Kako preusmerim svojo WordPress spletno stran iz HTTP na HTTPS

Ko imate na strežniku nameščen SSL certifikat za varno povezavo preko HTTPS je potrebno vašo spletno stran preusmeriti iz HTTP na HTTPS.

Na primer, da imate domeno vasadomena.nekaj, ki se prikazuje takole; http://www.vasadomena.nekaj

Spletno stran ustvarjeno v WordPress lahko preusmerite na dva načina:

  • preko vtičnika (plug-in) ali
  • preko .htaccess datoteke, ki se nahaja na vašem strežniku.

Ko boste preusmerili vašo spletno stran na HTTPS se bo vaša povezava prikazovala takole; https://www.vasadomena.nekaj
 

POZOR, VAŠA DOMENA MORA IMETI SSL CERTIFIKAT!
SSL certifikati so vam na voljo na naši spletni strani > SSL certifikati
Pri izbiri pravega vam z veseljem pomagamo, pišite nam na info@zabec.net.

  • Preusmeritev spletne strani preko vtičnika (plug-in)

Če ste začeli z uporabo SSL od prvega dane objave vaše spletne strani, potem so že vse statične datoteke (npr. slike) že objavljene tako, da uporabljajo HTTPS.

Če ste si uredili SSL certifikat kasneje, pa imate spletno stran na kateri je veliko statičnih datotek, ki so objavljene na strani z »NON-HTTPS«, torej HTTP naslovi. V tem primeru jih boste morali spremeniti. Če tega ne uredite bo brskalnik prikazal opozorilo o varnostni težavi, tudi če imate na samem strežniku že nameščen SSL certifikat.

Vtičnik »Easy HTTPS Redirection Plugin« vam omogoči, da lahko »na silo« preusmerite statične datoteke na varno povezavo, HTTPS. Tako bo vaša spletna stran v celoti združljiva s SSL certifikatom.

Uporaba vtičnika omogoči samodejno preusmeritev na HTTPS (Enable automatic redirection to the HTTPS).

Ko omogočite to možnost se bo vaša spletna stran http://www.vasadomena.nekaj avtomatsko preusmerila na varno povezavo https://www.vasadomena.nekaj , tako vas bodo obiskovalci vaše spletne strani obiskali preko varne povezave.

Ko namestite vtičnik, ga poiščite v Nastavitvah (Settings) in izberite HTTPS Redirection.

Ko imate pred seboj nastavitve vtičnika pri prvi izbiri določite, da se vaša stran usmeri na HTTPS, pri drugi izbiri pa omogočite, da se vse statične datoteke (slike) prikazuje preko HTTPS povezave.

Vtičnik vas vpraša ali želite preusmeriti celotno stran na HTTPS ali samo določene strani – izberite preusmeritev celotne strani (Whole page) in kliknite Shrani (Save).

  • Preusmeritev vaše spletne strani preko .htaccess datoteke

Če želite vašo spletno stran preusmeriti »ročno« na varno povezavo HTTPS, to storite z urejanjem .htaccess datoteke na vašem gostovanju in pa z urejanjem povezave v administraciji WordPress-a vaše spletne strani.

V administraciji spletne strani poiščite Nastavitve (Settings) in Splošno (General) – Tukaj uredite Naslov za WordPress ((URL) (WordPress Address (URL)) in Naslov spletišča ((URL) (Site Address (URL))

Uredite jih tako, da pri http://www.vasadomena.nekaj spremenite http v https.

Ko ste naredili sledeče, morate v kontrolni plošči urediti še .htaccess datoteko – odprete .htaccess datoteko, ki se nahaja v public_html mapi in čisto na začetku dodate naslednje vrstice:

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteCond %{SERVER_PORT} 80

RewriteRule ^(.*)$ https://www.vasadomena.nekaj/$1 [R,L]

</IfModule>

Bodite pozorni, da »https://www.vasadomena.nekaj« spremenite v vašo kupljeno domeno.

