WordPress – Bezpečnost

Je WordPress bezpečný, či nikoliv? To je oč tu běží. Sepsal jsem krátké shrnutí této hojně diskutované otázky. Můžete si přečíst, jak si myslím, že to skutečně s bezpečností (na) WordPressu je. V obecné rovině to zas taková věda totiž není.

Je WordPress bezpečný?

Na takto jednoduše položenou otázku musí být i stejně jednoduše odpovězeno.

„Ano. WordPress je bezpečný.” M.Hlaváč | Brilo.cz

Když totiž vezmu WordPress tak jak je k dispozici, tedy jádro, tak skutečně bezpečný je. Nesmíte ale zapomínat ho aktualizovat, aktualizovat a ještě jednou aktualizovat!

WordPress pravidelně aktualizujte

Možná si říkáte, proč aktualizace tak zdůrazňuji. Věřte nebo ne, poctivě totiž k těmto aktualizacím přistupuje jen hrstka uživatelů. A to i přesto, že se o nutnosti aktualizovat hojně píše a přehlédnout tato upozornění prakticky nelze. A tím vznikají zbytečné bezpečnostní problémy.

Dlužno podotknout, že s aktualizací mohou nastat také potíže. Jestliže používáte velké množství pluginů nebo špatně napsanou šablonu, pak aktualizací může dojít ke ztrátě funkčnosti některé části nebo dokonce celého webu. Tím se dostáváte do začarovaného kruhu.

Řešením bohužel není neaktualizovat, jak se mnozí uživatelé domnívají, nýbrž kvalitní technické řešení ať už celé šablony, nebo pluginů. U volně dostupných pluginů z veřejné databáze WordPress nebo u komerčních pluginů je třeba se informovat, ověřovat a zkoušet jejich funkčnost, či dopad na již běžící web. Nejlepším řešením jsou pochopitelně šablony a pluginy na míru od kvalitního dodavatele.

Jak to s tou bezpečností WP je ve skutečnosti?

Jak už jsem uvedl, WordPress bezpečný je. Na jeho vývoji se podílí stovky vývojářů po celém světě a má za sebou autoritu v podobě firmy Automattic¹, která na něm vyvíjí a provozuje svůj komerční produkt WordPress.com.

Ze statistik nejnavštěvovanějších webů na světě vyplývá, že více jak 25%² webů běží právě na WordPressu. Na základě toho můžete někdy slyšet, že ¼ internetu běží na WordPressu. Což je mírně zavádějící, ale upřímně řečeno, toto tvrzení není zas tak daleko od pravdy.

Není radno brát WordPress na lehkou váhu. Má pochopitelně i své klady a zápory. Nevýhodou je, že na základě velkého množství instalací se o WordPress zajímají i nejrůznější škodiči. WordPress je tak dennodenně na paškále³ a čas od času jsou na něj směřovány menší, či větší útoky, popř. vyplavou na povrch růžné bezpečností nedostatky.

Ovšem na druhou stranu za ním stojí právě stovky vývojářů po celém světě a používá ho velké množství uživatelů. Takže se na všechny problémy přijde vždy velmi rychle a nedostatky se ihned opraví. Proto je tak důležité aktualizovat.

Ale pozor, nenechte se zmýlit, toto se týká především/pouze “jádra”. Vaše vlastní šablony a pluginy, které používáte s tím nemají v podstatě nic společného. Ty mají své potíže, ale je otázka kdo si jich všímá, kdo o nich ví, a kdo je může zneužít. To už je totiž úplně jiný problém,který může a nemusí být vážný. Jeho rozměr by se dal nepřímo přirovnat k ceně řešení ve smyslu, čím nižší cena, tím větší potencionální problém.

Proto byste nikdy neměli při výběru dodavatele, a to nejen technického řešení, zbytečně šetřit. Zde se určitě vyplatí dbát na lidové rčení: dvakrát měř, jednou řež.

Jak se ideálně postarat o bezpečnost WordPressu?

Napadají nás dvě základní řešení. Buď se stanete sami experty na WordPress, další technologie a oblasti, které s tím souvisí (programování, správa, marketing atd.) a budete se o svůj web starat vlastními silami, anebo si (správně) vyberete a najmete dobrého dodavatele :-)

*) Pozn.:

1. Automattic řídí a vede Matt Mullenweg – zakladatel WordPressu tak, jak ho známe (dnes). Firma stojí například za WordPress.com. V současné době působí ve více jak 50 zemích světa a zaměstnává více jak 500 lidí, převážně na dálku.
2. W3Techs: Usage statistics and market share of WordPress for websites: https://w3techs.com/technologies/details/cm-wordpress/all/all
3. Sucuri Website Hacked Trend Report: https://sucuri.net/website-security/website-hacked-report