Niezaktualizowany WordPress i wtyczki, stare szablony w katalogach, a nieużywane wtyczki nie są usunięte. Sytuacje dość częste, choć stanowią mnóstwo furtek do zaatakowania Twojej strony.
Nowe funkcjonalności, albo załatane dziury, które wykryli użytkownicy lub autorzy – to główna motywacja wydawania aktualizacji WordPressa.
W skrócie. Jeśli masz nieaktualną wersję, to być może zawiera ona jakąś lukę bezpieczeństwa, poprzez którą napastnik może dobrać się do Twojej strony. Proste.
Jak często widzisz podobny komunikat? A może wyświetla Ci się permanentnie?
Bez obaw, kliknij w Zaktualizuj teraz. Zobaczysz ekran aktualizacji a na nim kilka ważnych informacji.
Przed rozpoczęciem aktualizacji, należy zrobić kopię zapasową całej bazy danych oraz plików na serwerze. W razie gdyby coś poszło nie tak, jesteś w stanie dość szybko przywrócić poprzednią wersję.
Oczywiście masa wtyczek chętnie zrobiłaby backupy za Ciebie, jednak trzymając się zasady ograniczania wtyczek, tę operację można zrobić samodzielnie.
Kopię bazy danych najprościej zrobić poprzez phpMyAdmin. Zaloguj się tam, wybierz bazę i dalej opcję eksport. Wyeksportowany plik zapisz w bezpiecznym miejscu.
Zaloguj się do serwera, gdzie umieszczona jest Twoja strona, poprzez FTP. Pobierz wszystkie pliki na lokalny dysk. W przypadku większych stron, może to chwile potrwać.
Aktualizację zarówno plików, jak i bazy warto robić regularnie i przechowywać kilka wersji wstecz. Nigdy nie wiadomo, kiedy przyda Ci się wersja bazy danych sprzed np. 30 dni. Zaraz po zainstalowaniu strony i jej uruchomieniu, warto zrobić pierwszy backup z wszystkimi czystymi, pierwotnymi plikami i przechowywać go.
Jeśli strona padnie Ci dziś, to nie masz gwarancji, czy pliki sprzed 20 dni nie były już zainfekowane.
Jeśli zrobiłeś już backupy plików, kliknij wreszcie Zaktualizuj teraz. Przez chwilę będą pobierać się pliki, zobaczysz ekran podobny do tego:
Po chwili, będzie już po wszystkim. Jeśli nie ma błędów, a strona wciąż działa, to aktualizacja powiodła się 🙂
Sprawa równie prosta, zaznaczasz te które chcesz zaktualizować i klikasz przycisk poniżej. Po chwili zobaczysz na ekranie raport z wykonanych aktualizacji.
Sprawdź, czy nie ma błędów, czy wszystko działa. To wszystko.
Dedykowaną, czyli mam na myśli taką, którą specjalnie dla Ciebie napisał programista i taką której nie ma w repozytorium WordPressa.
Taka wtyczka prawdopodobnie nie będzie wyświetlała komunikatów o aktualizacji. Jeśli masz obawy, czy jej wersja jest aktualna i bezpieczna, to koniecznie skontaktuj się z jej autorem.
Co więcej, po aktualizacji WordPressa, może się okazać, że Twoja dedykowana wtyczka nie radzi sobie z jego nową wersją.
Kupując np. wtyczki z codecanyon.net, zazwyczaj masz zapewnione aktualizacje przez kilka miesięcy, potem trzeba dodatkowo płacić 🙂 O nowych aktualizacjach zostaniesz powiadomiony zapewne mailowo a niektóre również wyświetlą taką informację w Twoim kokpicie WordPressa
Jeśli chodzi o aktualizacje, to do zrobienia są jeszcze motywy. A właściwie jeden motyw, bo chyba używasz tylko jednego? Ale o tym później…
Mając już doświadczenie przy wcześniejszych aktualizacjach, tutaj nie powinno być problemu, cały proces odbywa się analogicznie jak aktualizacja wtyczek. Zaznacz motyw(y), który chcesz zaktualizować i kliknij przycisk poniżej.
Po chwili otrzymasz wynik aktualizacji.
Jeśli wszystko się udało i nie ma błędów, to już wszystko.
Aby możliwie jak najszybciej zareagować na nowe wersje wtyczek jak i samego WordPressa, można ustawić ich automatyczną aktualizację. Są oczywiście wtyczki, które pomogą Ci to włączyć. Jednak jest to na tyle proste, że można włączyć tę funkcjonalność ręcznie.