V wp-config.php dodamo še zapis:

define(‘FORCE_SSL_ADMIN’, true);

Čisto na koncu pa ne pozabite dodati vašo https stran ponovno v Google Webmaster Tools, tako boste Googla obvestili o spremembi, ki ste jo naredili.

Kaj upočasnjuje mojo WordPress spletno stran?

WordPress spletne strani so mnogokrat počasne zaradi slabe optimizacije slik in kode, počasne izbrane teme, video posnetkov ali hotlinkov, velikokrat pa je stran počasna tudi zaradi samih vtičnikov, ki jih uporabljamo (ali ne).

Zakaj so ravno vtičniki lahko problem?
Vtičniki so lahko slabo konfigurirani (posamezne vtičnike so razvili/napisali različni razvijalci, ki imajo različno dobre vrline programiranja) ali pa smo jih namestili preveč (omejite se na največ 15 vtičnikov).

Vas zanima kateri vtičniki najbolj upočasnjujejo vašo spletno stran?
Namestite si Plugin Performance Profiler ali krajše kar P3, z njim boste hitro ugotovili kateri vtičnik vas upočasnjuje.

Vtičnik deluje na Firefoxu, Chromu, Operi, Safariju in IE9 (ali višja različica, na nižji ne bo deloval).

Namestitev: https://srd.wordpress.org/plugins/p3-profiler/

Po skeniranju vtičnika vaše spletne strani boste lahko na gornji strani opazili sledeče informacije – koliko vtičnikov je trenutno aktivnih na vaši strani, koliko časa je posvečenega samemu nalaganju teh vtičnikov, koliko MySQL poizvedb se izvede na obisk.


Runtime by Plugin
Prikaz najbolj potratnih vtičnikov v obliki kolača

Detailed Breakdown
V tej kategoriji si boste lahko ogledali čas, ki ga porabi vsak vaš vtičnik, tema, jedro WordPressa.

Ogledate si lahko Simple Timeline (enostavno časovnico) in Detailed Timeline (bolj kompleksno časovnico) kjer si lahko prilagajate posamezne elemente tako, da lahko dejansko ugotovite kaj in za koliko upočasnjuje stran.

Query Timeline – ugotovite kaj povzroči oz. generira največ pozivedb.

Advanced Metrics – natančnejši časovni pregled strani, ki vam pove kje se časovno gibljete (nad povprečjem, v povprečju ali pod povprečjem).

Tako, sedaj se boste lažje odločili kateri plugin (vendar ne za vsako ceno) je potrebno odstraniti.
Vsekakor obdržite varnostne vtičnik, cache vtičnik, spam vtičnik ter se poizkušajte omejiti na največ 15 vtičnikov.
Tudi ta plugin po koncu skeniranja odstranite.

WordPress Pepper

Različica WordPress 4.6 ali tudi WordPress Pepper, vam je sedaj na voljo.
(Kako posodobim WordPress?)

Poimenovan je po jazz bariton saksofonistu – Park Frederick “Pepper” Adams III.

Pomembnejše posodobitve:

  • na voljo v 50 jezikih
  • enostavnejše (bolj pregledno) posodabljanje: med posodabljanjem, nameščanjem ali brisanjem vtičnikov ter tem ostanete na isti strani (mestu).
  • nadzorna plošča izkoristi pisave, ki jih že imate.
    Tako se le-te nalagajo hitreje na katerikoli napravi.
  • izboljšan urednik: preverjanje linkov (v kolikor je vaš link napačen, vas WP obvesti, da ga je potrebno popraviti) in obnovitev vsebine (med tipkanjem WP shrani vsebino v brskalniku).
  • v ozadju: t.i. namig vira (pomaga brskalniku kateri vir naj pridobi ter obdela vnaprej. WP 4.6. te namige doda avtomatsko za vaše stile ter skripte, kar posledično naredi vašo stran hitrejšo), Meta Registration API (razširjen  za podpiranje tipov, opisov ter REST API vidiljovsti), prilagajanje APIjev za nastavitve validacij ter obvestil, Robust Requests (HTTP API sedaj dopolnjuje t.i. Request knjižnico, izboljšuje Http standardno podporo ter podpira internacionalizirana domenska imena), prevod na zahtevo (v kolikor želite bo WP namestil najnovejše jezikovne pakete za vaše vtičnike ter teme – takoj ko bodo na voljo), hitrejše strani (predpomnjenje in celovite poizvedbe na mestu), JavaScript knjižnične posodobitve (Masonry 3.3.2, imagesLoaded 3.2.0, MediaElement.js 2.22.0, TinyMCE 4.4.1 in Backbone.js 1.3.3. so v paketu) in nova WP_Term_Query in WP_Post_Type.

