WordPress - Codovado – Agencja Interaktywna z Katowic

Strona internetowa to wciąż najpotężniejsze narzędzie sprzedaży B2B w 2025 roku

Dla wielu firm B2B sprzedaż od zawsze opierała się na tradycyjnych metodach: spotkaniach twarzą w twarz, targach branżowych i bezpośrednich rozmowach. Jednak w 2025 roku, w obliczu globalnej cyfryzacji, reguły gry uległy fundamentalnej zmianie. Dziś to strona internetowa stała się głównym polem bitwy o klienta biznesowego, ewoluując z prostej wizytówki w inteligentny, autonomiczny ekosystem sprzedażowy. W tym nowym cyfrowym krajobrazie kluczem do sukcesu nie jest już tylko obecność, ale strategiczne wykorzystanie sztucznej inteligencji, która rewolucjonizuje każdy etap interakcji z klientem — od wyszukiwania, poprzez kwalifikację leadów, aż po spersonalizowaną obsługę.

Ewolucja krajobrazu B2B: Od tradycji do cyfrowej dominacji

W 2025 roku krajobraz sprzedaży B2B uległ fundamentalnej transformacji. Tradycyjne kanały, takie jak targi branżowe, spotkania twarzą w twarz i aktywne pozyskiwanie klientów (cold calling), choć wciąż mają swoje miejsce w budowaniu relacji, coraz częściej ustępują pola platformom cyfrowym. Firmy B2B muszą uświadomić sobie, że główna bitwa o klienta rozgrywa się dziś w sieci, a transformacja cyfrowa jest już nie opcją, lecz warunkiem przetrwania. To strategiczny marketing internetowy stał się fundamentem.

Ewolucja ta jest napędzana przez rosnące oczekiwania nowego pokolenia kupujących biznesowych. Oczekują oni doświadczeń zakupowych równie płynnych, spersonalizowanych i dostępnych, jak te, których doświadczają jako konsumenci w sektorze B2C. Dane są jednoznaczne: już 91% kupujących B2B preferuje zakupy online, a handel cyfrowy w sektorze B2B osiąga obroty idące w setki miliardów złotych. W tym nowym środowisku, strona internetowa przestaje być zaledwie cyfrową wizytówką, a staje się autonomicznym ekosystemem sprzedażowym, skalowalnym, dostępnym 24/7 i niezrównanie efektywnym w pozyskiwaniu i kwalifikowaniu leadów.  

Projektowanie stron B2B na 2025 rok: od wizytówki do centrum operacyjnego

Współczesna strona internetowa w sektorze B2B musi być zaprojektowana nie z myślą o estetyce, lecz o wspieraniu całej, często złożonej, ścieżki zakupowej klienta biznesowego – od etapu świadomości problemu po konwersję. Nowoczesne witryny B2B są dynamicznymi narzędziami, które dostosowują się do użytkownika i automatyzują procesy, które tradycyjnie były domeną handlowców.  

Kluczowe trendy projektowe i funkcjonalne na 2025 rok odzwierciedlają to strategiczne podejście:

  • Personalizacja i nawigacja zorientowana na kupującego: Strony odchodzą od uniwersalnych treści. Coraz częściej, w oparciu o dane z systemów CRM i analizę behawioralną, dynamicznie dostosowują treści do profilu użytkownika, jego branży, roli czy etapu w lejku sprzedażowym. Treści takie jak historie sukcesu podobnych firm czy spersonalizowane oferty są wyświetlane automatycznie, co znacząco skraca proces decyzyjny.  
  • Budowanie zaufania i autorytetu: W sprzedaży B2B kluczowe jest zaufanie. Skuteczna strona internetowa musi od razu uwiarygodnić firmę w oczach potencjalnego partnera. Osiąga się to poprzez eksponowanie dowodów społecznych, takich jak logotypy znanych klientów, referencje, nagrody i certyfikaty branżowe. W przeciwieństwie do B2C, gdzie często wystarczą proste opinie, w B2B konieczne jest dostarczanie twardych dowodów kompetencji i sukcesów.  
  • Design „Maximalist Minimalism” i Mobile-First: Ten najnowszy trend łączy czystą, nowoczesną estetykę z bogactwem wizualnym, wykorzystując pogrubione kolory, animacje i dynamiczne elementy. Te zabiegi projektowe, choć wydają się czysto estetyczne, mają głębokie uzasadnienie biznesowe: zwiększają zaangażowanie i czas spędzany na stronie, co pozytywnie wpływa na User Experience (UX) witryny. Dłuższy czas na stronie i niższy współczynnik odrzuceń są z kolei kluczowymi sygnałami dla algorytmów Google i AI, które pozytywnie oceniają wartość i autorytet witryny, prowadząc do jej wyższej widoczności w wynikach wyszukiwania. Co więcej, w 2025 roku optymalizacja pod urządzenia mobilne (mobile-first design) jest absolutnie kluczowa. Blisko połowa globalnego ruchu internetowego pochodzi z urządzeń mobilnych, a 71% kupujących B2B oczekuje płynnego doświadczenia na smartfonach.  

Personalizacja treści na stronie, realizowana często poprzez integrację z systemami CRM, przekształca rolę tradycyjnego handlowca. Zamiast spędzać czas na początkowej „rozmowie” z każdym potencjalnym klientem, handlowcy stają się strategicznymi doradcami, którzy angażują się w proces dopiero w najbardziej krytycznych punktach lejka sprzedażowego. To  

strona internetowa przejmuje zadanie edukacji i wstępnej kwalifikacji, uwalniając ludzkie zasoby do zajmowania się złożonymi konsultacjami i finalizacją transakcji.

Sztuczna inteligencja rewolucjonizuje proces sprzedaży B2B

Sztuczna inteligencja (AI) przestała być futurystycznym hasłem; w 2025 roku jest ona niezbędnym elementem strategii marketingowych i sprzedażowych B2B. Firmy, które wdrożyły rozwiązania AI, odnotowują imponujące wyniki, takie jak 40% wyższe wskaźniki konwersji czy 60% redukcji czasu poświęcanego na ręczny research.  

AI SEO: Widoczność w nowej erze wyszukiwarek

W 2025 roku reguły gry w pozycjonowaniu stron (SEO) zostały przepisane przez AI. Wyszukiwarki, takie jak Google, coraz częściej dostarczają wyniki w postaci „AI Overviews” (AIOs), które kompresują informacje z wielu źródeł w jedną, natychmiastową odpowiedź. Ten model prowadzi do wzrostu zapytań typu „zero-click”, gdzie użytkownik uzyskuje odpowiedź bezpośrednio na stronie wyników wyszukiwania, bez konieczności przechodzenia na docelową witrynę.  

W tym nowym środowisku, tradycyjne SEO oparte na upychaniu słów kluczowych traci na znaczeniu. Nowe algorytmy faworyzują treści o wysokim autorytecie, poparte doświadczeniem i wiarygodnością, co jest kluczowym elementem wytycznych E-E-A-T (Experience, Expertise, Autorytet, Wiarygodność). Strategia SEO ewoluuje z „pozycjonowania na klucz” w „pozycjonowanie na wpływ”.  

Aby zoptymalizować treści pod kątem widoczności w erze AI, niezbędne są następujące działania:

  • Tworzenie eksperckich, wartościowych treści: Długie formy contentu, takie jak białe księgi, raporty i studia przypadków, są postrzegane przez AI jako bardziej wiarygodne i autorytatywne źródła wiedzy.  
  • Optymalizacja pod cytaty AI: W celu ułatwienia algorytmom ekstrakcji i cytowania informacji, należy stosować listy punktowane, tabele oraz znaczniki schema markup.
  • Budowanie autorytetu poza stroną: AI czerpie dane z całego ekosystemu online. Aktywność na platformach branżowych (LinkedIn, Reddit) i w mediach staje się kluczowym elementem strategii SEO, ponieważ AI wyszukuje i faworyzuje dyskusje i opinie w społecznościach.  

Zmiana w algorytmach wyszukiwarek wymaga od twórców treści strategicznego myślenia. Tradycyjne strategie oparte na „wypełniaczach” są wypierane przez konieczność inwestowania w wysokiej jakości, ekspercką treść. To sprawia, że rola content marketera przekształca się w analityczną i strategiczną. AI potrzebuje wiarygodnych danych, a wiarygodne dane pochodzą od autorytetów, których pozycję buduje się nie tylko poprzez pisanie, ale także poprzez głęboki research, zrozumienie branży i potwierdzanie swoich tez mierzalnymi danymi. AI jest też w stanie pomóc w tworzeniu treści z odpowiednimi słowami kluczowymi i automatycznie je optymalizować, co wspiera marketing internetowy firmy.  

Agenci AI: Sprzedawca, asystent i opiekun klienta w jednym

Agenci AI to już nie tylko proste chatboty, ale zaawansowane narzędzia, które integrują się z systemami CRM i automatyzują kluczowe procesy w całym cyklu sprzedaży. Ich wdrożenie pozwala na wyższą satysfakcję klienta przy niższych kosztach.  

Ich zastosowania w generowaniu i kwalifikacji leadów są liczne:

  • Lead scoring i kwalifikacja 24/7: Chatboty, zintegrowane ze stroną internetową lub kanałami społecznościowymi, zadają podstawowe pytania w celu sprawdzenia intencji użytkownika i jego wstępnej kwalifikacji. Na podstawie zebranych danych, systemy AI dynamicznie oceniają potencjał leada, a handlowcy mogą skupić się na tych kontaktach z najwyższym scoringiem, co zwiększa efektywność sprzedaży nawet o 50%. Przykładem może być platforma B2B Rocket, która pomogła partnerom w branży Luxury Partners pozyskać 30 leadów z 50-procentowym wskaźnikiem odpowiedzi w zaledwie 3 miesiące. Innym przykładem jest Zalando, które za pomocą chatbota śledzi zamówienia, uwalniając pracowników od rutynowych zadań.
  • Personalizacja w czasie rzeczywistym: AI analizuje historię przeglądania i profil biznesowy potencjalnego klienta, aby dynamicznie dostosowywać wyświetlane treści, np. sugerując konkretne studia przypadków lub oferty produktowe.  

Agenci AI rewolucjonizują również obsługę klienta:

  • Wsparcie 24/7: Wirtualni asystenci odpowiadają na najczęstsze pytania, skracając czas oczekiwania na odpowiedź. Firma Autodesk skróciła średni czas rozwiązania problemu z 1.5 dnia do zaledwie 5.4 minuty dzięki integracji wirtualnego asystenta opartego na AI.
  • Inteligentne przekazywanie: W przypadku złożonych problemów, AI bezproblemowo przekierowuje klienta do ludzkiego konsultanta, przekazując mu pełen kontekst rozmowy.

