 Tak já jsem rád, že vás tady můžu přivítat na WorldCampu a že mám tu čest zahájit tohle tu skvělou akci. Já jsem v Ládě Smitka, jsem s Firmy Lint, nás můžete zná předevši nějakou ppc čkaře, ale zelem k tomu, že máme silní technoluský zázeň, tak děláme ji server a tak víhle věci, takže se to dopustíme. Tak moje přednáška se jmenuje nejčastnější problémivor prs webu a začneme jen tak zlehka, jo, ještě, jedna organizační. V mojí přednášce bude spousty různych odkazů a abyste se nemysle opisovat, tak tady je Google Document, odkaz na Google Document, kde všechny jsou vypsaní. Teď začneme jak zlehka, takový má drobný, má problémkama, což je popc webu. Há, há, há, jako by to je fakt jako hrozný problém, že tam tohle jste nikdo nechá, ale zeptam se vás. Víte, kolik máte na Slovensku WordPress webu, nějaký čísla házejte. Nicmo se slyším. Uvidíme, já jsem svět jako výzkum, takže já to vůpavim, zachvělku vám to řeknu. Ale, když dáte hledat do Google, len další WordPress stránka, tak vám to nojde 14 000 výsledků, což rádně jsou stránky, jakové podstránky. Samotných webů se našel s 722, což je 1,2 % slovenských WordPress webů. Takže 1,2 % WordPress webů na Slovensku jsou len len další WordPress stránky. Pardon, jsem to řekl špatně, ale nějak tak. Podle mě teda, co jsem provet ten výzkum, tak jsem našel 290 000 webů obecně na Slovensku, s tím, že z těch 290 000 bylo 13 000 mimo botka SK Doménum, typu je třeba .eu, info.com a tak dál. A z toho len z toho množství bylo 60 000 WordPress webů, což je 20 %. Takže podle mě na Slovensku máte 290 000 webů a 20 % z nich je na WordPressu. Tak, to je to byl jakový drobnoučkej problémek. Dál, na co se často zapomíná, tak je, že mnoho webů, když ho nysledete WordPress, tak tam jsou připravené nějaké ukázkové příspěvky a mnoho lidí tam zapomené příspěvek s ID-čkem 1. A co hůř, většinu nechaj povolený komentář. Iž když příspěvek nikde není vidět, tak pořád dovolujete někomu prostě ho přestůlecu speciální adresu na vštívit a vkládá tam komentáře. Většinu nějaký nás pamoví. Takže je fajn použít nějaký anti-spamový plugin, obecněž požijáte komentáře. Základní cási WordPressu máte Akismet, ale použil z poust, který zapomíná na to, že tenhle jsem plug-in nepotřeba nejdřív aktivovat, aby fungoval. Takže často tam lidí mají, ale není aktivní, takže vlastně nic nedělá. Ta aktivace tak víceméně potřebujete si koupit licenci, která pro osobní použití může být za darmo, pro komerční stojí pár dolarů. Když nechcete použi, Akismet, tak velmi dobrý plugin, který mám dobrý skušenosti, jenom zpam NX, a případňá, sám si píšu nějaký experimentální plugin, který není pro každého, ale funguje mi docela dobře, takže kde by někdo chtěl, může ho vyskoušet. Tak. Zase do kontekstu slovenském internetu, tenhle jsem výchozí přístupy WP1, zůstal na 13.700 webech a na 9.500 16% slovenských WordPress webů jsou na tomhle přípěvku povolení komendáře. Myslím si, že nevšichni provozovatelé těchto webů chtěj, aby tyhle si komentáře byli vypnutí. V WordPressu ještě problém v tom, že když už je tam ten přípěv, vytvořený, a vy si v administrace ty komentáře vypnetí, tak to nastavení se z toho, až k nově přidanej přípěvku. Takže tam zůstal ten ten tajdníčka, ahoj Svete, tak na něm ty komendáře pro nás dostávajíc povolení. Tak, další věc, seuplaginy. Skoro každý použájá, jaký seuplagin a já se vyskadku kladu takovou otázku, jako k čemu vlastně otámáte. Protože se setkávám se spousty webma, kde ten seuplaginy ale vůbec jsem tvůrce jakoby nedělal žádnýho nastavení, takže jenom zapnul, a myslí si, že mám staráno, což jako není úplně pravda. To je v tomhle som přípěv, ten seuplagin tam nejspíš, takže níčemu než aby fungoval tak jako dobře. A když se koukneme na to, co vlastně nějaké seuplaginy dělají, takové je hlavní funkce za mě, takže generují site mapů. Všechny ty ostatní věci, jakože dodáva nějaký mikrodata a přidáva nějaký metatagi, tak tu jsou věci, kterýž máte dobrou šablonu, tak šablonu by to měla udělat bez toho seuplaginu. Tak další věc o ty seuplaginy dělají také, že můžou potřeba povolit indexa cienlových přispěv kvůli většinou chcete mít povolenu což je výchozí stav, je to hlavné nastavení taky není úplně nic ekstra. A můžete opravdu metadescription třeba, což je fajn, když se tom vyjenojete, když prostě tak, jakoby to děláte pečlivě, ješto pečlivě neděláte, tak to může být jakoby i na škodu než, aby tom přinesla nějaký užitech. Takže jakoby otázka, jestli ten seuplaginy vůbec potřeba a to by si myslíme, jakoby položit, jakoby všichni tvůrci, jestli to zvládnou v šabloně nebo, jestli opravdu ten seuplagin potřebujou. Proto je ty seuplagina, jak jsou rozšíchření, tak jakoby vyžarů poměrně hodně údržby často vychází aktualizace a tak, takže to poměrně věc, která může na druhou stranou přiníst spousty práce. Tak, jináko se v kontekstu slovenského internetu, nejznámější seuplaginy je vcel, tak ten použá 2,8% webů a all-in-one seupec, tak ten se našla na 9%. Tak, když už řešte nějaký seu, tak byste asi chtěli používat nějakou analitiku, abyste věděli, se to je vůbec k něčemu, nebo ne. Takže, byste měli mít násazené nějaký analitický nástroje, což je nejčastější Google Analytics. Ten se dá zase vložit několik způsob mam, můžete náklad nějaké za speciální plagy nebo tak, nebo se o tam vlád, přímo. Když už se řešte analitiku na nějaký vysík s analitiksem, chci bude ten dávaj nějaký konverzní kody, nebo tak, tak proto jsem