Vir: https://wordpress.org/news/2016/08/pepper/

 

Varnost odprtokodnih CMSjev (WordPress, Magento, Drupal in Joomla!) v prvem četrtletju 2016

Poročilo temelji na zbranih podatkih in analizi skupine Securi Remediation Group (RG) v katero sta vključena IRT (Incident Response Team) in MRT (Malware Research Team).

Celotno poročilo iz katerega smo črpali si lahko preberete TUKAJ, mi pa smo naredili krajši pregled in izbor podatkov za katere menimo, da so zanimivi, uporabni za vas.

Število spletnih strani narašča z razvojem tehnologije in dostopnostjo odprtokodnih CMSjev, med njimi so najbolj popularni štirje (pravijo, da je preko njih izdelanih več kot tretjino spleta):

  • WordPress
  • Joomla!
  • Drupal
  • Magento

WordPress je vodilni na CMS trgu z več kot 60% tržnim deležom.
Nišno pa hitreje rastejo druge platforme – napr. Magento je zelo popularen med prodajnimi stranmi in večjimi organizacijami, medtem ko Drupal pokriva predvsem vladne organizacije, na splošno, če vse skupaj zaokrožimo pa ostaja WP še vednjo kralj.

Platforme pa so nam s svojo odprtostjo prinesle tudi izzive, če gledamo na internet kot celoto, saj se je pojavila množica nekvalificiranih “razvijalcev” in “upravljalcev” strani izdelanih na teh platformah, ki na koncu še vedno potrebujejo nekoga z znanjem, ko pride do bolj “zapletenih” zadev ali težav.

Securi analiza je pokazala, da je bilo od 11.000+ okuženih straneh kar 75% narejenih na WP platformi in kar 50%+ teh strani je bilo zastaranih.
V primerjavi s podobnimi platformami (Joomla! in Drupal) je bilo to še “vredu”, saj je bilo tam kar 80% softwara zastaranega.

Marca 2016 je Googlovo poročilo pokazalo, da so več kot 50 milijonov spletnih uporabnikov “pozdravili” s sporočilom o nevarnosti spletne strani na katero želijo vstopiti, bodisi naj bi jim ta skušala namestiti škodljivo programsko opremo ali celo skušala ukrasti podatke.
V primerjavi z lanskim letom (marec 2015) naj bi bilo to število 17 milijonov.

Screen Shot 2016-05-20 at 11.04.57

Google trenutno na črno listo (Kaj je črna lista si lahko preberete TUKAJ) vsak teden uvrsti več kot 70.000* spletnih strani (približno 20 tisoč zaradi malware in 50 tisoč zaradi phishinga).
*brez spam SEO in ostalih taktik

I. POROČILO

Pri Securi pravijo:
“To poročilo temelji na reprezentativnem vzorcu celotnih spletnih mest na katerih smo delali v Q1, v koledarskem letu (CY), 2016 (CY16-Q1).
Skupno smo uporabili 11.485 okuženih spletnih strani. Gre za vzorčenje, ki nam je dalo najbolj dosledne podatke iz katerih smo lahko pripravili to poročilo.”