Wdrożenie agentów AI nie eliminuje ludzkiej pracy, a jedynie ją przekształca. Uwalniają ludzkich handlowców i konsultantów od rutynowych, powtarzalnych zadań, pozwalając im skupić się na budowaniu głębokich, długoterminowych relacji i zamykaniu złożonych transakcji. To zmiana z modelu „sprzedaży masowej” na „sprzedaż strategiczną”. Sztuczna inteligencja, dzięki swojej skalowalności, jest efektywna w obsłudze masowych zapytań i automatyzacji kwalifikacji leadów. To z kolei uwalnia cenny czas ludzkiego zespołu, który może być przeznaczony na głębszą, bardziej wartościową interakcję z najbardziej obiecującymi klientami. Warto jednak pamiętać, że wdrożenie AI jest procesem złożonym i kosztownym, a wiele firm nadal nie jest pewnych, jak i gdzie AI może przynieść korzyści biznesowe. Wymaga to połączenia wiedzy marketingowej, analitycznej i technologicznej.  

Treść to waluta: Case studies i inne formaty, które konwertują

W świecie B2B, gdzie decyzje zakupowe są oparte na logice, twardych danych i zaufaniu, treści są walutą. Case studies, czyli historie sukcesu klientów, stanowią najmocniejszy dowód społeczny i najskuteczniejsze narzędzie przekonywania. Pozwalają one potencjalnym klientom poczuć, że sami mogą być bohaterami podobnej historii, co przekłada się na konkretne rezultaty biznesowe.  

W erze AI, studia przypadków pełnią podwójną rolę:

  1. Przekonują ludzi: Dostarczają konkretnych „historii sukcesu” z mierzalnymi wynikami, które rezonują z ludzkimi emocjami i potrzebami.  
  2. Stanowią kluczowy materiał dla algorytmów AI: Algorytmy AI cenią treści, które opierają się na eksperckiej wiedzy, mierzalnych wynikach i danych, które można zweryfikować.  

Aby tworzyć case studies na 2025 rok, które będą skuteczne dla obu tych grup odbiorców, należy stosować się do następujących zasad:

  • Format: Należy zrezygnować z dokumentów PDF, które są niewidoczne dla robotów AI. Każde studium przypadku powinno być indywidualną, indeksowalną stroną HTML, zoptymalizowaną pod kątem wyszukiwarek.
  • Dane: Konieczne jest skupienie się na jednym, konkretnym problemie biznesowym i mierzalnych wynikach (np. ROI, CAC, wzrost wydajności).  
  • Wiarygodność: Należy włączać autentyczne cytaty, najlepiej z imienia i nazwiska, od klienta oraz odwołania do zewnętrznych, weryfikowalnych źródeł danych.
  • Wsparcie techniczne: Wykorzystanie schema markup i strategii linkowania wewnętrznego pomaga w budowaniu „sieci autorytetu”, która zwiększa prawdopodobieństwo, że treść zostanie zacytowana przez AI.

Poza studiami przypadków, inne formaty treści również wspierają konwersję i budują zaangażowanie. Treści wideo, na przykład, mogą zwiększyć intencje zakupu o 97%. Długie formy contentu, takie jak obszerne artykuły czy raporty, budują autorytet i są faworyzowane przez algorytmy Google. Skuteczne studium przypadku tworzy most łączący optymalizację pod algorytmy (schemat danych, linkowanie) z psychologią kupującego (dowód społeczny, wiarygodność). Wzrost widoczności w wynikach AI, dzięki optymalizacji technicznej, prowadzi do zwiększenia ruchu na stronie , a wiarygodny content przekształca ten ruch w konwersje.  

Mierzalny sukces: ROI i redukcja kosztów pozyskania klienta (CAC)

nwestycja w stronę internetową, treści i technologie AI może być znacząca, dlatego kluczowe jest mierzenie jej efektywności. Wskaźnik ROI (zwrot z inwestycji) jest kluczowym narzędziem, które pozwala na określenie, czy dane działania marketingowe są opłacalne.

Przewaga marketingu cyfrowego nad tradycyjnym jest mierzalna i udokumentowana. Według danych, marketing treści kosztuje 62% mniej niż tradycyjne metody i generuje trzy razy więcej leadów. Co więcej, inbound marketing, do którego należy pozycjonowanie stron, charakteryzuje się znacznie wyższymi wskaźnikami konwersji (14.7%) w porównaniu do outbound (1.7%), co przekłada się na niższy koszt pozyskania klienta (CAC).

Podsumowanie i rekomendacje strategiczne na 2025 rok

Platformy do automatyzacji i analityki

  • Improvado: To narzędzie analityczne, które eliminuje bariery między marketerami a danymi. Pozwala na zadawanie złożonych pytań w języku naturalnym i generowanie raportów w czasie rzeczywistym, bez konieczności znajomości języka SQL.  
  • Make (dawniej Integromat): Ta platforma do wizualnej automatyzacji pozwala na tworzenie zaawansowanych procesów biznesowych i zarządzanie inteligentnymi agentami AI. Dzięki ponad 400 integracjom z aplikacjami AI, umożliwia budowanie złożonych, zautomatyzowanych „cyfrowych sił roboczych”.  

Narzędzia do audytu i optymalizacji technicznej

  • AIOSEO: Jako wtyczka do WordPressa, AIOSEO oferuje kompleksowy audyt SEO, zarządzanie linkami wewnętrznymi, schematami danych i integrację z Google Search Console. Posiada funkcję analizy na stronie (TruSEO On-Page Analysis), która ocenia treść pod kątem czytelności i SEO w czasie rzeczywistym.  
  • SEOptimer: To znane narzędzie do audytu SEO, które pozwala na szczegółową analizę witryny pod kątem 100 czynników, identyfikując problemy, które mogą hamować rankingi. Umożliwia również generowanie raportów i monitorowanie linków zwrotnych.  

Podsumowanie i rekomendacje strategiczne na 2025 rok

Strona internetowa w 2025 roku jest znacznie więcej niż cyfrowym folderem reklamowym. To dynamiczny, inteligentny i w pełni mierzalny ekosystem, który, wspierany przez sztuczną inteligencję, staje się najpotężniejszym narzędziem sprzedaży w sektorze B2B. Umożliwia skalowanie działań, personalizację na masową skalę i optymalizację procesów, co w nowej cyfrowej rzeczywistości jest kluczowe dla osiągnięcia przewagi konkurencyjnej.

Aby w pełni wykorzystać potencjał strony internetowej jako narzędzia sprzedaży w 2025 roku, firmy B2B muszą podjąć następujące kroki:

  1. Przeprojektować stronę z myślą o kliencie i AI, a nie tylko o estetyce. Należy uwzględnić nawigację zorientowaną na kupującego i w pełni responsywny design (mobile-first).  
  2. Zmienić strategię SEO z „keywords” na „influence”. Konieczne jest tworzenie eksperckich, autorytatywnych treści, które budują wiarygodność zarówno w oczach klientów, jak i algorytmów AI.  
  3. Wdrożyć agentów AI do automatyzacji kwalifikacji leadów i obsługi klienta. To rozwiązanie pozwoli uwolnić ludzkie zespoły od rutynowych zadań, umożliwiając im skupienie się na budowaniu głębszych relacji z kluczowymi klientami.
  4. Uczynić case studies i dane ich podstawą contentu. Historie sukcesu oparte na mierzalnych wynikach są najskuteczniejszym dowodem społecznym i kluczowym materiałem dla algorytmów AI.
  5. Zintegrować zaawansowane narzędzia analityczne, aby precyzyjnie mierzyć ROI i podejmować decyzje w oparciu o twarde dane, a nie przypuszczenia.  
  6. Przyjąć strategię hybrydową, która łączy cyfrowe narzędzia z strategiczną pracą ludzkich zespołów. AI i automatyzacja nie zastępują handlowców, lecz czynią ich pracę bardziej efektywną i skupioną na strategicznych celach.  

WordPress – zabezpieczenie przed włamaniem. Praktyczne i skuteczne porady.

Jak zabezpieczyć WordPressa?

WordPress to najpopularniejszy system CMS na świecie. Popularność oraz ilość gotowych rozwiązań, które oferuje, wiąże się także z dużą ilości zagrożeń – tym bardziej, że wgląd do kodu tych rzeczy może mieć każdy.

Jak temu zapobiec? Przedstawimy kompletny poradnik dotyczący profilaktyki bezpieczeństwa systemu WordPress.

Artykuł powstał przy współpracy z wisedigital.pl

Wstęp

WordPress to jeden z najczęściej wybieranych systemów zarządzania treścią w internecie. Według oficjalnych statystyk, aż 455 milionów stron internetowych na świecie korzysta z tego systemu, a każdego dnia powstaje średnio 650 nowych stron.

Wykorzystywany jest on do robienia prostych stron na gotowych motywach, jak również rozbudowanych witryn opartych o dedykowane rozwiązania. WooCommerce, które jest rozszerzeniem e-commerce do tego systemu, stanowi również bardzo duży procent platform e-commerce na świecie. 

Popularność ta jednak niesie ze sobą wiele zagrożeń ze strony cyberprzestępców – tym bardziej, że WordPress jest projektem GPL na licencji OpenSource i wgląd do jego kodu ma każdy. Podobna sytuacja ma się również do wtyczek czy motywów. 

Należy pamiętać, że nawet najlepsze zabezpieczenia i dbanie o WordPressa, nigdy całkowicie nie wyklucza zagrożenia i nie zapewni Ci stuprocentowego bezpieczeństwa.

Dzisiejszy poradnik to zbiór porad zdobytych na przestrzeni lat pracy z tym systemem oraz od społeczności WordPressa. Nasz poradnik nie zawiera zestawienia wtyczek, którym magicznie zabezpieczymy naszą stronę, a idzie w zupełnie odwrotnym kierunku.

Po co atakuje się WordPressa?

Powodów jest wiele i nie ma tutaj znaczenia, czy nasza strona jest dużym portalem internetowym, czy stroną lokalnego warsztatu samochodowego.

Najczęstsze przyczyny atakowania WordPressa to:

  • Spamerskie linki, dzięki którym osoba atakująca zyskuje profity.
  • Przekierowania na inne strony internetowe, również w celach zyskiwania profitów.
  • Wysyłka spamu w komentarzach lub na mail właściciela.
  • Ataki DDoS powodujące przeciążenia i próby włamania na serwer.
  • Zarażanie innych stron znajdujących się na serwerze.
  • Wykorzystywanie zasobów serwera do kopania kryptowalut.
  • Backdoor w celu wykradania poufnych danych.
  • Złośliwość konkurencji.