přípate určitě dobrý, jako rovnou na sej Google Tech Manager, který vám všechno to nesou zařítí a když pak marketiák si spomene, že chce přítat nějaký nový konverzní kod, tak vy nemusí se na to do webu, může se to sám ten marketiák na tukar Google Tech Manageru. Když to šaplóna neumí, tak tady je asi plug-in, který vám pomůže to tam dodat. Tak. Když jsem koukávat ten slovenský internet 56% webů, tak vůbec GA čko nemá a GTM koje na 8% takže jako by myslím si, myslím si, že ještě, jako v té analitice se se nádrušku zapracovat. Ještě, ten plug-in na vložení GA kodu už si stáne nějaký super oblíbený mega plug-in. Travějskou začnosti dělá prácticamente jenom něco, tady těná si kváda řádek, takže jako za svou táske si to potřeba nebo je si nestačí náhodu tam vložit pár drobných ráde kodu. Tak. Pár typů do GA ček. Tak. Určitě byste si měli dát pozor na to, abyste měli správně nastavenou zemi protože a časový pásmo, protožež to nemáte, tak Google Analytics vopunoci vám zařízne všechny návště, začne počas novů. Což boužel, když je tam předefinovaný těch minus 8 hodin, nikam do Ameriky, tak nám vychází docela na začátek takový pracovní doby, kdy ta návštěnů se poměrně velká a může vám to dostskreslit, dostskreslit udaje. Tak. Vyločit robotistov s Analytics, to je fajn, pak měli byste si, měli byste se, měli byste se vyločit sami sebe, abyste si nekazili data, proto je kolikrát vidím menší weby, jak jsou vnačené, že tam mají své návště vyhlele většinů, to jsou třeba samé, ty samé majetele, aktyž bebu díky koukaj, jestli v ním tam nepřípené do komentárnému tak, takže je dobré vychlele vyloučit nohře svoje IP adresy. My to u nás děláme tak, že máme jakoby mini-plagin který vlastně, když někdo vlzete do administrace, jak to nastaví kukíčko, a blastčí, tak se nepojští vbez Analytica, takže prakticky ať se pak náš člověk, jakoby připojí do toho, na ten WordPress pod Kuťkoli v símnotku, je automaticky vyloučený. Vevrpress má ty většinou vyhledávání, tak jako zaplnout si určitě vyhledávání na webu. A velký, jako problém posledních let, tak je ReferalsPen, když se vlastně roboti snažívám tam jakoby vložit nějaký fejkový odkaze na váš web, tak to srdá veloučitím, že si povolíte pouze váš web, aby vlastně ty stránky, co byli byli jem z vašem webu. V posledním roce tak jsem řešil opravdu hodně problémů s odesíláním e-mailů, kdy vlastně všichni předtvrdzojo vboji proti spemu a je potřeba kysprávně nastavit e-mailing. V základu WordPress používá PHY funkci mail a když máte na zdilém hostingu, jak je problém, že se všechno odesíla z IP adresy to hostingu, kde je prostě třeba 100k, 200k dalších webů, a když nějaký z nich byl třeba napadenej, tak ta adresa se ostane na nějaký blacklist a všechny ty lensty weby, co tam jsou, tak nejenou přestanou funguvat e-maily. Takže proto, byste si měli na ty vlastní semoteple server třeba Gmail nebo cokoliv používáte. Sú vlastně na to plug-iny, ale já nejsou takový fundatích plug-inů, takže tady vlastně ten plug-in zase dělá to, že tady vloží pár řáde kodu, takže asi nejdou nic zložitýho, na co byste potřeba plug-in. Tak, většinou na těch webách máte nějaký kontaktní formulářa, tam se velká jako často dělá chybatá, že se odesílatel nastavuje nějak takhle, což znamená, že ten e-mail se tváří, jakoby odesla ten zákazník. To však narazí na to, že běžná antispamola, jakoby featurea, tak je center v policifraywork, který vlastně tak každá doména si může vybrat, z jakých IP adres její ménem lze odesvět e-maily. Pokud to jen kdo to odeslala nastavení, když náš web tohlen co to nemůže odeslat. Proto je to ten antispampak zahodí. Takže byste proto, když ceté dělá se, abyste mohli jednoduše odpovědětom na tomu, kdo poslal tu poptávku třeba, tak v kontaktform sedům nebo věných plug-iných tak je potřeba to říděl přes reply tu hlavičku, to si já takhle. A už můžete jednoduše, tady je vlastně virtuální adresa vašeho webu, ale když dáte odpovědět, tak to jde tomu zákazníkovi. Když si to potřebete votestovat, už je to doporušu vyskoušet, tak je dobrý poslat e-mail testovací na tohlenstvo adresu, tady se na hodnou jednorázovou, adresu na kterou ještě něco pošlete, tak vám provede analízu, co je dobře, co je špatně na tom vašem, v tom vašem mailovém ředěstci. Když to potřebujete vyskoušet, když nevíte jak to poslat, tak říkám, pokud použijáte vp celý, tak si můžete rovno závola ten e-mail a nebo tady mám mikroplagin, kterým si z WordPressu můžete jednodušet poslat e-mail, kam budete potřebovat. Tak. A strašně boložitý o vydomici, že e-mail není základu spolehlivá forma komunikace, takže pokud jsou pro vás nějaké poptávky z webů business critical, tak není fajn je opravdu poslat e-mailem a rovnou si tráty poptávky z webů do nějaké databáze, pro kontakt form se nůmě třeba tady plug-in flamingo, ale ich spousty další. Tak. Ty problémy, který jsou, který ten e-mail tester často ukáže, tak je nejčastě, že je špatná, jakoby návratová adresa, protože tu WordPress nějakým způsobem se snaží sám určit, a ne, vždycky se mu to povede. Takže tady vlastně mám malinké plug-inek, který to správně nastaví, pak často se setkává savinty SPF, to se stává především, v případě, že máte třeba Office 365 nebo tak, a on vám řekne nastavte tam tohlen 100. Ale ten Office 365 nebo třímil neví, že ještě ty e-maily budou odcháze třeba z vašeho webu konkrétního, takže potřeba to SPF kozkontrolovat a nastavit správně. Další problém, který se často