Več kot 78% spletnih strani na katerih so delali v prvem četrtletju 2016 je bilo zgrajenih na WordPress platformi, sledi Joomla! s 14%.
V vseh primerih, ne glede na platformo, je vodilni vzrok za okužbe izkoriščanje programskih ranljivosti prilagodljivih komponent, ne pa samega jedra.
Prilagodljive komponente so neposredno povezane z integracijo vtičnikov, drugih razširitev, komponent, modulov, predlog, tem…

SLIKA1

Opazimo lahko, da se v prvi četrtini tega leta ni zgodilo nič presenetljivega glede na zadnjo četrtino lanskega leta, opazimo celo lahko celo manjši padec okužb pri WP in povečanje števila okužb pri Joomla! spletnih straneh.

Pri WP so še posebej izkoriščeni vtičniki.
Tri vodilne ranljivosti programske opreme, ki so vplivalne na večno spletnih mest v prvem četrtletju so bile: RevSLider, GravityForms vtičniki in skripta TimThumb.

SLIKA5

SLIKA2

SLIKA3

Povečan procent pri Magentu naj bi povzročila ShopLift Supee 5344 ranljivost (ena najbolj resnih razkritih ranljivosti oz. RCE ranljivost imenovana tudi shoplift bug) in XSS ranljivost (pri tej ranljivosti napadalci prevzamejo administrativni račun in vstavijo novega).

Glede na druge platforme (ki jih napadalci po večini ozkoriščajo za SEO, phishing ali spam) se pri Magentu pokaže, da napadalci direktno ciljajo na kreditne kartice kar je običajno za prodajne spletne strani, vendar jih je največ oz. je največji porast prav pri Magentu.
Zakaj?
Predvidevajo da uporabniki (v testu) Magenta obdelujejo podatke o karticah lokalno na strežniku namesto prek tretjih oseb in napadalci se tega zavedajo.

II. ZASTARELOST

 

Screen Shot 2016-05-20 at 14.03.26

Zastarelost sofwara je problem že od nekdaj, saj napadalci hitro ugotovijo njegovo ranljivosti.

CMS je smatran za zastarel, če ga ni bilo na zadnji različici priporočene varnostne različice v odzivnem času, ko se je zgodi incident.

Kljub temu, da WP vedno bolj opozarja na pomembnost posodabljanja, je bilo od 11 tisoč + okuženih strani kar 56% od vseh okuženih WP strani zastarelih. Kar je “super” če to številko primerjamo z Magentom – cca. 96%!

Izziv glede zastarelosti se kaže predvsem glede treh stvari: težave z združljivostjo, pomanjkanja osebja na voljo za pomoč pri migraciji ter izvedba po meri uporabnika.

Zaključimo lahko s tem, da lastniki spletnih strani na teh platformah, kljub varnostnim grožnjam in obvestilom o ranljivosti niso sposobni dohajati vseh teh opozoril in groženj, zato se vedno bolj zanašajo na WAF (Website Application Firewall) ali na napredno tehniko virtualnega patchinga.

III. ZLONAMERNA PROGRAMSKA OPREMA

Zlorabljene spletne strani so lahko okužene z različnimi “družinami” zlonamerene programske opreme, odvisno kaj napadalec želi z njo doseči.

SLIKA6

Približno 32% vseh okuženih primerov spletnih strani je izrabljenih za SEO spam kampanje –  stran je okužena s spam vsebino ali preusmeri uporabnika na spam stran. Največkrat uporabljene spam vsebine so v povezavi s farmacevtskimi izdelki (viagra, erekcija, cialis…) sledi zabava (kazinoji in porno).

IV. ZAKLJUČEK

Argument, da naj lastniki spletnih strani le-te preprosto samo posodabljajo, sam po sebi ni dovolj, zavedati se je potrebno, da je večina teh strani del večjega bolj kompleksnejšega okolja v katera lastniki spletnih strani vključijo, namestijo vse kar jim je dostopno. Lastniki se morajo osredotočiti na vse spletne strani in ostale integracije v tem okolju, da pri preprečili t.i. cross-site okužbe. Kar pa zna biti precej zapleteno zaradi vseh novosti in nastavitev, ki so jim na voljo, na splošno pa primankuje spletnega znanja glede poznavanja celotnega sistema ter nastavitev oz. namestitev.