Jakie może to mieć konsekwencje w praktyce?

Brak stosowania odpowiednich praktyk zabezpieczających może grozić naprawdę nieprzyjemnymi konsekwencjami. Jak w praktyce objawia się atak na naszą stronę?

  • Google będzie zrzucać stronę z pozycji wyników wyszukiwania, a w najgorszym wypadku może ona zostać z nich całkowicie wykluczona. Twoja strona może atakować inne strony, co może skutkować wpisaniem jej na czarną listę domen, a proces przywracania jest długi i czasem kosztowny.
  • Kampanie reklamowe Google Ads będą odrzucane, co zresztą samo Google argumentuje, że próbujemy kierować na zainfekowaną stronę.
  • Pod twoją domeną będą indeksowane spamerskie linki np. witryn pornograficznych, reklamowych lub próbujących zawirusować komputer użytkownika. 
  • Dodatkowo mogą zostać ustawione przekierowania na ww. strony w momencie wejścia na naszą stronę, co może negatywnie wpływać na wizerunek firmy.

Brzmi groźnie? Bo takie właśnie jest!

Bezpieczeństwo zaczyna się już na etapie wyboru serwera

Istnieje wiele czynników, które powinieneś brać pod uwagę przy wyborze hostingu, aby zapewnić sobie jak najlepsze warunki spełniania standardu bezpieczeństwa:

  • Zweryfikuj opinie użytkowników korzystających z hostingu. Pozwoli to wykluczyć stosowanie przez dany hosting nieczystych praktyk typu modyfikacje plików stron, a także weryfikować opinie na temat supportu serwera i jego dostępności.
  • Sprawdź, czy serwer wspiera najnowszą wersję PHP, która jest fundamentem poprawnego wsparcia i działania najnowszych wersji WordPressa.
  • Upewnij się, że hosting ma system kopii zapasowych.
  • Dowiedz się, czy w przypadku posiadania kilku stron na jednym serwerze jest zapewniona separacja domen.
  • Sprawdź, czy hosting posiada mechanizm anty-DDoS i umożliwia połączenie SFTP / SSH.

Po tym krótkim wstępie nadeszła pora przejść do meritum, czyli profilaktyki bezpieczeństwa systemu – co robić oraz czego nie robić?

W większości niniejsze porady nie wymagają wiedzy technicznej, ale nie w każdym przypadku. Dlaczego? W wielu przypadkach trudno jest zabezpieczyć WordPressa bez ingerencji w warstwę serwerową, gdzie powinny zaczynać się wszelkie asekuracje.

Nie instaluj wtyczek zabezpieczających

Wtyczki bezpieczeństwa są prawdopodobnie ostatnią rzeczą, jaką powinniśmy zainstalować na stronie internetowej opartej na WordPressie.

Tego typu rozwiązania złudnie budują poczucie bezpieczeństwa i usypiają naszą czujność, a to właśnie te wtyczki stanowią 90% podatności na wszelkiego rodzaju ataki.

Dodatkowo bardzo często manipulują wynikami skanowania, aby zachęcać użytkownika do zakupu wersji PRO takiej wtyczki, która usunie to zagrożenie. W rzeczywistości takie zagrożenie może w ogóle nie istnieć.

Do najpopularniejszych wtyczek bezpieczeństwa zaliczamy: Wordfence, Securi, iThemes Security Pro, All in One WP Security.

Oczywiście tych wtyczek jest znacznie więcej, ale mimo wszystko nie instalujemy takich rozwiązań. 

Wtyczki bezpieczeństwa ze względu na swoją popularność są bardzo chętnie atakowane. Dodatkowo warto brać pod uwagę fakt, że same posiadają luki bezpieczeństwa:

Jeżeli wtyczka mająca zapewnić nam bezpieczeństwo, sama posiada luki w bezpieczeństwie, to chyba coś tu jest nie tak.

#ProTIP: wszelkiego rodzaju zabezpieczenia rób tylko i wyłącznie z poziomu serwera, a nie z poziomu panelu administracyjnego WordPressa.

Nie instaluj wtyczek optymalizujących

W przypadku wtyczek optymalizacyjnych sytuacja jest bardzo podobna do tej z wtyczkami zabezpieczającymi. Wtyczki te również są bardzo popularne i chętnie instalowane, ale również podobnie chętnie atakowane, co wtyczki zabezpieczające. 

Do takich najpopularniejszych wtyczek zaliczamy: WP Fastest Cache, W3 Total Cache, Autoptimize, WP-Optimize, WP Super Cache, WP Fastest Cache.

Dodatkowo te wtyczki są mocno niewskazane dla WooCommerce, ze względu na błędy, z którymi będą spotykać się użytkownicy sklepu i tutaj również optymalizacja powinna zostać wykonana tylko z poziomu serwera – oczywiście jeżeli wymaga tego dana strona, ale optymalizacja to temat na osobny artykuł.

Nie instaluj wtyczek ingerujących w główną warstwę serwera

Wtyczki ingerujące w warstwę serwera są bardzo łatwym sposobem na atak poprzez bezpośredni dostęp do serwera, pomijając przy tym wszelkiego rodzaju zabezpieczenia serwerowe.

Bardzo często z tego typu wtyczek używa się z racji braku danych dostępowych lub umiejętności do korzystania z połączenia FTP.

Do najpopularniejszych wtyczek zaliczamy wszelkiego rodzaju wtyczki typu File Manager (wtyczki dające dostęp do warstwy serwera z plikami strony z poziomu CMSa, zastępując przy tym programy FTP) czy wtyczki do zarządzania bazą danych np. WP phpMyAdmin.

Warto ponownie tutaj zaznaczyć wszystkie wtyczki optymalizujące oraz zabezpieczające, ponieważ ich fundamentem są również ingerencje do warstwy serwerowej.

Nie instaluj wtyczek nieznanego pochodzenia

Jest to chyba bardzo oczywiste, ale mimo wszystko wciąż można zauważyć tendencje do zakupu wtyczek z nieoficjalnych źródeł, np. paczki wtyczek do WP na Allegro po cenach niższych, niż w przypadku zakupu każdej wtyczki osobno. 

Wiążą się z tym dwa zagrożenia: pierwsze jest takie, że nigdy nie mamy pewności czy do takiej wtyczki nie zostało dodane coś „ekstra”. Po drugie – kupując wtyczkę od producenta masz pewność aktualizacji i suportu, czego nie otrzymujesz kupując wtyczki z innego źródła.

A co z wtyczkami lub motywami, które normalnie kosztują kilkanaście dolarów, a są dostępne za darmo np. na forach? Od razu mówimy – instalacja takiej wtyczki to świadomy strzał w kolano dla naszej strony internetowej. 

Jeżeli chcemy instalować wtyczki – instalujemy tylko te, które dostępne są w repozytorium WordPressa. Przed instalacją jednak nawet te wtyczki warto zweryfikować pod kątem bezpieczeństwa i czy posiadają aktualne wsparcie np. weryfikując datę ostatniej aktualizacji.

#ProTIP: skąd czerpać wiedzę na temat instalowanych wtyczek? Warto na pewno zacząć od przejrzenia historii podatności na stronie wpscan.com.

Innym dobrym sposobem, choć nie zawsze skutecznym jest wpisanie w Google: „nazwa wtyczki wordpress malware” albo „nazwa wtyczki virus” i weryfikacją, co internet mówi o danej wtyczce.

Aktualizacje – fundament bezpieczeństwa

Bieżące aktualizacje core WordPressa, wtyczek i motywu są kluczową czynnością, która wzmacnia bezpieczeństwo naszego WordPressa, więc powinniśmy dbać o to na bieżąco.

Pomijając oczywisty cel aktualizacji, od strony bezpieczeństwa stare wersje są otwartymi drzwiami dla hakerów, bo jakiś fragment kodu może zostać wykorzystany do wpuszczenia złośliwego kodu lub innego niepożądanego działania.

#ProTIP: Jeżeli pojawiła się aktualizacja – instalujemy i nie czekamy. Jeżeli mamy obawy przed aktualizacją – sprawdzamy aktualizacje na wersji testowej.

Jeżeli w naszym systemie posiadamy wtyczki, których ostatnia aktualizacja została odnotowana więcej niż 6 miesięcy temu, powinniśmy poważnie zastanowić się nad usunięciem jej i poszukiwaniu alternatywy. Zdarza się, żę autorzy wtyczek porzucają ich dalszy rozwój i hakerzy bardzo chętnie wykorzystują luki w takich porzuconych wtyczkach.

Warto też nadmienić, że wiele wtyczek wymaga wykupienia wsparcia (licencji), w ramach której otrzymujemy aktualizacje.

#ProTIP: sprawdzenia dostępności aktualizacji jak i samej aktualizacji możemy dokonać z poziomu kokpitu, wybierając opcję “Aktualizacje”.

Zadbaj o zalecaną wersję PHP

PHP, czyli język programowy, na którym zbudowany jest WordPress oraz wszystkie motywy i wtyczki. W celu polepszenia działania i lepszego bezpieczeństwa zaleca się, aby na serwerze była ustawiona wersja PHP zgodna z tą, której wymaga obecna wersja WordPressa. Poza kwestiami bezpieczeństwa, nowej wersji PHP mogą również wymagać motywy lub wtyczki do zapewniania poprawnego działania.

Wymagania bieżącej wersji WordPressa można sprawdzić tutaj: https://pl.wordpress.org/about/requirements/

Jeżeli nasz WordPress wyświetla komunikat o zalecanej aktualizacji PHP to staramy się taką aktualizację zapewnić.

#ProTIP: jeżeli nie jesteś osobą techniczną, to aktualizację wersji PHP zalecamy zrobić ze specjalistą, aby można było szybko zweryfikować poprawność działania poprzez staging strony.

Regularnie zmieniaj hasła

Potwierdzoną informacją jest to, że hakerzy często udostępniają wykradzione hasła w sieci. Dlatego taką prostą czynnością, jak zmiana hasła możemy zmniejszyć potencjalną próbę włamania lub ataku.

Starajmy się raz na miesiąc (albo przynajmniej kwartał lub pół roku) zmieniać hasła dostępowe kont administracyjnych, serwera FTP oraz bazy danych. Natomiast jeżeli dowiedzieliśmy się, że jeżeli WordPress lub któraś z wtyczek lub motywów miała podatność i została ona usunięta wraz z aktualizacją, to zmianę hasła powinniśmy wykonać każdorazowo po takiej sytuacji.