vyskytuje taky, že si uděláte nějakou noménu, ale e-mail tam máte třána seznámu na Gmailu a prostu svojí doménu, kde byš všetem web tak úplně nastavujete mx-servery, poštovní servery, protože si myslíte, že tu doménu nebudete potřeba pro maily, ale antispamový nástroj kontrolojou, jestli vůbec existuje, takže kolikrát tohlen z toho může vy problém, proč e-mail nedojde. Reverzní záznám, to je více méně funkcionul, tak kdy ten antispam si dokážel, věře, že ten server, ze který je o ten e-mail odešel, takže je správně nastavený i dokážel, jakoby jich zjistí, kdo topil zpětně a tohlen z toho má musí nastavit bebo-ster, pokud to máte špatně a samozřejmě, pak když jsme mluvili o těch zdílených hostingách, tak tohle byli listovaná, které samozřejmě byli taky velký problém a to vyřešíte právě tím, vlastně jim se myslíte po serverem, tak. Pojďme na nějaký bezpečnostný problémy. Tak pro mě, jakoby bezpečnost, tak se skládá z několikakových klíčových část, které máte správný aktualizace, že limitujete neuspěšný pokusy pro přihlášení, používáte silný hesla a k tomu samozřejmě nějaký správce hesela, abyste ty hesla měli unigádní, protože člověk není schopnej vygenerovat dobří heslo zlavy. Měli byste mít správně ohlídaný právouživatelů, protože sekretářka určitě nepotřebujeme mít administrátovský právok celému webu a používá šifrovaný připojení k tomu tedy části, že byste všechno měli mít dobře zálohovaný, když když kdykoliv se musíte umět vrátit do bodu, kdy všechno ještě bylo v pořádku. Tak. Aktualizace. Ono to není moc vidět, ale jak jsem dělal ten velikánský průzk na tady vašeho slovenského internetu a tohle je graf, který ukazuje rozložení jednodnejich verzi, jak to tady máte. Když vám máme nejle čáru, tak to je verze WordPressu 3.6. Po tohle s tou čáru, když nevycháze nějakou dobu aktualizace a nikdy nebudou, takže 4% na všech webů už nikdy neobdrží bezpečnostní aktualizaci. Poděláme se na to trošku z detailu proti aktuální. Tady vidět, že třeba verze 49, tak tady je 26000 webů na týhlenství verzi, což z ní dobře. Jenom, že z těch v té verzi 49, tak z těch 26000 tady je 5000 o skoro 6000 nemá není tý verze 495, což je poslední. Vyníkdo proč? Poděláme se ještě takhle koláček. Když se poděláme blížak je to 49, tak největší část je na 495 aktuální, ale můžem tady vidět, že 15% je verze 493. Víte někdo proč? Je to tak? Martín, ovídej. Přesně tak. 493 měla v sobě chybu, která rozbal automatické aktualizace. To je tady tohlensta část správců, webů, tak úbec nesleduje dění kolem WordPressů a nezmáčklo si ručně tlačítko aktualizovat. A pokud jim to nikdo neřekne, tak jako tačí v verze 493 tam asi bude navždy. Tak když to ještě skarnu do nějakého jednodušiografu, tak můžeme jednoduši říct 22% všech slovenských webů s toho teda těch 7%, když se to přepočítá tak je ta verze 493 vytrž. Vytrž. Tady tenhlensten výskum co jsem dělal, tak říkám, ešti tady bude spousty daznějní, já jsem ho před 3 malety, před 3 malety jsem ho dělal pro Českou. Pro Českou republiku, tady jsem můžete nadkazu podívat, jak jsme dopadli mi v Čechách před 3 lety a možná, nejco napíšují tak, takže aktulizacím, tak jak jsme viděli tak prostě o hromí mnou svítěch webů nemá správný aktulizace a je potřeba se řidi pravidlem, že každý open source, tak je potřeba potřeba pravidelně aktulizovat, tomu, abyste mohli aktulizovat, musíte vidět, že je potřeba něco aktulizovat, takže můžete použít plug-in web update notifier, který vám pošle e-mail když je spolit si nějaká aktulizace plug-inu nebo jádra nebo použít systémy pro hromadnou správu, což je ideální případ tak, ty systémy pro hromadnou správu, tak jak mohle máte ve správy a dva weby tak je dobře používat, máte nějaký dashboard, kde máte všechny ty weby co provozujete a vidíte který z nich potřeba aktulizovat, kde jsou nějaký problémy a tak my osobně používáme ten min výplí a jsme s ním velmi spokojení nicméně, těch možností možností je několik, Martin tak tak nejčastější jako důvod proč se neaktulizuje, se setkávám s tím, že tvůrce webů provet nějaký upravy přímo v trávku úplný šabloně a řeknou majitele že jak Milho aktulizuje ten web tak jako by je přijde o ty svoje upravy, kterých si zaplatil a má strašně má smůl tak s ním asi se použil, že pořád dneska setkávám, že tvůrci webů nebo obecně tak, obecně prostě co si koupili za premiovej obsah a odrazujou provozovatelé od updateů, což je strašně špatný, když děláte jakýkoliv upravy v šabloně, tak byste si měli vytvořit child-team, kdo neví co to je tak tady je návod na veplamně jak to udělat, je to vlastně takový miror toho hlavního webu tak, jak na vlastní upravy takže jak jsme říkali, když chcete něco upravit, tak požijete tohle child-team a ten svůj vlastní upravený codát do Functions.php nebo si napíšete vlastní plugin což jen je takové strašně děsivě ale ve skutečnosti, napsat si vlastní plugin do Word presuje strašně do duchy tohlem se je prakticky veškerej kod pluginu, aby to ješlo v nějakým způsobem fungovat, musíte tam být napsat jenom plugin nejím, to je všechno a ten kod, který teďka jste si dávali někam do Functions.php, tu řádku tak si můžete dát sema, bojete fungovat úplně stejně tak bavili jsme sodi vysokých právech a zmíl jsem mnou sekretářku sedkávám se s tím, že mi klienti říká, že to sekretářka má administratorství práva proto aby mohla změnit aktulitu v nějakém vžetu protože použil ve Word presu v základním nastavení tak pouze administratoru může