Vir in originalni članek:
https://sucuri.net/website-security/Reports/Sucuri-Website-Hacked-Report-2016Q1.pdf

Na svoji WordPress strani bi rad imel prijavo na e-novice

Morda imamo za ponudit marsikaj, veliko zanimivih in odličnih stvari za povedati, pa nimamo nikogar s katerim bi lahko to delili.

Kako zgraditi nam primerno bazo, ki bo z veseljem brala ali izkoristila naše ponudbe?

Eden od načinov je zbiranje emailov/prijav na vaši spletni strani, blogu…

Screen Shot 2016-04-29 at 12.42.36

Kako “postavimo” obrazec na WP strani:

  1. Prijavite se v vaš wp-admin
  2. Namestite si vtičnik (plugin) imenovan WP Marketing Screen Shot 2016-04-28 at 11.00.43
  3. Ko bo vtičnik nameščen boste na stranskem meniju opazili kategorijo Marketing Screen Shot 2016-04-28 at 11.02.37
  4. Kliknite na Create New CTA (call-to-action)
  5. Vpišite ime CTA (za vašo evidenco)
  6. Izberite kaj želite, da CTA naredi > Ker želimo ustvariti obrazec za e-novice kliknite na Screen Shot 2016-04-28 at 11.05.28
    Contact Form.
  7. Izberite kje naj se obrazec na strani pokaže (zgoraj, spodaj, na sredini, levo,desno)

SETUP (namestitev):

  1. Vpišite naslov obrazca, ki ga bodo obiskovalci strani/bloga videli (What is the headline?) > napr. Prijavi se na naše super e-novice.
  2. Napišite kratko vsebino (What is the subhedline or content paragraph?)
  3. Dodajte polja, ki so potrebna za prijavo na e-novice (napr. ime, email) > Add Field
  4. Želimo pridobiti ime potem izberite > Text > Lable (Ime) > Key (name) > Placeholder (kar se bo videlo v okencu > tvoje/vaše ime)
  5. Potrebujemo še email polje, izberite > Email > Lable (email) > Key (email) > Placeholder (email)
  6. Sedaj rabimo še gumb za potrditev > polje (What should the submit button say?). Napr. potrdi, vpiši se, prijavi me….
  7. Shranite spremembe (Save Changes)

APPEARANCE (izgled):

  1. Obkljukajte > Show a close button
  2. Izberite med barvami naslova, vsebine, gumba…tako, da se bo obrazec lepo ujemal z vašo stranjo.
  3. Izberite širino obrazca v px
  4. Shranite spremembe (Save Changes)

VISIBILITY (vidnost):

  1. Po kolikšnem času naj se obrazec prikaže obiskovalcu? Pojdite pod Visibility > How many seconds to delay before showing? Vpišite sekunde.
  2. Izberete lahko tudi kje naj se obrazec ne prikaže > napr. na mobilnih napravah.
  3. Pri What event should display this CTA? nastavite On Page Load (ali kaj drugega – sami lahko izberete)
  4. Pri When should this CTA be shown to a visitor? pa lahko nastavite Every Time until They Interact (lahko izberete tudi enkrat, enkrat na dan….)
  5. Shrani spremembe (Save Changes)

ACTIONS (dejanja):

Ker se želimo uporabniku zahvaliti za prijavo v naše e-novice pojdimo pod:

  1. Actions > What is the on-page thank you message? Napišite napr; hvala, hvala za vašo prijavo, sedaj boste prejemali najbolj nore novičke….
  2. Lahko dodate tudi t.i. Notification email, ki ga prejme uporabnik (Add Notification Email).
  3. Shranite spremembe (Save Changes)

KJE VIDIM KDO SE JE PRIJAVIL?

Pojdite pod Responses (odzivi).

Video kako uporabiti WP-Marketing CTA