Przy ustawianiu haseł dbajmy o to, aby były to hasła trudne. Nie używajmy haseł typu: admin123, Jarek123, Audi, abc123. Są to hasła bardzo proste do rozszyfrowania, a narzędzia do ataków Brute-Force w pierwszej kolejności weryfikują takie kombinacje.

#ProTIP: dobre hasło to takie składające się z ciągu losowych dużych i małych znaków wraz z cyframi. Do generowania takich haseł polecamy: https://passwordsgenerator.net/

Podwójna autentykacja

Czyli innymi słowy weryfikacja, która odbywa się jeszcze przed próbą zalogowania do panelu administracyjnego, np. token w aplikacji, token SMS. Z takimi metodami najczęściej spotykamy się korzystając z bankowości internetowej lub stronami urzędowymi, które to na telefon przesyłają nam kody do logowania.

Do popularnych rozwiązań używanych z WordPressem należą RublonGoogle Authenticator czy miniOrange’s Google Authenticator.

Jeżeli nie jesteśmy w stanie wdrożyć powyższych rozwiązań, powinniśmy zastanowić się choćby nad prostszymi sposobami autentykacji, takimi jak ustawienie Google reCAPTCHA lub ustawienie hasła za pomocą plików .htaccess i .htpasswd.

W pliku .htaccess w głównym ustawiamy regułę kierującą do naszego pliku .htpasswd:

<Files wp-login.php>
	AuthType Basic
	AuthGroupFile /dev/null
	AuthName "Komunikat"
	AuthUserFile /sciezkadoroota/.htpasswd
	require valid-user
</Files>

Nazwę użytkownika oraz hasło możemy sobie wygenerować dowolnym generatorem.

Możemy również przejść na poziom wyżej i zastosować…

Ograniczenie dostępu do panelu administracyjnego po IP

Jeżeli do wp-admina loguje się konkretna liczba użytkowników ze stałym adresami IP, bardzo dobrym zabiegiem będzie ograniczenie dostępu do panelu administracyjnego tylko dla konkretnej puli IP.

Taki dostęp możemy ustawić w pliku .htaccess wklejając:

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin(\/)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin/$
RewriteCond %{REMOTE_ADDR} !^200\.200\.200\.200$
RewriteRule ^(.*)$ – [R=403,L]
</IfModule>

Dzięki temu mamy pewność, że nikt z zewnątrz nie jest w stanie zalogować się do naszego panelu administracyjnego

Wyłącz debugowanie

Błędy w kodzie pozwalają zobaczyć komunikaty błędów, które ułatwiają wykrycie potencjalnych luk w składni kodu. W pliku wp-config.php warto zamienić WP_DEBUG na:

define('WP_DEBUG', false);

if ( ! WP_DEBUG ) {
	ini_set('display_errors', 0);
}

Zablokuj dostęp edycji kodu z poziomu WordPressa

Z poziomu WordPressa mamy dostęp do dwóch miejsc, w których mamy możliwość bezpośredniej edycji kodu przy pomocy edytora motywu oraz edytor wtyczki.

To właśnie z tych edytorów bardzo chętnie korzystają hakerzy lub wtyczki / narzędzia wpuszczające do naszej strony złośliwy kod, dlatego bardzo ważnym elementem jest całkowite wyłączenie tych edytorów.

Aby wyłączyć edytor motywu, należy w pliku wp-config.php umieścić:

define( 'DISALLOW_FILE_EDIT', true );

Aby wyłączyć edytor wtyczki w tym samym pliku należy umieścić:

define( 'DISALLOW_FILE_MODS', true );

Uwaga! Wyłączenie edytora wtyczki jest równoznaczne z wyłączeniem opcji aktualizacji wtyczek. Jest to spowodowane właśnie tym, że w trakcie takiej aktualizacji kod walidowany jest z poziomu WordPressa. Dobrą praktyką jest ręczna aktualizacja wtyczek uprzednio testując poprawność działania na stagingu  lub wyłączenie tej opcji na czas przeprowadzenia aktualizacji wtyczek.

Zablokuj dostęp do listy użytkowników z REST API

W ramach zabezpieczania często ukrywa się nazwy użytkowników, jednak REST API bez problemu pozwala na sprawdzenie listy tych użytkowników. Wystarczy w przeglądarce wejść pod adres:

https://twojastrona.pl/wp-json/wp/v2/users

Możemy ograniczyć dostęp do zawartości tego pliku poprzez funkcję:

add_filter('rest_endpoints', function( $endpoints ) {
    if ( isset( $endpoints['/wp/v2/users'] ) ) {
        unset( $endpoints['/wp/v2/users'] );
    }
    if ( isset( $endpoints['/wp/v2/users/(?P<id>[\d]+)'] ) ) {
        unset( $endpoints['/wp/v2/users/(?P<id>[\d]+)'] );
    }
    return $endpoints;
});

Obserwacja działań i zmian

Bieżąca analityka to dobra metoda na wczesne wykrycie potencjalnego zagrożenia. Mowa tutaj o analityce zarówno wejść na naszą stronę, jak również zmian zachodzących w plikach strony.

Jeżeli widzimy, że na naszej stronie mamy odwiedziny z krajów, z których raczej nie spodziewamy się wejść np. Afganistan to powinniśmy wtedy być bardziej czujni. Być może to jakiś zwykły bot, ale równie dobrze może to być haker korzystający z VPN (narzędzia do maskowania adresu IP).

Obserwacja plików strony jest również bardzo ważna, ale niestety wymaga ona dość dobrej znajomości całej struktury plików i folderów WordPressa, bo to właśnie dzięki wyłapaniu pliku, którego nie powinno być, jesteśmy w stanie skutecznie opóźnić lub całkowicie zneutralizować atak.

#ProTIP: obserwację plików możemy prowadzić również przy pomocy logów serwera dostępnych w panelu zarządzania naszym serwerem.

Separacja domen

Jeżeli posiadamy na naszym hostingu kilka stron internetowych to zdecydowanie powinniśmy zweryfikować separację domen, aby pliki stron internetowych nie były ze sobą wymieszane.

Prawidłową strukturą katalogów na serwerze przy separacji jest m.in:

  • twojserwer.pl/domains/domenaA.pl/public_html/wordpress/index.php
  • twojserwer.pl/domains/domenaB.pl/public_html/wordpress2/index.php

Jeżeli spotkamy się z czymś takim:

  • twojserwer.pl/domains/domenaA.pl/public_html/wordpress/index.php
  • twojserwer.pl/domains/domenaA.pl/public_html/wordpress/domenaB.pl/index.php

to możemy być pewni, że przy ataku na domenę A, domena B również zostanie zainfekowana. Jeżeli stron na serwerze mamy więcej bez separacji, to przywrócenie tego do działania może być dla nas bardzo kosztowne i szkodliwe dla biznesu.

Nie rób z serwera przechowywalni plików

Nie używajmy naszego serwera jako przechowywali plików osobistych czy co gorsza – plików skryptowych, rozruchowych, tekstowych czyli takich, które pozwalają na swobodne dodawanie tekstu do takiego pliku. 

Dodatkowo – jeżeli na serwerze mamy pliki motywu czy wtyczek których nie używamy, to bez zastanowienia usuwamy. Wtyczka, która jest nieaktywna nadal jest na serwerze i stanowi potencjalne drzwi do włamania.

#ProTIP: do przechowywania dokumentów czy też plików osobistych zachęcamy do korzystania z usług wirtualnych dysków typu Google Drive, Dropbox itp.

Rób kopie zapasowe strony internetowej

Kopie zapasowe są często kluczowym elementem pozwalającym na szybkie przywrócenie do działania naszej strony internetowej – w przypadku ataku czy choćby awarii spowodowanej aktualizacją, błędną modyfikacją kodu lub instalacją uszkodzonego motywu / wtyczki.

Bardzo ważne jest jednak to, aby w przypadku zainfekowania strony internetowej przywrócenie kopii nie było pierwszą rzeczą, którą robimy. Nie mamy pewności kiedy pojawiła się podatność, dlatego przywracanie kopii zapasowej na starcie nie ma sensu, bo w 99% przypadkach infekcja powróci oraz utrudniamy zlokalizowanie źródła infekcji. Bardzo często źródło infekcji znajduje się już w plikach kopii zapasowej.

Dlatego kopię możemy przywrócić, uprzednio robiąc kopię strony zainfekowanej, która będzie służyć za repozytorium do usunięcia infekcji i musimy pamiętać, że jest to rozwiązanie tymczasowe.

Pamiętajmy, aby kopii zapasowej nie robić wtyczkami. W przypadku całkowitej awarii naszej strony, gdzie nie będzie możliwy dostęp do panelu administratora, nie będziemy w stanie przywrócić naszej strony do działania. Dodatkowo nigdy nie mamy pewności czy do takiej kopii nie została dodana szkodliwa niespodzianka.

Częstotliwość tworzenia kopii zapasowej staramy się dostosować do częstotliwości aktualizacji treści na naszej stronie internetowej. Jeżeli posiadamy mały serwis, w którym dodajemy informacje raz na pół roku, to wystarczy jak kupię będziemy robić raz w miesiącu.

Duży portal internetowy, w którym codziennie dodawanych jest kilka newsów – archiwizujemy codziennie.

Klucze szyfrujące

Jedną z podstaw bezpieczeństwa są klucze szyfrujące – warto po instalacji zmienić je na własne. Klucze znajdują się w pliku wp-config.php, który znajduje się w głównym katalogu serwera.

Klucze możemy wygenerować tutaj: https://api.wordpress.org/secret-key/1.1/salt/

Wygenerowane klucze wklejamy i podmieniamy z istniejącymi.

Sanityzacja danych

Przez formularze komentarzy czy jakiekolwiek inne formularze, użytkownik może przesłać coś na naszą stronę, np. skrypt będący złośliwym kodem, który będzie wykonywać się w momencie publikacji na stronie.

Użytkownik (nawet nieświadomie) może wysłać także jakiś ciąg znaków, który uniemożliwi dalsze wykonywanie kodu strony.

WordPress posiada natywnie wbudowane funkcje do sanityzacji: https://developer.wordpress.org/?s=sanitize_

Opcja co prawda dla bardziej zaawansowanych, ale również bardzo ważna, a bardzo często zaniedbywana i nie testowana.