mít vžety a menu není to růvod, proč by měla mít sekretářka administratorství práva tylenci dva řátky zase způsobí to, že menší rolem můžete zrovna upravovat jenom ty vyžety a to menu a nemůže hraba do pluginů a dalších věcí samozřejmě, když nechcete přidávat řátky, tak zase na to existé ve Word presu jako na všechno plugin který má pěkný uživatelský rozarení kdy to můžete naklikat kdo, co může a jak tak problém s bezpečností, se kterým se sedkávám tak je snaha extrémně užetřit a sedkávám se s tím, že spousty lidí nahrává do jednoho webového prostoru víc webů někdo to můžete říká multi-hosting ale multi-hosting to ve skoličnosti není kde o to, že když máte v jednom prostoru více webů když jeden z těch webů jako je napadenej, tak když nějaký máte perfektně zabezpečený tak přes file system tak vám ten web může napanu všechny ty ostatní weby a vy to můžete do kolečka odvěrovávat, zištěvat co se děje všechny zopřímáte všechno aktuální ale někde vám tam prostě straší nějaký web, který aktuální není a je v něm vyrus, takže na to len se potřeba dávat pozor, tady mám nějaký svůj file browser, kterým si můžete odestovat kamáž projít si vlastně tu adresářou strukturu toho webu kam ty skrypti vlastně můžou tak, když jsme se bavili o tom web hostingu, tak jsem v tom mojem průzku musem zišťoval kde vlastně ty slovenské weby pěší to celá mě překvapilo, že ohromný hráč je web support kde bychí 43% 43% slovenských webů a dál už pak pár procent máme jimi Češi u vás VEDOS Acty 24 a tady tyhle si 28 kouků ale od tyhle si 3 tak jsou tak jsou spíš serverhousingy kde může být nějaký další web hoster ale já ho nejsem schopný rozlešit pro lajpí adresy tak he, to tepus je tady někdo kdo má web jenom na he-to-to-to-po tak pár problém, když máte na he-to-to-to-po je, že vlastně bezpečně přináši data v svých návšemní kumunostu když si pod tím představí, že někde v nějaký kavárně ten hacker zakuklený, který útočí na ten web, bezpečnosti on není pravda protože připojete se třeba domáv s vlastní sítě, připojete se v práci z různých sítí, a tě doutry musí být aktuální nemusí být aktualizovaný a i ten samotný router někde, tak může prostě krás data takže když jste na posled aktualizouli firmware ve svém domácěm routeru je tady někdo do toho dělal jdeme třeba poslední z 14 dnů jdeme dobrý tak další výrohlet o tepusu je, že můžte počít nový moderný protocol o tepusu a získáte tedy výkon když máte HTTPS tak můžete použít Google nákupit což je poměny dobrý konverzní kanál HTTPS to neskou už nejde zaregistrovat a důvody proč nemí HTTPS tak jako neznam žádnej pokud někdo nějakej zná tak můžete po přednášce říct a v můj kísku ukázal že HTTPS na Slovensku použí jen 28% webů což je teda jako dost málo si myslím jak nastavit HTTPS je to jednoduchý mít se moje stačí ve WordPressom administraci změtate HTTPS a je to bohuželíš už tam nějaký obsah máte z dřívějška tak musíte přiházet všechny odkazy HTTPS a byli HTTPS a pak přesměrovat ty přesměrovávání tak třeba pro HTTPS tak tady mám můj zorové HTTPS a pomůžou tak musíte přihodit všechny odkazy HTTPS což musíte provízt v databázy tady je příkaz který to udělá pro obsah ale to vám ještě vydět a menu takže to není úplně nejlepší cesta ale když ten web je jednoduchý tak v tom může stačit pak je, když použáte web pokud to chcete udělat správně tak můžete použdět skryp od interconnectu který vlastně v té databázy všechno nahradí i v tom menu, i v těch vydětech a v poslední variantak to udělá použ nějaký plugin který tu by přehozolat ale to je problém k tom, že to jsou tohle co přehození, tak se děje zachodu vždycky a kdyby jste ten plugin vypnul tak se vrátíte zpátky zpátky, kde jste byli tak se jste rádí a tohle je to jednoduché, kdo je především den hosting a tohle dneska každý v hosting jako si myslím, že umí a jo počká aktivovat nějakým z vůzupě růčně takže to si skontrolujte tak o tom mají web hostingy podporu která vám s tím ráda pomůže když se vyniče platíte tak já to do ní jako obrém je to vždycké, o ním požílat telského v ní zkají, že prostě si to lepo tím hostingu, hledete se mále tak tak čím se můžete setkat za problémy, když se nastaví tehtetepas tak, první problém je, že nemusí by na tom serveru správně nastavený protože si se v tom, že je tehtetepas ale pořád nemusí byť úplně bezpečný tak tady je stránka kde která vám prověří, jestli má to pravdou dobře nastavený setkávám se s tím, že ve spousti dispozích jestli zátelec Encrypt to je vlastně certifikát, který můžete mít úplně za darmo a aby se to mohli použiake především podpora, nutná podpora toho serveru, mimo toho hostingu a hodně dispozích se jako by lidí háde, jestli ten lec Encrypt jaké za darmo, jestli je dostatečné nebo není dostatečné, já si myslím, že naprosto dostatečné, protože u té bezpečnosti nejde až o ten certifikát samotné, ale o to nastavení toho serveru. Tak pokud váš viboster používá nezvanou reverzní proksy, to znamená, že vlastně ten provoz šifrovanej, co tam vleze takho na svou hranici ono dešifruje a posíjela na ten web to se dělá pro ušičení výkonu, pro nějaký outbalancing tak si můžete setkat s tím, že se má dvoří smička přesměrování že vlastně přijde šifrovanej provoz ta proksina ho rozšifruje, přijde to wordpressu a wordpress řekne hele to mělo byť šifrovaný a vrátí to zpátky a tyto asi přijde šifrovaný proksina přijde to na wordpress a on řekne hele to mělo byť šifrovaný a přesměroje to takhle do kolečka znovu tak pokud