučení více verzí jednoho webu. Vývoj VersionPressu postupuje, stále je ale ještě v režimu „alfa“, tzn. není vhodný do ostrého provozu.
Na podobném principu funguje hosting s pracovním názvem VersionPress.com (ten název se prý změní), který přináší zmíněné výhody VersionPressu zabalené jako služby hostingu. Což je obchodně o dost lepší forma. Je to zároveň způsob zálohování webů, výhody jsou zřejmé (navrácení do jakéhokoliv stavu).
Martin Michálek je autorem blogu Vzhůru dolů a také e-booku pro CSS kodéry (doporučuji). Na semináři upozornil na několik oblastí, které WordPress šablony dělají špatně. Jde např. o skripty blokující načítání (řešením je použít parametr async nebo defer pro odložené načítání), neresponzivní obrázky (řešením situace je příkaz src-set a vhodné CSS) nebo množství dotazů na server (používejte http/2).
Michal Špaček je bezpečnostní expert a v přednášce smysluplně kritizoval slabiny WordPressu a navrhoval jejich řešení, k nimž je potřeba tlak komunity. Jde např. o slabé hashování hesla (MD5 a sůl) nebo skutečnost, že repozitář pluginů není podepsaný (k tématu je aktuální článek Matta Mullenwega, zakladatele WordPressu), přitom to umí každý operační systém (v Linuxu už je to opravdu dlouho). Jinými slovy – pokud aktualizujete pluginy a někdo je při stahování změní a podvrhne (typicky v případě veřejné nebo špatně zabezpečené firemní wifi), nepoznáte to. Dále upozornil na princip prepared statements (který by měl fungovat), resp. vázání proměnných (který funguje, ale prepared statements vlastně neimplementuje). Jde o to, že dotaz do databáze by měl probíhat ve dvou krocích: příprava na dotaz, data dotazu (to by bylo prepared statements). V praxi se to ovšem spojuje (=vázání proměnných), což je živná půda pro různé útoky typu SQL injection.
Dále Michal hovořil o content security policy, což je rámec pro zacházení se skripty, které se do stránky vkládají. Je potřeb stanovit pravidla, z jakých adres či domén se mohou skripty vkládat a za jakých okolností. Podvržená adresa skriptu tedy v případě správného nastavení hlaviček nemá šanci. Ověřovat lze pomocí CSP Evaluator. Jako příklad bezpečného (nikoliv úplně atraktivního :-)) redakčního systému zmínil CMS Airship, představil zajímavé srovnání s WordPressem a další konkurencí – snad bude dostupné v prezentaci.
Filip Podstavec se zabývá datovými aspekty online marketingu a SEO. Je tvůrcem softwaru Marketing Miner. Přednáška byla vtipná, ale poměrně náročná na pozornost a nové pojmy. Občas zabrousil do oblastí, které jsou i pro lehce poučeného člověka v podstatě neznámé. Mám na mysli využití strojového učení v případě vyhledávačů (v tomto smyslu pochválil Seznam.cz) nebo vektorové vztahy mezi „slovy“ (vzpomněl jsem si na své univerzitní vzdělání a jde vlastně o lingvistiku, jen pojmenovanou a chápanou „počítačovou“ logikou).
Z přednášky jsem si odnesl mnoho drobných a důležitých postřehů – potvrzení, že klíčové je lokální SEO (local pack), zaměření na detaily (monitorovat zmínky včetně telefonního čísla), feature snippety, více metadat, komplexní obsah ve více formách, profil na Google Moje firma a Firmy.cz, sledovat jejich výkon, rychlost vykreslení stránky a AMP. Na to vše se chystám nebo mám rozpracováno, jsem rád, že jdu správný směrem.
Byla to pohodová a přátelská sobota
Ačkoliv jsem nebyl ani na party ani na nedělním Contributing Day, kdy se zřejmě pracovalo na vylepšení „něčeho“ ve WordPressu, sobota ve mně zanechala pozitivní a „nabíjecí“ pocit. Cíleně jsem mluvil s asi deseti lidmi, s některými jsem po dlouhé době online komunikace mluvil vůbec poprvé. Nestihl jsem ale oslovit všechny, bylo prostě málo času! Celý den uběhl rychle a i když jsem vstával v pět, v šest usedl do rychlíku jedoucího přímo z Opavy do Prahy, a ve 22:30 byl zase zpátky v Opě, měl jsem opravdu příjemný pocit z dobře strávené soboty. Děkuji organizátorům, přednášejícím a všem, kdo dorazili. Bylo to výborné!