Odseparuj dostęp do bazy danych

Z racji tego, że większość ataków w pierwszej kolejności kierowanych jest do wyżej wspomnianego pliku wp-config, aby uzyskać dostęp do bazy danych (a ta daje nam w dostęp do środka panelu), warto nieco utrudnić ten proces, zmieniając lokalizację danych bazy danych.

W naszym pliku wp-config.php znajdziemy dane bazy danych:

define('DB_NAME', '');
define('DB_USER', '');
define('DB_PASSWORD', '');
define('DB_HOST', '');
define('DB_CHARSET', '');
define('DB_COLLATE', '');

Tworzymy w tym samym katalogu plik o innej nazwie np. wp-danedobazydanych.php i do niego wklejamy powyższe dane.

W oryginalnym pliku wp-config.php wywołujemy stworzony wcześniej plik:

require_once "wp-danedobazydanych.php"

Zablokuj dostęp do plików konfiguracyjnych

Dodaj do pliku .htaccess w głównym katalogu:

<FilesMatch "wp-config.*\.php|\.htaccess|readme\.html">
    Order allow,deny
    Deny from all
</FilesMatch>

Ukryj wersję WordPress wyświetlaną w kodzie strony

Ukrycie wersji WordPressa pozwoli na utrudnienie szybkiego wykorzystywania podatności specyficznych dla danej wersji.

W pliku functions.php należy dodać::

remove_action('wp_head', 'wp_generator');

robimy to samo również dla skryptów:

function remove_version_wp( $src ) {
global $wp_version;
$version_str = '?ver='.$wp_version;
$offset = strlen( $src ) - strlen( $version_str );
if ( $offset >= 0 && strpos($src, $version_str, $offset) !== FALSE )
return substr( $src, 0, $offset );
return $src;
}

add_filter( 'script_loader_src', 'remove_version_wp' );
add_filter( 'style_loader_src', 'remove_version_wp' );

Zablokuj wp-includes

Warto zabezpieczyć pliki, które nie są użyteczne dla użytkowników odwiedzających stronę, ale są wymagane do prawidłowego działania WordPrssa.

W pliku .htaccess w głównym katalogu WP dodajemy:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
</IfModule>

Zablokuj wykonywanie plików PHP

Poniższy kod zablokuje wykonywanie plików o rozszerzeniu .php, które mogą być przesyłane przez np. formularze kontaktowe.

Kod dodajemy do wp-content/uploads/.htaccess:

<Files *.php>
deny from all
</Files>

a w .htaccess w katalogu głównym dodajemy:

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Usuwanie wirusów WordPress

Czyli co zrobić jak już złapiesz infekcję? Działaj szybko! Im dłużej zwlekasz z usunięciem infekcji, tym więcej efektów ubocznych odczujesz, nie mówiąc również o czasie potrzebnym na posprzątanie po infekcji.

W przypadku infekcji zachęcamy do skorzystania z naszej oferty na kompleksową obsługę związaną z usunięciem infekcji lub bezpośrednio na nasz e-mail. Jeżeli nie jesteś osobą techniczną, nie należy działać na własną rękę, ponieważ w większości przypadków kończy się to powrotem infekcji lub uszkodzeniem strony.

Powtórzymy – nie należy przywracać backupu, ponieważ znacząco utrudnia to znalezienie źródła infekcji. Nie nadpisuj także plików strony internetowej czy plików CMSa – jest to równoznaczne z przywróceniem backupu.

Dostępna strona internetowa dla osób narażonych na wykluczenie cyfrowe, czyli jak ugryźć temat WCAG 2.1 w przypadku WordPressa.

Tekst ten nie odnosi się tylko do stron wykorzystujących system WordPress jako CMS. Będzie tutaj kilka informacji ogólnych, które stosuje się do wszelkiego rodzaju stron z dostępnością dla osób narażonych na wykluczenie cyfrowe. Z racji, że sami korzystamy z systemu WordPress w roli bazy do zarządzania treścią na stronach, większość przykładów będzie opierać się właśnie o ten system.

Co to jest WCAG 2.1?

Na początek przytoczmy szybko, czym jest WCAG 2.1. Web Content Accessibility Guidelines poza tym, że jest to bardziej dopracowana wersja wcześniejszego WCAG 2.0, jest głównie zbiorem dokumentów opierających się o ustawę Parlamentu Europejskiego o dostępność stron internetowych oraz aplikacji mobilnych. Dostępność jest obowiązkowa dla podmiotów publicznych czyli np. sektor finansów publicznych, państwowe jednostki organizacyjne, czy też osoby prawne, ale także niektóre organizacje pozarządowe oraz jednostki dysponujące finansami publicznymi.

W praktyce oznacza to także zbiór kryteriów, jakie powinna spełniać strona / aplikacja w obszarach Postrzegalność, Funkcjonalność,  Zrozumiałość i Solidność, aby można było ją nazwać dostępną dla osób narażonych na wykluczenie cyfrowe.

Na starcie warto podkreślić, że WCAG nie obejmuje tylko osoby niepełnosprawne, a obejmuje osobny narażone na wykluczenie cyfrowe.

Do osób narażonych na wykluczenie cyfrowe zalicza się:

  • niewidomych, niedowidzących lub osoby posiadające dysfunkcje wzroku np. daltonizm;
  • głusi oraz głuchoniewidomi;
  • osoby z niepełnosprawnością kończyn;
  • osoby z niepełnosprawnością intelektualną;
  • dyslektycy;
  • osoby starsze;
  • osoby korzystające ze starych komputerów;
  • osoby korzystające z urządzeń mobilnych;
  • osoby z biednych regionów;
  • obcokrajowcy;
  • osoby korzystający ze stron w głośnych lub cichych miejscach.

Jak widać praktycznie każdy z nas może być narażony na wykluczenie cyfrowe i nie są to tylko osoby niepełnosprawne. Prostym przykładem który może nas spotkać jest sytuacja kiedy to złamiemy prawą rękę będąc osobą praworęczną. Nasza lewa ręka niestety trudno będzie radzić sobie z myszką, ale już klawiaturę jesteśmy w stanie obsłużyć bezproblemowo, bo praktycznie każdy pracuje obiema rękami na klawiaturze i ma wyćwiczony dynamiczny zakres ruchu lewą ręką na klawiszach.

Czy potrzebuję WCAG 2.1 na stronie?

Jak zostało napisane to wyżej – na chwile obecną obowiązkiem posiadania tego standardu objęte są instytucje państwowe, jednostki samorządu terytorialnego oraz wszystkie podmioty podlegające pod nie. Wymóg ten muszą również spełniać jednostki dysponujące finansami publicznymi. Za takie podmioty uznaje się:

  • Przedszkola, żłobki, szkoły publiczne oraz wyższe;
  • Urzędy miast, powiatu, gmin, wojewódzkie i marszałkowskie;
  • Agencje rządowe;
  • Domy kultury, publiczne muzea i galerie sztuki;
  • Sąd i prokuratura na wyższych szczeblach;
  • Policja, straż miejska, straż graniczna;
  • Zakłady karne;
  • Związki metropolitalne.

Na ten moment, jeżeli nie kwalifikujemy się pod żadną z powyższych grup to wdrożenie standardu WCAG nie jest od nas wymagane, a jedynie jest naszą dobrowolną inicjatywą skierowaną w kierunku osób narażonych na wykluczenie cyfrowe, aby ułatwić im poruszanie się na naszej stronie.

Od strony biznesowej otwieramy możliwości dla grupy potencjalnych Klientów, bowiem osoby narażone stanowią prawie 1/7 ludności na świecie i również korzystają z internetu.

Jakie są obszary i poziomy WCAG 2.1?

Standard WCAG 2.1 dzieli się na 3 typy poziomów:

Poziom A – oznacza minimalne wymogi, które musza zostać spełnione. Jeśli się tak nie stanie, treść opublikowana na stronie nie będzie dostępna dla części użytkowników.

Poziom AA – to zalecane do wdrożenia aspekty, które znacząco ułatwiają odbiór treści przez użytkowników.

Poziom AAA – oznacza wytyczne, które w pełni umożliwiają korzystanie z serwisu osobom z najróżniejszymi przypadłościami i przypadkami.

Poziomy uzupełniają się tz. chcąc zapewnić standard na poziomie AAA, musimy spełnić również wszystkie wymagania z poziomów A/AA.

Dodatkowo omówmy teraz obszary, na jakie dzieli się standard WCAG:

Postrzegalność – wszystkie informacje oraz interfejs musi być w pełni dostępny dla zmysłów użytkowników.

Funkcjonalność – interfejs musi w pełni umożliwiać swobodną nawigację po stronie.

Zrozumiałość – interfejs i obsługa interfejsu muszą być zrozumiałe dla odbiorcy.

Solidność – redagowanie treści w sposób taki, aby była prawidłowo interpretowana przez różnego rodzaju oprogramowania oraz technologie wspomagające np. czytniki dla osób niewidomych.

Wydawać by się mogło, że powyższe obszary są dość oczywiste i wdrażane są przy każdej stronie internetowej. Niestety tak nie jest. Weźmy przykładową zasadę z obszaru Funkcjonalność z pierwszego stopnia:

2.1.1 Klawiatura (Poziom A)

Wszystkie funkcjonalności w treści są obsługiwane za pomocą interfejsu klawiatury, bez wymogu określonego czasu użycia poszczególnych klawiszy, z wyjątkiem sytuacji, kiedy dana funkcja wymaga wprowadzenia informacji przez użytkownika w oparciu o ścieżkę ruchów, a nie w oparciu o punkty końcowe wejścia.

Zrób mały test dla samego siebie – odstaw mysz i sprawdź teraz czy jesteś w stanie na swojej stronie bez problemu poruszać się przy pomocy samej klawiatury. Zacznij od wyżej wspomnianej nawigacji, a potem przejrzyj każdą podstronę.

Spróbuj także samej obsługi komputera i różnych stron internetowych z których korzystasz na co dzień.

Kolejnym ciekawym eksperymentem jest to samo doświadczenie opisane wyżej, ale z osobą która w nie widziała nigdy na oczy naszej strony internetowej i dodatkowo – ma zakryte oczy.

Jak wiele utrudnień napotkałeś albo napotkała taka osoba? No właśnie… Dostępność polega na tym, aby takich problemów nie miał nikt.

