Kaj upočasnjuje mojo WordPress spletno stran?

WordPress spletne strani so mnogokrat počasne zaradi slabe optimizacije slik in kode, počasne izbrane teme, video posnetkov ali hotlinkov, velikokrat pa je stran počasna tudi zaradi samih vtičnikov, ki jih uporabljamo (ali ne).

Zakaj so ravno vtičniki lahko problem?
Vtičniki so lahko slabo konfigurirani (posamezne vtičnike so razvili/napisali različni razvijalci, ki imajo različno dobre vrline programiranja) ali pa smo jih namestili preveč (omejite se na največ 15 vtičnikov).

Vas zanima kateri vtičniki najbolj upočasnjujejo vašo spletno stran?
Namestite si Plugin Performance Profiler ali krajše kar P3, z njim boste hitro ugotovili kateri vtičnik vas upočasnjuje.

Vtičnik deluje na Firefoxu, Chromu, Operi, Safariju in IE9 (ali višja različica, na nižji ne bo deloval).

Namestitev: https://srd.wordpress.org/plugins/p3-profiler/

Po skeniranju vtičnika vaše spletne strani boste lahko na gornji strani opazili sledeče informacije – koliko vtičnikov je trenutno aktivnih na vaši strani, koliko časa je posvečenega samemu nalaganju teh vtičnikov, koliko MySQL poizvedb se izvede na obisk.


Runtime by Plugin
Prikaz najbolj potratnih vtičnikov v obliki kolača

Detailed Breakdown
V tej kategoriji si boste lahko ogledali čas, ki ga porabi vsak vaš vtičnik, tema, jedro WordPressa.

Ogledate si lahko Simple Timeline (enostavno časovnico) in Detailed Timeline (bolj kompleksno časovnico) kjer si lahko prilagajate posamezne elemente tako, da lahko dejansko ugotovite kaj in za koliko upočasnjuje stran.

Query Timeline – ugotovite kaj povzroči oz. generira največ pozivedb.

Advanced Metrics – natančnejši časovni pregled strani, ki vam pove kje se časovno gibljete (nad povprečjem, v povprečju ali pod povprečjem).

Tako, sedaj se boste lažje odločili kateri plugin (vendar ne za vsako ceno) je potrebno odstraniti.
Vsekakor obdržite varnostne vtičnik, cache vtičnik, spam vtičnik ter se poizkušajte omejiti na največ 15 vtičnikov.
Tudi ta plugin po koncu skeniranja odstranite.

TOP 3 WordPress varnostni vtičniki

26. januarja so pri WordPressu izdali 4.7.2. security release, saj ima različica 4.7.1. kar nekaj večjih varnostih težav (med njima sta tudi SQLi ter XSS ranljivost).
Predlagamo vam, da v kolikor vaše WP splete strani še niste posodobili, da to naredite nemudoma.
Zakaj? bi se vprašali nekateri. Prav zato, da vam ne vdrejo v vašo spletno stran, vam jo ne izmaličijo in uporabijo med drugim tudi za napad na druge strani.

Poleg rednega posodabljanja in spremljajna novosti, pa vam prav tako predlagamo, da vašo WP stran zaščitite.

Predstavljamo vam (po našem mnenju) 3 najboljše varnostne vtičnike za WordPress spletne strani.
Razvrstitev vtičnikov je naključna.

Wordfence Security

Ocena: 4,8

Cena: brezplačen
(seveda pa vam ponujajo proti plačilu prav tako Premium API key s katerim pridobite premium podporo, Country Blocking, Scheduled Scans, Password Auditing, real-time updates, dvo stopenjsko avtentikacijo in preverbo vašega lastnega IP naslova-če je uporabljen pri spamanju).

Poganja ga stalno posodobljen Threat Defense Feed, njihov Web Application Firewall pa preprečuje poizkuse vdora v WP stran. Ob skeniranju strani prejmete obvestilo (na vaš email) v kolikor se dogaja karkoli čudnega, ki bi lahko ogrozilo vašo stran, prav tako pa imate možnost Live Traffic views.