W pliku functions.php, który umieszczony jest w katalogu głównym Twojego szablonu, trzeba dodać krótki fragment kodu. Odnajdź ten plik, otwórz go i na końcu dodaj taki oto fragment
add_filter( 'auto_update_plugin', '__return_true' );
Zapisz plik i gotowe.
Również wystarczy dodać kawałek kodu. Tym razem edytuj główny plik konfiguracyjny wp-config.php, który jest w głównym katalogu strony.
Na górze pliku dodaj taki fragment kodu:
define( 'WP_AUTO_UPDATE_CORE', true );
Zapisz plik.
Od teraz zarówno wtyczki, jak i rdzeń WordPressa będą aktualizowane automatycznie. Pamiętaj jednak by mieć nad tym kontrolę, obserwować co się dzieje na stronie i systematycznie tworzyć backupy.
Oficjalne repozytorium wtyczek WordPressa dostępne jest pod adresem pl.wordpress.org/plugins. Są tam wtyczki niejako rekomendowane, dzięki czemu można mieć większą pewność że są bezpieczne i niosą za sobą jakąś wartość. Nie oznacza to jednak, że nie musisz być czujny, nieraz można było usłyszeć o różnych dziurawych pluginach w tym miejscu.
Oceny użytkowników
Po wybraniu jakieś wtyczki, na jej stronie zobaczymy bardzo istotne informacje, np. oceny użytkowników. Ten wskaźnik, może nam bardzo dużo powiedzieć – wysoka ocena i spora ilość ocen, świadczy o tym, że wtyczka jednak ma jakieś sensowne zastosowanie 🙂
Ostatnia aktualizacja i kompatybilność z Twoją wersją WP
Ważną informacją jest również data ostatniej aktualizacji wtyczki. Jeśli taka była aktualizowana ostatnio ponad rok temu, to warto się zastanowić, czy chcesz instalować taką wtyczkę, czy będzie ona kompatybilna z aktualną wersją WordPressa i czy będzie ona w ogóle bezpieczna?
Ilość instalacji
Z jednej strony, duża ilość instalacji świadczy o tym, że wtyczka jest przydatna, prawdopodobnie często aktualizowana, użytkownicy wyłapali błędy… Z drugiej strony… to właśnie te popularne wtyczki są chętniej atakowane… 🙂
Wtyczki z repozytorium WP są też dostępne bezpośrednio z Twojego panelu administratora. W zakładce Wtyczki > Dodaj nową, zobaczysz listę wtyczek i wyszukiwarkę. Z tego miejsca możesz je łatwo zainstalować – kilkoma kliknięciami.
Na rynku jest dużo, bardzo dużo, sprzedawców wtyczek: firmy, osoby czy też całe markety pośredniczące w sprzedaży. Np: wpdesk.pl, firma, która dostarcza bardzo przydatne wtyczki do WooCommerce. Albo wspomniany już codecanyon.net, który jest ogromną platformą pośredniczącą w sprzedaży wtyczek do WordPressa ( i nie tylko ).
Przy wyborze sprzedawcy, warto sprawdzić jego opinie, wiarygodność, oceny wtyczki, poszukać, czy ktoś w ogóle jej używa. Dopytaj o aktualizacje, okres licencji, sposób płatności.
Kiedy zamawiasz wtyczkę u programisty, pisaną od podstaw specjalnie dla Ciebie, to musisz okazać się sporym zaufaniem do autora. Popularne wtyczki, powszechnie dostępne, trafiają od razu do sporej ilości użytkowników, którzy testują je, zgłaszają błędy a i często sprawdzają zabezpieczenia
Przy dedykowanej wtyczce, to Ty jesteś jedynym użytkownikiem i tak naprawdę nie masz gwarancji, czy wtyczka jest bezpieczna, czy będzie działać z kolejną wersją Worpdressa, czy jej autor dostarczy Ci jej aktualizację…
Płatne wtyczki kosztują 100, 300 a większe wdrożenia nawet 1000 zł. To spory wydatek i aż kusi, by poszukać w sieci, czy przypadkiem ktoś nie wrzucił tych wtyczek za darmo…
Pomijając fakt iż to kradzież i naruszenie licencji, to jest jeszcze jeden spory problem…
Na forach i tym podobnych miejscach znajdziesz linki do pobrania za darmo wtyczek i szablonów, za które normalnie musiałbyś zapłacić.
Czy to nie podejrzane?