Wtyczka do WCAG, czyli jak nie robić dostępności

Wiele osób, które dążą do zorganizowania dostępności swojej strony podchodzi do tego bez większego zagłębiania się w temat – no bo po co? Zdarza się, że takie osoby myślą: “nie jestem informatykiem i taka wiedza jest mi niepotrzebna, a przecież mogę sobie to zrobić wtyczką do WordPressa”. Pokażemy teraz na bardzo prostym przykładzie, dlaczego taka wtyczka niczego nam nie załatwia. Załóżmy, że naszą stronę odwiedza osoba kompletnie niewidoma.

Przyjrzyjmy się jednej z najpopularniejszej wtyczek w tym temacie, która zapewnia nam dostępność jednym kliknięciem. Dodaje ona nam menu kontekstowe z ułatwieniami (i tylko tyle). Co oferuje od strony użytkowej?

  • Powiększenie i pomniejszenie tekstu;
  • Skalę szarości;
  • Wysoki lub negatywny kontrast;
  • Podkreślenie linków;
  • Zmianę fontu na bardziej czytelny.

I oto wszystko, co dana wtyczka oferuje w ramach dostępności. “Już, gotowe. Mamy WCAG na stronie. Osoba niewidoma na pewno nie będzie miała problemu korzystania ze strony, bo może sobie teraz powiększyć tekst, aby był dla niej czytelny nawet jak nie widzi”.

Powyższe podsumowanie jest oczywiście sarkastycznym wyrazem tego, w jaki sposób działa ten proces rozwiązywania tego za pomocą wtyczek.

Niestety prawda jest taka, że wtyczki sugerujące dostępność paroma kliknięciami niczego nam nie załatwiają, a co najwyżej dodadzą parę narzędzi do strony, które potencjalnie mogą ułatwić coś wybranej grupie osób, a patrząc po tym co oferują – ułatwiają korzystanie tylko osobom niedowidzącym lub ślepotą braw. No bo naprawdę – po co osobie niewidomej możliwość powiększania sobie tekstu? Na świecie jest 45 milionów osób niewidomych, a w samej Polsce jest ich ponad 150 000. Instalacją takiej wtyczki w żaden sposób nie umożliwiliśmy możliwość korzystania ze strony.

Tak osoba niewidoma widzi możliwości naszej wtyczki zapewniającą dostępność:

Przyjrzyjmy się teraz innemu przykładowi, który faktycznie takiej osobie znacząco pomoże poruszać się po stronie i zrozumieć jej zawarte treści.

Jednym z fundamentów dostępności strony dla osoby niewidomej jest zbudowanie kodu strony w taki sposób, aby był on w pełni semantyczny oraz wykorzystywał technologię WAI-ARIA dla lepszego działania i logiki czytników ekranu.

Czym się różnią powyższe screeny kodu strony? Prawy zrzut przedstawia kod strony zbudowanej na Elementorze, a drugi ten sam kod strony, ale z zainstalowaną wspomnianą wcześniej wtyczką. Co się zmieniło? Nic.

Pisanie semantycznego kodu jest jednym ze standardów programowania stron internetowych, ale jest również podstawowym elementem niezbędnym do prawidłowego odbioru strony przez czytniki ekranowe. Niestety gotowe motywy stron internetowych są raczej pisane szybko w celach sprzedażowych i rzadko stosowana jest tam semantyka (już nie mówiąc o WAI-ARIA, bo nie jest to na ten moment żaden standard). Narzędzia typu Elementor czy WP Bakery Page Builder nie generują żadnej semantyki, bowiem najczęściej generują one kod oparty na divach, które nie są elementem semantycznym.

I tutaj wkracza technologia WAI-ARIA, czyli zbiór reguł które ułatwiają odbiór osobom narażonym na wykluczenie cyfrowe. Nie ma możliwości zrobienia tego wtyczką, bo nie powstały jeszcze tak inteligentne wtyczki które zgadują, że ten element to slider i trzeba mu dać aria-role=”slider” i aria-live=”assertive” aby treść nie była odczytywana za każdym razem jak zmienia się slajd i najlepiej aby wtyczka dodała jeszcze aria-label=”Karuzela logosów” żeby osoba niewidoma wiedziała, że to slider z logosami. Problem z określaniem tych elementów mają czasem nawet doświadczeni programiści, więc nie ma tutaj co polegać na wtyczkach, bo one nie załatwiają niczego w temacie dostępności.

Technologia ARIA i mikrodane pozwalają w logiczny sposób czytnikowi odczytać treść strony, a co za tym idzie – jest to bardziej zrozumiałe i pomocne dla odbiorcy. W poniższym przykładzie mamy zajawkę wpisu blogowego zbudowanego o semantyczny kod, a także z wykorzystaniem w/w technologii:

Na pierwszy rzut oka widać znaczącą różnice w logice kodu. Niestety, brak semantyki dyskwalifikuje naszą stronę z bycia dostępną, a sama w sobie semantyka jest standardem przy pisaniu stron internetowych oraz jedną z wielu wytycznych, które należy spełniać przy dostępności.

Oczywiście na semantycznym kodzie temat się nie kończy, a tak naprawdę dopiero zaczyna. Pomijając prace programistyczne związane z dostępnością – na późniejszym etapie redagowanie takiej strony również powinno być prowadzone zgodnie ze standardem poprzez np. mikrodane w treściach, uzupełnianie altów grafik, pliki PDF przygotowane z myślą o dostępności czy nawet np. transkrypcje video.

Dlatego jeżeli na stronie ktoś zrobił dostępność instalując wtyczkę (lub sami tak zrobiliście) to tak na prawdę w kierunku dostępnej strony internetowej nie zostało zrobione nic i przy walidacji strony „przez górę” możemy spodziewać się ostrzeżenia + wymogu poprawy.

Warto również brać pod uwagę to, że dostępność to również późniejsze redagowanie strony pod tym kątem czy przygotowywanie dokumentów jako dostępne pliki PDF / Word / Excel.

Deklaracja dostępności

Do przystosowanej pod dostępność strony internetowej powinna być wykonana deklaracja dostępności opisująca m.in.

  • Kto przeprowadzał audyt i na jakiej podstawie została sporządzona ocena dostępności;
  • Jaki standard (poziom) spełnia strona internetowa;
  • Jakie ułatwienia wprowadzają one dla użytkowników;
  • Co nie zostało przystosowane wraz z wyjaśnieniem;
  • Możliwość zgłoszenia problemu z dostępnością;
  • Datę złożenia deklaracji oraz ostatniej aktualizacji strony.

Jest tego oczywiście znacznie więcej.

Temat deklaracji szerzej omówimy w kolejnym artykule, bo jej obecność jest bardzo ważna. Niestety gotowe wtyczki nie sporządzą za nas deklaracji dostępności, a nikt świadomy wszystkich aspektów technicznych związanych z dostępnością nie podpisze się pod stroną, której dostępność została zrobiona wtyczką.

Co za tym idzie? W przypadku braku takiej deklaracji, którą realizuje się na bazie wdrożonej dostępności strony internetowej, możemy ponieść konsekwencje.

Czy za brak lub brak dostępności można dostać karę?

Tak. Oczywiście warunek ten muszą spełniać podmioty gospodarcze, które zostały wymienione na początku artykułu. Zgodnie z Ustawą o dostępności cyfrowej, niespełnienie wymogów dotyczących dostępności może pociągać za sobą nałożenie na instytucję kary finansowej. Konkretne cyfry przedstawiają się w ten sposób:

  • Brak zapewnienia dostępności – do 10 000 zł;
  • Brak deklaracji dostępności – do 5000 zł;
  • Brak dostępności dla Biuletynu Informacji Publicznej oraz elementów stron opisanych w Art. 8 ust. 2 pkt 2 – do 5000 zł.

Poza karami finansowymi, podmioty mogą utracić możliwość dofinansowania.

Kontrolę naszego serwisu i nałożenie kary może przeprowadzić Ministerstwo Cyfryzacji. Przypominamy, że pod koniec tego roku będzie miało miejsce pierwsze sprawozdanie do Komisji Europejskiej, a na rok 2022 przewiduje się pierwsze kary za brak deklaracji dostępności strony internetowej.

Jak sprawdzić czy moja strona spełnia WCAG?

Przede wszystkim nie należy sugerować się wtyczkami zapewniającymi dostępność strony w kilku prostych krokach i stwierdzać, że po ich instalacji mamy temat gotowy. Jeżeli nie jesteśmy osobami technicznymi lub posiadającymi wiedzę o dostępności, to nie należy także ufać naszej intuicji, bo jako osoby sprawne nie zauważamy wielu aspektów, które odczuć może osoba narażona na wykluczenie cyfrowe.

Najbardziej stosownym sposobem weryfikacji będzie przeprowadzenie audytu dostępności, na bazie którego następuje później wdrożenie standardu oraz sporządzenie deklaracji dostępności. Taki audyt najlepiej wykonać w firmach specjalizujących się w dziedzinie dostępności cyfrowej. Można również skorzystać z automatycznych usług audytujących stronę internetową, ale niestety nie będzie to takie dokładne, jak audyt i testy wykonane przez wykwalifikowanych specjalistów.

Możemy również użyć narzędzi do szybkiego testu pod kątem dostępności naszej strony, ale nie należy opierać na nich całego przystosowania strony pod kryteria sukcesu.

Podsumowanie

Temat dostępności stron internetowych jest bardzo obszerną kwestią wymagającą dużej wiedzy i doświadczenia związanego z programowaniem stron internetowych. Co więcej, opiera się ona o doświadczenia użytkownika, umiejętności przewidywania zachowania i sytuacji użytkowników narażaonych na wykluczenie cyfrowe oraz ogólnych dobrych praktyk robienia stron internetowych.

Nie pozwólmy sobie wmówić, że wszystkie wyżej wymienione rzeczy jesteśmy w stanie załatwić instalacją jednej wtyczki do WordPresa czy innego CMSa. WordPress ma dużo możliwości zrobienia czegoś samemu, ale niestety dostępność nie zalicza się do grona takich rzeczy, które można zrobić bez znajomości technologii wykorzystywanych przy rozwiązaniach webowych i wymaga dokładnego podejścia do tematu, bo pamiętajmy – mówimy o czymś, co poparte jest ustawą i może mieć swoje konsekwencje.

Z tego miejsca zapraszamy również do skorzystania z naszej oferty. Oferujemy kompleksowe rozwiązania związane z dostępnością stron internetowych:

15 błędów popełnianych na początku pracy z systemem WordPress

Artykuł kierowany jest głównie do osób stawiających pierwsze kroki przy budowaniu stron w opraciu o WordPressa, osoby mniej techniczne posiadających swoje strony na WP oraz poczatkujących WP Developerów.