se vám to len s to děje tak ty tělenci chvála řádku třeba do webkonfigu vám to opraví tak sodál mimo teda datku uživatelů a tak můžete zacitlivý informace s to wordpressu získat noho lidí si myslí, že verze wordpressu je jak extremně citlivá informace a mělaby se skrajvat mělaby se skrajvat já si to nemyslím protože vždycky je to pojď s vytrným a mlínama když chcete prostě tu verze wordpressu skrít tak vždycky se není nějaký způsob jak ten třeba utočení kdybych chtěl taky zistí takže je to úplně zbytšení to dělat více o tom jsem napřesnoutom článek větší problém je než řešit nějakou verze wordpressu tak se myslím, že problém v tom, že wordpress ukazuje uživatelský ména když většivěte tu lenstvu adresu tak vám wordpress řekne vlastně jaký uživatelský ménom a uživatelčí slovedná takže pětšinou Armin vy byste to nánov zaplokovali tak wordpress má nyní rest appy a přes tu lenstvu adresu tak zase můžete nechat si vypšat vypšat se znamších uživatelů který na ten web přispívali a dokonce vám to tam i prakticky prozradí i mailové adresy co si myslím, že jaký špatně další věc co wordpress prozrazuje tak jsou, když to máte špatně nastavené tak cesta na serveru vlastně kde ten web je umístěné což to musí říká fulpa v diskloužer a to je problém v tom, že vlastně když už by na ten váš web mě kdo utočil, tak to len se další díle do skládačky celého toho vašeho webu a z tý vlastně celý tý cesty je třeba skupný poznat který je systém na správu těch webů který byl se mohou být eksploitovatelný nebo jaké to tam tři dění kde najde další weby, dalších klientů na který může utočit a tak a jestli to váš web zobrazuje tak můžete se zkusit nevšet tu lenct odresu a může vám vyskočit hláška když jí tam mu vidíte tak máte tam tu lenctu chybu další problém se kterým se podivně často taky setká vám tak je, že váš wordpress prozrazuje než nedám lomenu index, PHP a nedám třeba web-applou web-content-lomenu-applou tak mi občas ukáře co tam žije všechno za soubory což v lepším případě může víz k tomu, že třeba s někdo stane k nějakým fotkám, který neměli by přístupný jakoby pro neregistrovaný návštěvníky třeba v orčším případě tam najdu třeba zálohy třeba databáze nebo něco takový ho, což už jako by problém přidám sohysla takže určitě by web nipisovat na redesáře to vypadá vlastně nekle takováhle stránka když sám zoprazí, je to špatně a docela ešte horší věc, která se může stát když použáte moderní vývoví metody použáte git a tak to ještě ten git necháte světu otevřený složkutyčka git, tak vlastně praktycky dokoliv si může stáhnout zdrojáky vašeho webu včetně třeba sledu do databáze tak, jinánych zase pro kontext to vyčítání uživatelů je možný než 60% WordPress webu na Slovensku 58% zoprazuje ty chybový hlášky na 5% webu můžu vypisovat na redesáře a 0,2% webu tak máte zdrojáky dostupný takže praktycky to je 117 webů takže praktycky neskoužostů 117 webů na Slovensku tak další problém a... použel tohle jen z toho je špatný jdeme ujáme jaký lov takže když jsem procházal z weby jak jsem lovil, lovil, neslá ména takže když jsem zkusil admin-admin tak jsem ulovil 14 webů takže už mám dalších 14 webů do zbírky u tělenství tak na prostý většin už mi nikdo předběh a přesměroval ten web na nějaké erotické seznámky nebo tak to byl se maš druhý může tam dát prostě když ne používá to samozřejmě patný nápat a mít uživatelským jenu admin tak tam dávře Petter a hezlostiáky Petter takhle, tak ze 14 už jich mám 31 webůlovených nebo vás nebudu tam dávat nějaký takový hezlom tam slovo password to je už docela tajný že už jsem na 40 nebo vubejdu to, že tak jako nebůl psa že jako většina těch krujů jsou zahraniční že jo tak nám české slovenské hezlo jsem na 48 a aby se mi toho přepsalo tak sráme hezlo 1,2,3,4,5,6,7,8 57 takže už mám 57 dalších webů slovenských rozbírky jenom vyskoušají mi tě linsích základních pár jakoby hezl takže opravdu ty hezla když máte tak prostě neopakujte tak, jinak to užvatelský ménu admin tak je na 27% slovenských webů tak, jenom ještě takový kontekst je meslůmi, co to znamená a jestli kombinace už požiju 8 znaků tak to je 208 miliard kombinací které je potřeba vyskoušet když nikde mi unikne datapáze z těm hezlamáde bojí získám z toho díky tomu, že tam jsou otevřený to je hodně kdo si myslí, že to hodně nikdo? nikdo by nechtěl 208 miliard euro třeba tak, do kontekstu liší se to, liší se to v tom, jak je to hezlo uložený v datapázy když je uložený oblíbeným hežem md5 tak moje úplně obyčiná grafická karta těch 208 miliard zvládne všichni vyskoušet za 3,5 teřiny WordPress používá na md5 uložený PHP PHPaS což už mi to stíží, že těch 208 miliard bude uložený 31 hodin což nesledně taky špatný dnes takový průmyslový standard je hash backcrypt který městí 31 hodin uděláš 610 dní to už je fakt jako docad dlouho to už by mě asi nebavilo u toho sedět a málo se výžet, že vorpřesám od sebe, taky ten backcrypt můj nějaký plug-in, který vám o tam zapne je to prostě jenom změna konstlanty a WordPress, což nepoužívá tak kdyby ty je hesloutekli z tou datapází tak místo, aby se louskali 34 hodin tak prostě to by trvat prostě strašně dlouho tak zálohování jako bych s bezpečnostin jedinou součástí bezpečnostně zálohování takže kolikrát si třeba lidi říkaj o, můj Weboster jako by mi to všechno zálohuje a nemusím co to starat jenom, že co kdy se stane, že třeba policie v tomu Webosterové zabavíčekny servry tak jste docela jakoby nahraní, protože že mi zálohy