Jaki interes miałby ktoś udostępniający taki link? Choćby taki, że wersja, którą udostępnia nie jest do końca oryginalna, zazwyczaj jest nieco zmodyfikowana… Ma dodany jakiś fragment kodu, który np. stanowi furtkę dostępu do Twojej strony, który potem może być różnorako wykorzystany.
Chyba nie chcesz wirusa na stronie?
Tak, te porozrzucane w sieci za darmo płatne wtyczki i szablony mogą być zawirusowane. A Ty, nie chcesz mieć wirusa na stronie, prawda?
Przygotowując stronę testujesz różne wtyczki, szukasz idealnego rozwiązania, pobierasz, instalujesz i nie używasz…
Masz takie? Zastanów się, po co Ci takie wtyczki, skoro są nieużywane, to są nieprzydatne. Być może nie przeszkadzają Ci, ale pobierają zasoby strony, pewnie uruchamiają się podczas jej ładowania. Pamiętaj, że każda wtyczka, to potencjalne zagrożenie dla strony. Wyłącz nieużywane wtyczki (a potem usuń).
Samo wyłączenie wtyczki, to jeszcze mało. Mimo, że nie jest ona wtedy używana przez WP, to jej kod wciąż leży na Twoim serwerze. A taki kod, tym bardziej jeśli nieaktualizowany, może być potencjalnym zagrożeniem.
Jeśli nie potrzebujesz jakiegoś pluginu, to usuń go trwale. Nawet jeśli twierdzisz, że być może przyda Ci się w przyszłości… to zawsze możesz pobrać na nowo.
Na liście wtyczek, możesz je łatwo wyłączyć i usunąć. Najpierw wyłącz nieużywane wtyczki. Te wyłączone możesz potem usunąć.
W zakładce Wygląd -> Motywy masz listę zainstalowanych i używanych motywów.
Ile motywów używasz jednocześnie?
Instalując czystego WordPressa, masz w standardzie kilka jego motywów, w tym tylko jeden, ten najnowszy jest w użyciu. Potem instalujesz jeszcze jeden (lub kilka własnych) do wyboru. Ostatecznie decydujesz się na jeden a reszta zalega nieużywana.
Nieużywane motywy zajmują niepotrzebnie miejsce na serwerze, zwiększają Ci objętość backupów i przede wszystkim stanowią zagrożenie – potencjalne luki w dostępnie do strony.
Jak widać na poniższym screenie: jeden motyw w użyciu, 6 zainstalowanych, z czego jeszcze 3 proszą o aktualizację…
Po najechaniu na dany motyw, pokaże się link Szczegóły motywu kliknij go. Otworzy się okienko ze szczegółami. Na dole, po prawo znajdziesz link Usuń śmiało kliknij w niego i usuń tym samym wszystkie nieużywane motywy.
Używanego aktualnie motywu prawdopodobnie nie będzie możliwości usunięcia… ale dla pewności miej to na uwadze i nie popełnij wpadki 🙂
WordPress wraz z tysiącami a może milionami wtyczek daje wręcz nieograniczone możliwości do budowania stron, sklepów, portali, blogów czy też innych naprawdę potężnych platform. I to bez potrzeby umiejętności kodowania, wszystko na zasadzie klikania w interfejs…
Czy to nie wspaniałe?
Oczywiście, że wspaniałe. Jednak takie rozszerzanie możliwości niesie za sobą kolejne niebezpieczeństwa. Instalujemy dziesiątki wtyczek, z czego używamy kilka. Nie aktualizujemy ich, nie dbamy o porządek, nie zwracamy uwagi na źródła ich pobierania…
Tak, każda wtyczka to dodatkowe (mniej lub bardziej przydatne) funkcjonalności dla Twojej strony, ale również zagrożenie. Wtyczka może mieć błędy, może mieć luki w bezpieczeństwie. Każda z nich może stanowić furtkę dla atakującego.
Nie potrzeba by wtyczka od razu dawała dostęp do serwera… Czasem wystarczy, że gdzieś w kodzie udostępni ścieżki do plików, ID albo nazwy użytkowników czy email…
Zmierzam do tego, abyś przed każdorazową instalacją wtyczki zastanowił się 2, 3 albo i 4 razy czy naprawdę potrzebujesz tej wtyczki, czy może jest jej bezpieczniejszy odpowiednik, czy może da się ją zastąpić prostym kodem w funkcjach szablonu.
Moje 7, najlepszych, sprawdzonych
sposobów na efektywną pracę zdalną
Do wdrożenia jeszcze dziś!