Instalacja autoinstalatorem lub poprzez usługę hostingu

Dzisiaj już praktycznie każdy hosting umożliwia zainstalowanie dowolnego systemu z poziomu panelu hostingu poprzez tzw. autoinstalatory. To oczywiście bardzo kuszące, bo w łatwy sposób możemy samodzielnie zainstalować WordPressa. Jednak dlaczego nie powinno się tego robić?

Powodów jest kilka. Pierwszym z nich jest fakt, że paczka instalacyjna jest przygotowywana przez firmę hostującą. Nie chcemy tutaj nikogo oczerniać, ale w takim przypadku nigdy nie mamy pewności, czy pliki nie zostały zmodyfikowane lub uszkodzone.

Drugim powodem jest to, że najczęściej automatycznie tworzona jest baza danych z domyślnym prefiksem, który warto zmienić dla bezpieczeństwa. W tym przypadku również nie mamy pewności, co zostaje nam dodane do bazy dodatkowo.

Jak prawidłowo zainstalować WordPressa?

Jeżeli decydujemy się zainstalować WordPressa – instalujemy go ręcznie przez serwer FTP, pobierając go bezpośrednio z oficjalnej strony WordPressa, a bazy danych twórzmy ręcznie. Jakiś czas temu stworzyliśmy poradnik Jak zainstalować WordPressa? Poradnik dla każdego, w którym opisaliśmy krok po kroku jak prawidłowo zainstalować WP bez ingerencji żadnych narzędzi typu autoinstalator. Samą instalację można zlecić również nam.

Jeśli mamy dostęp do shella, możemy użyć WP-CLI.

Brak bieżącej aktualizacji wtyczek i core

Kolejny błąd nie tylko dotyczy początkujących, ale dotyczy bardzo często również osób, które posiadają strony zrealizowane przez agencje bądź freelancerów – są to strony żyjące swoim życiem, czyli takie, które pozostawione są bez opieki.

Mowa tutaj o bieżącej aktualizacji wszelkiego rodzaju wtyczek, motywów oraz samego core WordPressa. Bardzo często spotykamy się z przypadkami, kiedy klient powierzający nam opiekę nad stroną lub zlecający nam pojedyncze prace, ma na niej dużą liczbę nieaktualizowanych wtyczek. Całkiem niedawno zdarzył nam się również przypadek strony, która wykorzystywała jeszcze WordPressa w wersji 4.9 (czyli wersji z końcówki 2017 roku).

Dlaczego bieżące aktualizacje są tak ważne?

Jest ku temu bardzo prosty powód. Stare, niewspierane wersje core / wtyczek / motywów bardzo szybko trafiają pod lupę hakerów. Hakerzy korzystając z dostępnych dla danej wersji luk, realizują działania szkodliwe dla naszej strony i bardzo często w takim przypadku dochodzi np. do infekcji strony lub włamań.

Rozwiązanie? Starajmy się przynajmniej raz w miesiącu robić wszystkie aktualizacje. WordPress od wersji 5.5 posiada możliwość automatycznej aktualizacji wtyczek, co teraz znacznie ułatwia nam sprawę.

Używanie starej wersji PHP

Przypadek, z którym można spotkać się bardzo często – WordPress 5.5 zainstalowany na serwerze z ustawioną wersją PHP 5.6. Bardzo mało osób przed instalacją WordPressa nie sprawdza wymagań dotyczących tego CMS-a. I jest to poważny błąd, bowiem automatycznie w tym momencie zwalniamy działanie naszej strony i zmniejszamy poziom jej bezpieczeństwa.

Przed instalacją WordPressa warto sprawdzić czy nasz serwer posiada PHP w wersji 7.4, gdyż najnowsza wersja WordPressa zaleca pracę na tej wersji, a jak już wcześniej wspomnieliśmy – bieżące aktualizacje systemu są bardzo ważne.

Operacje na żywym organizmie

Bardzo duża część początkujących WordPressowiczów nie zdaje sobie zupełnie sprawy, jak powinno wyglądać odpowiednie środowisko do pracy z WP. Wynika to głównie z tego, że większość witryn budowana jest na gotowych motywach, niewymagających integracji w kod.

Ale co w przypadku, gdy jednak w tym kodzie trzeba będzie coś zrobić, bo np. nie wiemy jak używać połączenia FTP albo lokalnego serwera? Robimy zmiany w kodzie na żywym organizmie.

Błąd polega na tym, że w sytuacji gdy wysypie nam się strona – bo np. coś źle napisaliśmy w kodzie, to bez dostępu do serwera FTP nie będziemy w stanie uratować strony poprzez np. usunięcie błędnego kodu albo nadpisanie pliku na poprawny.

Jak edytować pliki motywu WordPressa?

Przed każdą zmianą w kodzie szablonu warto zrobić sobie jego kopię zapasową. Aby edytować kod naszego motywu powinniśmy używać tylko edytora kodu, takiego jak Visual Studio Code, Brackets czy Sublime Text – odradzamy używanie notatnika.

Edytory kodu potrafią nam pokazać błędy w kodzie podczas edycji. Zalecamy wszystkie zmiany testować w środowisku testowym lub lokalnie, a także korzystać z systemu kontroli wersji.

Pamiętajmy również o tym, że zmiany w kodzie najlepiej robić na motywie potomnym, o czym piszemy niżej.

Brak pracy na motywie potomnym (child theme)

Wyobraźmy sobie taką sytuację – wprowadziliśmy zmiany klientowi np. w pliku header.php i index.php. Klient po 2 tygodniach pisze do nas, że zrobił aktualizacje i nasze zmiany przestały działać.

Co się stało? Nasze zmiany zostały nadpisane przez pliki wypuszczone w ramach aktualizacji motywu. Właśnie po to powstała możliwość tworzenia child theme. Ideą motywów potomnych jest możliwość zmian bez konsekwencji w przypadku np. właśnie aktualizacji głównego motywu.

Zdarzyć się może, że kupiony gotowy motyw będzie wymagał jakiejś poważniejszej i większej zmiany w jego kodzie. Nie robimy tego wówczas na głównym motywie, tylko tworzymy swoją wersję kupionego motywu i pracujemy na niej.

Używanie wtyczek do wszystkiego

Kolejnym błędem przez początkujących WordPressowiczów jest szukanie i instalowanie wtyczek do absolutnie wszystkiego. Często bowiem spotykamy się z wtyczkami, które mają zastąpić coś, co ręcznie można zrobić w kilka minut.

Za doskonały przykład niech posłuży Google Analytics. Istnieje bardzo dużo wtyczek, które w łatwy sposób, poprzez podanie identyfikatora usługi, podpinają nam to narzędzie pod stronę. Pytanie tylko – po co tak „brudzić” WordPressa? Tym bardziej, że nigdy nie mamy pewności, co we wtyczce siedzi.

Przy zakładaniu GA dostajemy gotowy kod do wklejenia na stronę, gdzie tak naprawdę wystarczy minimum wiedzy (połączenie FTP oraz edycja pliku), aby takie narzędzie podpiąć pod stronę. A w przypadku ewentualnej obawy przed zrobieniem tego ręcznie, wystarczy poprosić kogoś, kto siedzi w tym temacie.

To tylko jeden z przykładów. Dobrymi przykładami są np. wtyczki migracyjne, wtyczka do zainstalowania Messengera na stronie czy nawet certyfikatu SSL.

Do podstawowego ustawienia SSL wystarczy proste przekierowanie w pliku htaccess, które bez problemu można odnaleźć w sieci oraz zmiana protokołu w ustawieniach.

Rozwiązywanie każdego problemu wtyczkami ma swój drugi minus – według powszechnej opinii instalacja wtyczki np. Really Simple SSL jeżeli jesteśmy wykonawcom stron, świadczy o niskim poziomie wiedzy.

Wtyczki nie powinny być pierwszą sprawą, o której myślimy w przypadku chęci dodania jakiejś funkcjonalności na stronie. Często zastępują one działania, które obeznana w temacie osoba zrobi w parę minut i niekoniecznie musi kosztować to miliony.

Przechowywanie zbędnych wtyczek i motywów na serwerze

Zasadniczo po instalacji WordPressa i instalacji własnego motywu, zostaje w nim zawsze kilka motywów oraz wtyczek, których nie używamy. A że ich nie używamy, to również ich nie aktualizujemy, czego potencjalne efekty opisaliśmy wyżej.

Jeżeli nie używamy danych motywów oraz wtyczek to po prostu warto je usunąć z serwera. Zabezpieczamy się przed potencjalnymi lukami nieaktualizowanych wtyczek / motywów oraz zwalniamy miejsce na serwerze.

Wtyczki do optymalizacji

Powiedzmy to od razu – wtyczki optymalizacyjne nie są najlepszym sposobem na przyśpieszenie działania naszej strony, bo finalnie niewiele robią. Bardzo dużym błędem popełnianym przez początkujących jest instalowanie kilku tego typu wtyczek naraz – te wtyczki w żaden sposób się nie dopełniają. Jeżeli już to jedna i prawidłowo skonfigurowana.

W jakimś stopniu takie wtyczki “coś” nam pomogą, ale czasami efekty są zupełnie odwrotne do tego, czego oczekujemy. Używając tych wtyczek bez zagłębiania się w ich możliwości, możemy pogorszyć funkcjonowanie strony a nawet sprawić, że pewne funkcjonalności po prostu przestaną działać. W najgorszym wypadku możemy doprowadzić do całkowitego posypania się strony.

Nie warto używać wtyczek, które rzekomo zrobią coś za nas automatycznie.

Jak zoptymalizować stronę WordPress?

Temat optymalizacji strony jest bardzo indywidualny. Poza standardowymi operacjami typu kompresja grafiki, to nie ma jednego sprawdzonego sposobu na optymalizację strony, ponieważ na prędkość motywu składa się wiele czynników m.in kod motywu, dołączone biblioteki, wielkość zdjęć. wykorzystywane zasoby. Wszystkie te rzeczy wymagają dokładnej analizy.

Najlepszy wynik optymalizacji uzyskamy podchodząc do tematu indywidualnie bez użycia zbędnych wtyczek.

Wtyczki zabezpieczające

Uzupełniając temat wtyczek, ostatnią kwestią, której powinniśmy unikać to wtyczki „zabezpieczające”. Tworzą tylko złudne poczucie bezpieczeństwa np. poprzez ładny interfejs, dobrą stronę sprzedażową i dobre opinie dodane przez osoby niezdające sobie sprawy jak działają takie wtyczki. Ale nie zapominajmy – właśnie dodaliśmy do naszego WordPressa kolejną wtyczkę, która również może zawierać luki umożliwiające infekcję czy włamanie się na stronę – tym bardziej, że tego typu wtyczki są dość popularne wśród użytkowników i ingerują bezpośrednio w core WordPressa.