má ten Weboster a ježi nefunguje, tak se k nímaně vy nedostanete nebož ten Weboster má technický problém nebo každopádně proto si myslím, že zálohy byste měli mít i někde samy jakoby aspoň nějaký svoj, aby z případěfa jakoho největších problémů jste byli schopný, ten web někam obnovit takže otázka, čím zálohovat na všechno má plug-in takže tady je pár plug-inů, který jsou v celku dobrý pokud používáte pokud používáte, pokud jste třeba webový studio, tak si myslím, že by se vám vyplatila investíci zelo back-up-buddy což je velmi dobrý zálohovací nástroj placený, ale v těch tarifách tak jako by pro velký počty webů tak je to smějšně levný hodně zajímavý nástroště WordPress což je vlastně přímo od automatiksu takže společnosti dá dělávor WordPress.com tak tohle jste jako by zálohovací nástroj který sleduje, že se cokoliv na vašem vůzměnilo, a jak mlec něco změnilo přidlejste článek nebo tak tak on sám rovnou provede zálohu takže prostě jakákoliv měna na webu využstí v zálohu, kyním do cloudu takže to je taky fajn sůžba tak je placená, ale není jak vrha nebo pokud máte vlastní server tak můžete pož nějaký vlastní řešení jak to děláme my tak otázka teda kam s ním takže kam zálohuva ty data neská frčí cloudových loužiště cloudových loužiště jsou velmi levný takže nevidím důvod proč je tam nedávat takže Amazon S3, Digital Ocean Spaces Backblaze B2 ta B2 je málo známe jako by cloud ale je hodně levné můžete to být variant a pokud se to užetřit nevíhode v tom, že je v Americe takže když něco zálohuje, tak to trošku jde přes ocean, tak to chvělku trvá ale cenový je to směšně levný můžete samozřejmě zálovať rádou Dropboxu nebo nějakých podobných služep, je to na vás aby se vám s tím dobře pracovalo tak, jak často myslím si, že v databázi byste si měli třeba každý den mít nějaký svůj vlastní abyste měli jistotu, že vám nic neuníklo pak samotný ty coupory toho WordPressu, tak jakoby otázka jak jsou moc nahraditelné já si myslím, že je to občas bytečný děkoje mít, protože vlastně stánuť zjádro WordPressu není problém, hodí jsem nějakou vlastní šablonu, když máte někde své zdrojáky lokalně tak taky není problém, donahrá tám pár plaginu, není problém jedinej problém je jsou i služka saploudama kde vlastně vy si můžete zákaznit tak tám náhrá další soupory, který myslím si, že po týdnu pořád doutřeba dohledat, ale můžete to být složdější, tak jdem na výkon tak nejšestější brzdy výkonu jsou v tom, že když na tvém hráte desítky různých plagin, na všechno plagin tak vám to docela dokáže zbrzdit protože víc plaginu je jednodoký, víc plaginu mětší výkon a mnohem vám rost ten rostou nároky na správu musíte utržovat aktualizovat a tak dál víc plaginu se bůh samozřejmě nejse vyšší ryzeku a tady jen takový testí, co plaginu dělá tak jsem vlastně nějaký malinký jednoduchý slaboučký vépesko kdy ten čistej WordPress tak v základu tak byl skopný vy generovat 16 stránek za vteřinu když jsem nahrál pár plaginu tak hned prostě to padlo na 3 jeho pravdu potřeba se zamysle si všechny ty plaginy potřebujete takový běžný zbytečný plaginy takže právě jak jsem říkal, neaktivonaj akismet, když tam máte akismet a nemáte aktivný, tak je zbytečné, vždyť se on moc výkon nesežeré, ale zase je to prostě věc která tam novíc je ikonky sociálních sítí jakoby to se řeší asi na dispozných fórech pořád o koleček doporušení na ikonky sociálních sítí jednou jsem s nám pohádal kůli tomu a výsledkem tý hádky bylo, že jsem celý jak udělat takový je to krásný den boxy, co je na boku stránky ty ty ikonky výždějí tak jsem napsal si 70 řádkama čistý oce SSK bez javascriptu, bez ničeho, bez plaginu takže jako by zase řekal nějaký nabobnaly plagin pro ikonky sociálních sítí bytečný další případci o slaydry já neznášem slaydry ale když předám musíte mít tak jak často se mění potřetem nějaký super plagin který jednou za rok použijete kůli tomu tam je gigantická administrace všeho možný myslím si, že spíšné taky se často setkávám s tím, že lidí zkoušejí různí plaginy na tom ostrojí mostingu což je špatný když jde se plaginu na přesměrování 301 pak je tam nechaj takže pak máte 10 plaginu které dějají to samý taky potřeba přemejšle trošku když lidá, tak je problém tak první věc, co byste měli přeladění výkonu tak je vyskoušecit do nějakého testru tady jsou nějaké neznámější testry a výsledek je vodopádový model na dvě částí na věc je ten první požerevek což je vlastně to, za jak rychlé vyspracuje všechny tedy vaše plaginy vykomunikuje teda testou databásia a druhá část jsou zdroje tak když máte tady ještě takový obecný hodně obecný odnoty kde byste se měli držet a když máte problém se zdroje to znamená, že jak načí dáte moc tak, měli byste s tím máte správní nastavní expire zlavičky, si máte kzipování protože to dokáže, jakoby když máte textový soukord cse zkažava scripty tak ohronný způsobem redukovat jejich velikost všechno ty testry mám řeknout co máte špatně takže jako by není to pak je těžký opravit za se v tom mojem vzorovém hatace jsou všechny ty příkazy do hatace jsou napsané pokud máte problém, že těch zdrův je hodně tak to můžete řešit že použite nějaký laser loading to znamená, že vlastně třeba obrázek se začne načíte až ten člověk doskrouluje k němu, že nemusíte když máte výpist článku, které dlouhý kilometr takhne načí všechny náhledové obrázky počká, že ten člověk tam doskroule často jiné doskrouluje takže účasnou epitečný a platí, že prostě nejlepší ten hatate po