Najpogostejše vprašanje, ki se pojavlaj pri tem vtičniku je:
Kaj pa, če so v mojo stran že vdrli, mi bo Wordfence pomagal?
Vtičnik ima možnost popravljanja jedra, tem in vtičnikov.
Vendar vam priporočajo, da najprej očistite vašo spletno stran potem pa ga namestite ter opravite skeniranje.

Namestitev: https://wordpress.org/plugins/wordfence/

Sucuri Security

Ocena: 4,5

Cena: brezplačen
(proti plačilu vam nudijo tudi antivirusni program, čiščenje varnostnih lukenj…)

Sucuri je svetovno znana znamka, podjetje, ki se ukvarja s spletno varnostjo, vendar so se prav bolj osredotočili na WordPress varnost.

Ponuja vam 7 glavnih varnostnih funkcij:

  • Security Activity Audit Logging
  • File Integrity Monitoring
  • Remote Malware Scanning
  • Blacklist Monitoring
  • Effective Security Hardening
  • Post-Hack Security Actions
  • Security Notifications

Namestitev: https://wordpress.org/plugins/sucuri-scanner/

BulletProof Security

Ocena: 4,7

Cena: brezplačen
(pro funkcije so vam na voljo proti plačilu – naprimer: HTTP error login, AutoRestore, Skin Changer, Plugin Firewall…)

Ponujajo celostno rešitev, od Firewall varovanja (.htaccess Website Sucurity Protection…), varne prijave (Login Security and Monitoring…), backupa (Full, Partial, Manual…)…prav tako se ujema z vsemi tipi gostovanj (deljeno, reseller, VPS…).
Nadgradite ga lahko s BPS Speed Boost Chace Code.

Namestitev: https://wordpress.org/plugins/bulletproof-security/

Gmail bo v februarju pričel z blokado JavaScript (.js) priponk

V februarju ne bo več možno preko Gmaila pošiljati ali prejemati .js priponk.
Prav za prav takšen tip priponke naj sploh ne bi dosegel vašega poštnega nabiralnika, toraj, če želite poslati oz. prejeti priponko v .js obliki, boste morali to storiti preko Google Drive, saj bo Gmail prepoznal .js priponko četudi jo boste poslali v .zip, .tgz, .gz ali .bz2 obliki.

Takšna pravila naj bi pričela veljati 13 februarja, vendar bodo dosegla vse uporabnike približno v 2 tednih od uvedbe.

.js priponka pa ni edina, ki jo Gmail ne pusti pripeti vašemu mailu.
Takšne so še končnice: .ADE, .ADP, .BAT, .CHM, .CMD, .COM, .CPL, .EXE, .HTA, .INS, .ISP, .JAR, .JSE, .LIB, .LNK, .MDE, .MSC, .MSI, .MSP, .MST, .NSH, .PIF, .SCR, .SCT, .SHB, .SYS, .VB, .VBE, .VBS, .VXD, .WSC, .WSF, .WSH

Zakaj?

Predvsem zaradi varnosti uporabnikov, saj se v zadnjih letih okužene priponke, ki vsebujejo različne viruse kar množijo in širijo, največ naj bi bilo prav .js tipa.

Kljub vsem opozorilom uporabnikom, da naj ne odpirajo nezanih priponk nezanih pošiljateljev se zadeve niso umirile in prejemniki še kar naprej veselo klikajo na takšne priponke.

Viri:
https://gsuiteupdates.googleblog.com/2017/01/gmail-will-restrict-js-file-attachments.html
https://support.google.com/mail/answer/6590#messageswattachments

6 zanimivosti o Googlovem algoritmu

1. Googlov algoritem se imenuje Hummingbird (kolibri)

Od leta 2013 se Googlov algoritem imenuje Hummingbird.
Morda se sprašujete: “kaj pa Panda, Pingvin…?”
Tako se imenujejo večje posodobitve, ki so narejene na tem celotnem algoritmu (Kolibriju).