požeraverky žádnej takže v čim jiných uděláte tím lepší takový moderný, neská co by měli vlastně ty webostingy podporovat nebo postupně začít podporovat je právě ten protokol hatate po 2 který to načí dá ní docáho hodně zrychlí novinkou je teďka protokol TLS1-3, který pomáhá hatate po s třechlejším navázáním takže už takový jakoby tě řečí, že hatate po malý tak jako rozhodně neplatí a pokud továš webosting jakoby neumí, tak vám nic nebrání použít slutbu třetíh stranáků cd. která to třebuje umět tak když máte problém s obrázkami tak jako by často je to proto je sos bytečně velikánský takže prostě když potřebujete takovou leniatoru tak nemusíte mít bylbordovou velikostou obrázkou loženou každý obrázek většinu vde taky trošku optimalizovat zkůste si tématře nástrojí ten penangle nahrají tam obrázek a víte co s ním dělá pokud je to penangle, tak se možná občas budete divit pokud opravdu zjistíte, že ten problém je to optimální obrázku můžete skupit nějaký další plagin, který vám tu vaší galery medy bude poslubně procházet a optimalizovat tady jehle pár rákových známějších další problém je s fontama jako určitě potřebujete mít na svém webu 10 různych fontů z Google každý ten font se musí načíta prostě trvá to stává se pak takový ten problém že vlastně když jste na mobilu nevím, na záchodě a ty čekáte 10 minut koukáte na bílou stránku, než sam zoprazí text takže to musí dál prání, že nebudete použiatelnosti web fonty, nebo se použou nějaký speciální metody na načitání pokud máte podozřejmě, že ten problém dělá fonty zkuste si tehlence nástroj který vám prostě noje web a myslím, že skoro vše vám tady strašlivě vynadá, co to máte za zvěrstva který prostě testuje to, co běžně lidi netestujou takže určitě do protu vyskoušet a uvidíte co všechno vám tam najde jen tak pro úplnost taky se často na diskluzí chobevu je chybí media kritika je to proto že když nači dál ten google phone že jste tam zapoměli dopysat to je tyhlen z těch pár znaků když ten problém se ukáže, že není ve zdrujích ale v tom prvním požravku je ten pomalý plug-in což může být poměrně náročná operace jako vzákladovám to může pomoct plug-in.pl ciprofiler který je fakt hodně orientační ale ukáže vám jednodružě čitelný graf co se asi mohlo pomoho načítat mnohojme lepší query monitor což je plug-in, který vám ukáže kolik datapázových dotazů proběhlo, kolik externí voláni nenáky externí zdroje proběhlo a tak jste poměrně dobře schopný vysledovat, co se děje a samozřejmě pokusete vývojář tak jako by Blackfire a joutřeba to je násto na profilování PHP který vám dělá krásný graf co se kdyvolo, jak to loho trvalo a to je více méně nejedno značnější způsob, jak najít problém tak ty nejšestnější problém, co to řeší tak je, že vám ten web dělá tisí dotazů do datapáze což je prostě strašně špatně že to vám každý kvary monitor přemivují šaplony, přemivují plug-ins tak se stává že při každý načiní třeba ten plug-in testuje jestli správná license jestli prostě nejsou dostupný update ale to třeba trvá vteřin, měž vón vykomunikování kam zauceán ten test takže prostě tím, že použijete deset prémivých plug-inů různých výrobců třeba tak se může taky stá, že deset teřin čekáte jenom na to, že ty plug-ins si ověří, jestli máte správnou licensi koudy, že vlastně pak to volání který by občině trvalo jako jednou, bylo by to rychlej tak se trvalo milion krádo kolečka což zatíží cokoliv tak takhle hromba vypadá ten kvary monitor a tohle je takový deshboard kde vám každý počet dotazu a tak dál takhle vypadá Blackfire Iow který vám píše krásně jak levy tvoří grafík, co se kdy vole jak to probíhalo, jak dlouho to trvalo takže pokud máte své vývojí prostředí bych doporučoval, doporučoval ho vyzkoušet tak kešování samozřejmě, když se budete na nějakým foru ptát proč mám pomalý web tak vám všichni řeknout tak začnete kešovat ale kešování je poměne služitá problematika při kešování má spoustý možností může to vej prolížečí může to vejit nějakej web super cache nebo tak nasedvodnou může bej ob cache transientní cache pro objektovou cache spoustitěk vrste takže když to chcete mít správně můžete všechno tohle sloznát a ty lidi co radí většinout tak řeknout použijte nějaký web super cache nebo něco takového což je problém v tom, že oni neznaj ten kontext všeho, co vám o tom vypupiší a když použijete trvá web super cache na vukomersu tak tam je problém, protože to dělá právě celostránkou cache tak to už nemůžete mít zakašovaný takže musíte jít zase o nějakou vrstvojí nám tady mám rychle přihle co ty jednodlivý cache dělá čím se jaký nástra se pro to použijá co to dělá a to si můžete projít případně se mě zeptat pokud vás něco konkrétně o tom zajímá a už se přijíčíme do finále takže na zajtra bych vám doporušilo zase všechno aktualizovat udělat si tu záluho, byste měliš vám když si přece nefungovat otestujte si v těch nástrach co jsem dálvala rychlost webu zkůste si odeslat i-mail na ten ve mail testrat takte jestli prostě tam nejsou nějaký problémy a zkůste si pokud nemáte hetetepel tak ho nasaťte a vyskoušitě si se dopřinakonfigurovaný tak pak tady mám pár odkazů na své starší přednážky o výkonu a bezpečnosti a to je vše tak děkujem za přednážku teraz si prejstorná vaše otázky a k máte nějaké otázky co byste se chceli zpítat tak nechce se páčit odímí na Twitter a jo, ještě teď dám bonusík s to vyskumu jsou nějaké další otázky o hladom bezpečnosti nechce se páčit a když si vypí, udajel ti napředná se napšel jsem si skryptík který je ten web na vštívě a když na čtěhle hlavní stránku čal WordPressu tak tam kolik rázícíte můžete koukne s nám vidíte hlavíčky ještě moc ich plug-inu můžete vidět si tam Google Analytics poznáte co nám za Shablonu protože to má vlastně to je adres avope content lomeno teams, lomeno, ménu Shablony to je z toho neslouzitě zpoušitě informací to je sem udělal prostě skrypty který je zještě o nějakých 50 uši pak právě si tam je ten admin zkusim je sede větší z takovéto uživatelským ménu to je to akva kompleksenší problematika ale není to nic zložitýho a musíte vidět co chcete no databáze je to všetě databáze v WordPressu nedávám protože tam je vidět kolik z nich nebezpečnej ale více méně slovenský eskányk tak dává když zpouzit s nám všech eská domén to je toho neslouzitě doce když se podobný do chcete dělat u nás v těchách je to slotějšíc CZ-tyk tak tenhle se se znam nedává jsi musela fakt újat ropoty tedy procházeli web po webu prošel sem asi 50 milionů různých webů abych zjistě se znam web je český a tak takže je to docela složitý ale říkám u těch slovenských tak jako je to jednoduchý stánete si se znam těch všech domén co jsou od eskányku a máš jako by vlastní server nebo máš hosting tak jako když máš hosting tak to je záležitost webostra protože lec-encry funguje takže to je nějakoby skriptík a ten certifikát je plat nejenom 90 dní a je to ale udělný takže ten certifikát celopomatsky opravuje nějakým skriptem a ten musí provozovat ten weboster ale jako by pokudho podporuje weboster tak jako by to mělo teoretisk se činom zapnout, to je to ten certifikát požádáš a pak už se to samo všechno děje a nemusíš se oni starat Myslím, že jsem to viděl ještě jednu otázku tak ten sen útok jako každý nej to jenom protože to je teďka trend před rokem tak byl trend že se použili různí že tam byli affiliate odkazy na Alibabu před pár lety předtím tak jako bylo zase trend ale další weby aby připravil se nějaký botnet který pak schodí z tranky pilí ale to prostě ten trendová událost že to je zrovna ty minery ale brání se proti tom dá prostě proti každému jinému troku takže mít to aktualizovaný zjistí, že te weby jsou na tom webostinku izolované předejš nejsou tak jako by se to může objevět odkuďkoliv většinou chybou nějakým plug-inu a třeba já jsem to pozoroval lhní jsem právě řešil ten útok na tisících webek neudnou běvili banerin Alibabu a kdy jsem to skoumal tak jako by třeba ten utučník se připravil rok na ten útok že prostě rok hekoval weby zeštěval admin admin a rok si připravoval půdu dával na té weby nějaký backdoor a pak ten jeden den to prostě spustil že kolikrát prostě to nemusí být že vám to nikdo napadne a hned ten web slečne chovativně může se implementovat hodin nějaký backdoor kterým pak třeba za několik měsíců po prostě aktivuje a začne pácha takové špatnou činnost takže můžete třeba províz to že použete třeba wordfence nebo nějak nebo sukury, security scan který vám skontroulej si na tom webu náhodou nejsou nějaký prostě podivný soubory který tam nepatří když prostě oni vezmou když odtrvřete složku WP Includes tak tam jsou na mespovci souboru který jsme na WP pomilčká něco ale že ten utočník sem dá WP pomilčká test tak vy nevíte, že ten soubor na první pohled, že tam nepatří ten nejčastější jakoby nejčastější tríček nepohodají do šablonu jako 44 to je takový poměrně zajímavý spůsob se kterým jsou nějšetká máte šablonu kterým souboru 404 PHP výstřánky, že něco neexistuje a kolikrát takové oni tam na hrahu vlastníky 44 PHP, ale to není věděnete to se aktyvoje ten virus až když někdo navštíví neexistující stránku takže jo, přesně tak no, oni mi nikdy neřekli že mi to výhodní ale výce méně většinou to spočívá v tom, že tam ta objektová keš což je vlastně nějaký system který, vlastně, ty datáby se nemusli táct databáze z disků tak jsou uložené v rámce že jsou jechní mi rychlý přístup v WordPress na to je připravený nějenu v defaultu to není jakoby zapunutý protože on neví co za technologie ten virus se může podporovat takže kolikrát takový ten optimalizamý web hosting znamená že tam mají nastazaný tady nějaký Redis nebo APC nebo Mcash a do WordPressu vám tam na hraju prostě soubor, který s tím můjí pracovat tak třeba potřeba 80 dotazů do databáze aby se vykreslil a když půžit ty objektovou keš tak na prostu většinu ti dotazů nahradí přímo dotazem do rámky takže vám to zdedukuje třeba napět a to většinu bývá to jádro jakoby toho, tý optimalizace pro WordPress ale samozřejmě pak tam jsou věci jakobyž zprávný nastavený kešování kešovacích hlevičky nějaký spečnostní věci by tam teoreticky si měli být tak ještě mám jednou tásku no, obecně s multisejtou nemám žádný větší problém spíš jakoby co vedím za problém taky škálovatelnost protože když máte velkou multisejtů dělá 100 webů tak vlastně můj jsou všechny v jedných databázy a když použete nějaký běžený VPS tak prostě mít stovku prakticky WordPressových databází v jedný tak jako to musí zlávat jeden stroj když byste měli těch 100 webů oděleně tak když vám tady databázové se do přesném stačit pro problém jako ve škálování ne, že by to byl nějaký bezpečnostní problém nebo tak samozřejmě tam pak jakový problém jakoby že nějaký plug-in s ním počítají, takže ne musí všechno fungovat ale třeba hodně multisejta se používá pro jazykový mutace že máte vlastně lokalizovaný web akordá takový, že je to další site což je, myslím si doce dobrý použití