2. 500 posodobitev letno

Po podatkih MOZ (SEO skupnost) naredi Google približno 500 različnih posodobitev algoritma vsako leto. Te so navadno manjše in zato javnost na njih ni niti pozorna.
Tiste največje spremembe poimenujejo.

3. Glasovno iskanje poskočilo za 35x

Od leta 2008 je glasovno iskanje besed, besednih zvez, poskočilo kar za 35x, zaradi tega se nekako v prihodnosti pričakuje, da bo Google tudi to pričel upoštevati v svojem algoritmu, tako kot se je to že zgodilo s telefonskim iskanjem.

4. Ime PageRank izhaja iz imena Googlovega soustanovitelja > Lawrence “Larry” Page

Prva različica PageRank tehnologije, ki sta jo ustvarila Larry in Sergey, ko ta bila še študenta na univerzi Stanford pripada (patent) univerzi.
Patent bo v celoti potekel leta 2017 (če se popravimo, naj bi že potekel – 10.01.2017).

Ko sta Larry in Sergey odšla iz univerze je ta v zameno za dolgoročno patentno dovoljenje prejela 1.8 mio. Googlovih delnic. S tem je Stanford zaslužil že približno 337 mio. dolarjev, kar je Larryja in Sergeya pripeljalo do posebnega mesta v Stanford Invention hall of fame.

5. Zgodb za poimenovanji vseh posodobljenih algoritmov načeloma ni

Nekih velikih zgodb, ki bi stale napr. za imenom Pingvin….naj ne bi bilo. Prav tako ni nekega vrstnega reda, matrice po kateri bi Google izbiral imena.

Je pa seveda nekaj izjem;
Posodobitev imenovana Boston je bila napr. poimenovana zato, ker je bila sprememba napovedana na SES Boston.
Posodobitve Dominic, Emeralda in Cassandra so bile poimenovanje po WMW uporabnikih.
Vince in Panda (Navneet Panda) sta bila poimenovana po Googlovih inžinirjih….

6. Ocenjevalci oglasov

Pri ocenjevanju oglasov je delno vpleten tudi človeški faktor.
Vsako leto naj bi pri tem sodelovalo približno 40.000 ocenjevalcev.
Pri tem morajo upoštevati 146 strani dolge smernice, ko razvrščajo rezultate.
 

Viri:

Kako izboljšati varnost Joomla spletne strani v 6 korakih

  1. Geslo
    – Ko ste si ustvarili spletno stran, ne obdržite prednastavljenega uporabniškega imena in gesla (ta je navadno kar admin).
    – Za vstop v administratorsko okolje zahtevajte geslo.

    Za pomoč:
    – Najslabša gesla, kako ustvariti dobro geslo:
    http://blog.zabec.net/kraja-gesel-najslabsa-gesla-so/
    – Administrativno okolje > ustvarite .httaccess v administrator directory: https://docs.joomla.org/How_do_you_password_protect_directories_using_htaccess%3F

  1. Razširitve
    Joomla vam ponuja ogromno možnosti razširitev, kadarkoli potrebujete kaj novega, vam je na voljo malo morje razširitev, ki jih lahko opravite s samo nekaj kliki.
    Pa vendar je potrebno pri tem biti izjemno previden, veliko razširitev je t.i. third party, kar pomeni, da niso uradne in večina vdorov se zgodi prav preko njih.

    – V kolikor razširitev več ne uporabljate, potrebujete, jih izbrišite. Več ko imate neposodobljene kode v vaši spletni strani, večja je možnost vdora in zlorabe.

    – Posodabljajte razširitve! Največkrat so na voljo t.i. security fixes, ki odpravljajo varnostne pomankljivosti. Nikoli jih ne izpustite.

    Za pomoč:
    – Lista ranljivih razširitev, ki se sproti posodablja:
    https://vel.joomla.org/live-vel
    – Testiranje razširitev v varnem okolju:
    https://www.joomlatools.com/developer/tools/vagrant/
    Sporočanje posodobitev razširitev:
    https://docs.joomla.org/Help36:Extensions_Extension_Manager_Update

  1. Dovoljenja
    Največji problem predstavlja dovoljenje, ki prav vsem dovoljuje, da lahko prilagajajo, dostopajo do datotek in jih gledajo, dovoljenje se imenuje 777.

    – Dovoljenja uporabljate samo tam kjer jih resnično potrebujete (pa še ta lahko omejite), vse ostalo naj ostane zaklenjeno.

    Za pomoč:
    – Tipična Joomla dovoljenja:
    PHP nastavljen na 0444 > nihče ne more zapisovati v dokument
    Imeniki nastavljeni na 0755 > samo lastnik imenika lahko zapisuje vanj, ostali ga lahko berejo in izvedejo.
    Datoteke nastavljene na 0644 > lastnik lahko zapisuje, ostali jih lahko samo berejo

  2. SSL certifikati
    SSL certifikat potrebujete v kolikor želite ustvariti varno komunikacijo med vašo spletno stranjo in uporabnikom.
    Če imate t.i. e-commerce spletno stran potem je ta certifikat nujno potreben (s SSLjem se med spletno prijavo v trgovino in uporabnikom ustvari kriptirana povezava, v kolikor SSLja nimate je prijava uporabnika v t.i. plain textu), za manjše spletne strani lahko sami precenite ali ga potrebujete ali ne. Vsekakor pa bo doprinesel https zaupanje v vašo spletno stran.

    Za pomoč:
    – Varna in zaupanja vredna spletna trgovina:
    http://blog.zabec.net/varna-in-zaupanja-vredna-spletna-trgovina/
    – Kateri SSL certifikat naj izberem:
    http://blog.zabec.net/kateri-ssl-certifikat-naj-izberem/
    Za pomoč pri izbiri se lahko obrnete tudi na naš podporni center: info@zabec.net
    Ponujamo vam več kot 30 različnih certifikatov: https://www.zabec.net/gostovanje/ssl-certifikati

  3. Posodobljena različica Joomle
    Ena izmed najbolj pomembnih stvari je redno posodabljanje Joomle na najnovejšo različico.
    Vendar pred vsako večjo posodobitvijo naredite backup.

    Za pomoč:
    – Joomla obvestila:
    https://www.joomla.org/announcements.html

  1. Utrdite PHP konfikuracijo
    Če potrebujete prenos dokumentov za upravljalca dokumentov, kot je napr. DOCman ali FILEman, sledečih možnosti ne nastavljajte.

    PHP directives lahko spremenite v vašem php.ini datoteki:

  • expose_php = 0 :
    s tem prikrijete katero različico PHPja uporabljate, tako napadalcem otežite delo, saj ne vedo točno katero ranljivost je najbolje izrabiti.
  • open_basedir = “/var/www/yoursite.com:/tmp/” :
    s tem ukažete PHPju, da lahko uporablja samo to mapo (privzeto je na shared strežnikih nastavljeno pravilno)
  • display_errors = 0 :
    s tem boste preprečili, da bi napadalci vedeli kje je možnost vdora v vašo stran
  • disable_functions = exec,passthru,shell_exec,system,
proc_open,proc_close,proc_terminate,popen,curl_exec,curl_multi_exec,
show_source,posix_kill,posix_getpwuid,posix_mkfifo,posix_setpgid,
posix_setsid,posix_setuid,posix_setuid,posix_uname,php_uname,syslog
    s tem onemogočite (izklopite) nevarne PHP metode, tako, da jih napadalci ne morejo uporabiti oz. škodovati vašemu sistemu.

Vir: https://www.incapsula.com/blog/10-tips-to-improve-your-joomla-website-security.html