Takich wtyczek powinno się użyć np. w celu szybkiego przeskanowania strony gdy np. nie mamy możliwości połączenia FTP, a faktycznie mamy podejrzenie infekcji, jednak trzeba brać pod uwagę scenariusz, w którym wtyczki tego typu mogą manipulować wyniki skanowania w celu sprzedaży ich wersji PRO. Po przeskanowaniu najlepiej jest je od razu usunąć, a najlepiej nie używać i skanować lokalnie lub przez połączenie SSH, albo zlecić skan obsłudze hostingu.

Używanie SSL w celu zabezpieczenia strony

Trzeba powiedzieć to na głos – SSL nie ma na celu zabezpieczenia strony, a tym bardziej WordPressa i błędem jest myślenie, że do tego służy. Certyfikat SSL służy do szyfrowania informacji zachodzących między przeglądarką a serwerem, czyli np. w momencie przesłania danych klienta na sklepie internetowym, te informacje w drodze do serwera są szyfrowane.

Oczywiście w dzisiejszych czasach posiadanie certyfikatu SSL na stronie internetowej coraz częściej jest standardem, bowiem daje to poczucie bezpieczeństwa oraz wiarygodności, jednak kompletnie nie ma nic wspólnego z zabezpieczeniem strony internetowej od strony jej plików i funkcjonowania.

Tworzenie backupów po stronie WordPressa

Bardzo częsty błąd i niestety notorycznie spotykany. Bardzo często amatorzy WordPressa tworzą sobie backupy strony przy wykorzystaniu wtyczek np. All in One WP Migration czy BackWPup. Wtyczki te w łatwy sposób pozwalają na stworzenie kopii strony oraz jej przywracanie z poziomu CMS-a, bez potrzeby posiadania dodatkowej wiedzy.

Co jednak w sytuacji, kiedy nasza strona uległa awarii, nie możemy dostać się do WP Admina i przywrócić zrobionego backupu nasza magiczną wtyczką? Pamiętajmy, że jesteśmy osobą, która nie potrafi połączyć się z serwerem FTP i phpmyadmina. Jesteśmy w sytuacji, w której sami sobie możemy nie poradzić.

Pierwszą rzeczą, której powinni nauczyć się początkujący użytkownicy, czy twórcy stron na WordPressie, jest umiejętność stworzenia ręcznego backupu strony i ręcznego jej przywrócenia.

Zabezpieczenia treści wpuszczanych przez użytkowników / boty

Domyślny system komentarzy WP oraz brak jego zabezpieczenia może niestety skutkować masą spamu przychodzącego na naszą stronę. Taki komentarz, to też jakieś zapytanie do bazy danych i przestrzeń którą zajmuje, więc jeżeli tych komentarzy pojawi się nagle duża liczba – może okazać się, że nasz serwer zostanie przeładowany.

Jaki system komentarzy do WordPressa?

Bardzo polecamy integrowanie systemu komentarzy z Disqusem. Zdecydowanie unikniemy dużej ilość spamu poprzez możliwość ustawienia uwierzytelnienia użytkownika np. przez Facebooka. Oczywiście Disqus to nie wymóg, bowiem bardziej zaawansowana technicznie osoba może wdrożyć nam np. zabezpieczenie Recapcha.

Drugim problemem może okazać się np. formularz kontaktowy z którego boty spamujące korzystają równie chętnie, jak z systemu komentarzy. Przy formularzach kontaktowych możemy również spotkać się z problemem w postaci możliwości załączenia wszelkiego rodzaju załączników – nawet takich złośliwych, bo nie zostały ograniczone wprowadzenia co do wielkości oraz formatu przesyłanego załącznika. Pomijając wyżej opisane kroki, warto doprecyzować jakie pliki mogą zostać przesłane na nasz serwer i ile mogą ważyć.

Posiadanie wielu stron na jednym hostingu

Posiadanie wielu stron na jednym koncie hostingowym jest bardzo oszczędnym rozwiązaniem od strony finansowej. Dlaczego jednak lepiej na jedną stronę przeznaczyć tylko jedno konto hostingowe?

Załóżmy sytuację, w której na jednym serwerze mamy 15 stron, a jedna ze stron padła ofiarą infekcji. Jest duże prawdopodobieństwo, że nasza infekcja przeniesie się bezpośrednio na pozostałe strony umieszczone na tym serwerze i wtedy mamy 14 razy problemów więcej.

Jeżeli chcemy posiadać kilka stron – kupujmy osobne serwery dla każdej strony lub ustawiamy separację domen.

Display: none;

Drobny błąd polegający na ukrywaniu pewnych elementów strony za pomocą własności display: none. Spotkaliśmy się kiedyś z przypadkiem strony, na której tą metodą był ukryty system komentarzy, a mimo to – komentarze spływały. Jak zatem do możliwe?

Bot spamujący nie wpisuje wszystkiego ręcznie, tylko z góry wie jakie konkretne akcje ma wywołać, aby komentarz znalazł się w naszej bazie danych.

Display:none tylko ukrywa element, ale nadal pozostawia go w kodzie strony.

Jeżeli planujemy już ukrywać elementy na stronie – w pierwszej kolejności sprawdzamy, czy nasz motyw nie posiada do tego odpowiedniej opcji. W drugiej kolejności możemy edytować kod child theme, aby usunąć całkowicie ten element ze strony.

Wybór WordPressa

Ostatnim błędem, który omówimy jest wybranie samego WordPressa jako bazę zarządzania treścią naszej strony. WordPress bardzo często wybierany jest dlatego, że daje nam możliwość łatwego stworzenia swojej strony internetowej w przypadku braku wiedzy technicznej oraz chęci oszczędzenia na kosztach związanych z pisaniem autorskich systemów CMS.

Nie zapominajmy jednak, że WordPress jest najpopularniejszym systemem zarządzania treścią. Według statystyk na rok 2020 – ponad 35% stron internetowych zbudowanych jest na systemie WordPress.

Za tą popularnością idzie również zainteresowanie hakerów, którzy wśród stron internetowych szukają sobie bardzo często czarnych owieczek, które pozwolą na stronę wpuścić różnego rodzaju wirusy, które prawdopodobnie przyczynią się do zarobku albo podbudowania ego hakera.

Pomyślmy czy warto w ogóle robić to na WordPressie?

Zastanówmy się przed tym wszystkim, jak dużo i z jaką częstotliwością będziemy zmieniać teksty lub zdjęcia na stronie? Bo jeżeli przewidujemy rozbudowywać ofertę raz na rok, galerię uzupełniać raz na pół roku, a zdarza się i tak, że po 2 latach strona ma nadal te same treści, co w momencie publikacji, to w takim przypadku kompletnie nie ma sensu robić strony na WordPressie. Najlepszą wtedy opcją (i też bardziej opłacalną finansowo) będzie posiadanie strony na zwykłych plikach html, bez podpiętego CMS-u. Szukamy tylko osoby / firmy, która za symboliczną opłatę lub abonament będzie umieszczać nam te informacje, a my możemy być spokojni, że wyeliminowaliśmy system zarządzania treścią, który poza dodatkowym kosztem – oszczędzi nam dużo potencjalnych problemów związanych z jego popularnością.

Co przyniósł WordPress 5.5?

Lazy-load dla obrazków

Z nową wersją 5.5, wordpress wprowadza lazy load – opóźnione ładowanie obrazów. Koniec z pluginami i skryptami do jego obsługi. Ten zabieg znacznie poprawia wydajność strony, a na urządzeniach mobilnych zaoszczędzi transfer i energię. Jak to działa? Obrazki ładowane są w momencie, kiedy potencjalnie będą w naszym polu widzenia podczas przewijania strony internetowej.

Mapa strony

Wraz z wersją 5.5, dostajemy mapę strony w formacie xml (sitemap.xml) – istotna rzecz dla tych, którzy chcą, aby ich strona pokazywała się w wynikach wyszukiwania na pierwszych stronach. Jeżeli używacie do tego celu Yoast SEO – nie bójcie się, twórcy wtyczki to przewidzieli (od wersji 14.5) i wordpressowa mapa strony jest automatycznie wyłączana (https://yoast.com/help/faq-xml-sitemaps-wordpress-yoast-seo/).

Bezpieczeństwo

Od teraz możemy włączyć automatyczną aktualizację wybranych wtyczek lub motywów. Jeżeli używacie do tego pluginu, już nie musicie. Jeśli robiliście to ręcznie, możecie wgrać całe archiwum w formacie ZIP.

Block patterns i edycja obrazka w treści

Predefiniowane gotowych sekcji do użycia – coś dla tych, którzy chcą przyspieszyć sobie pracę, nie mając czasu i pomysłu wymyślać układu strony. Dzięki block patterns zrobimy to w prosty i przyjemny sposób. Jeśli standardowe gotowe sekcje ci się nie podobają, możesz zwiększyć ich liczbę używając wtyczek i motywów. A dzięki wbudowanej edycji obrazka, nie potrzebujesz programu do obróbki grafiki. Podstawowe operacje z obróbką zdjęcia na stronie zrobisz w prosty i przyjemny sposób podczas edycji treści.

Coś dla developerów

Z ciekawostek: funkcje wczytujące templatki takie jak:get_header(), get_template_part() .itd, dostały nowy argument, przez który możemy przekazywać dane. Wcześniej, aby to uzyskać trzeba było używać własnych funkcji. Sposób definiowania środowiska został ustandaryzowany dzięki funkcji wp_get_environment_type(). A zdefiniowane bloki możemy sobie już pobierać przez API. WordPress możliwość skanowania pod kątem problemów ze zgodnością PHP.

Podsumowanie

Wraz z kolejną aktualizacją, WordPress wprowadza natywną obsługę funkcjonalności, która dotychczas obsługiwana była przez wtyczkę. I choć nie w każdym przypadku natywna funkcjonalność zastąpi wtyczkę lub własne rozwiązanie, tworzenie stron na WordPressie staje się coraz prostsze i przyjemne dla zwykłego użytkownika dzięki edytorze Gutenberg. Największym beneficjentem zmian, jakie przynosi nowa wersja WordPressa jest użytkownik, lecz życie postanowiono ułatwić nieco życie także deweloperom. Zmiany oceniamy zdecydowanie na plus!

Szczegółowe informacje znajdziemy u źródła: https://wordpress.org/news/2020/08/eckstine/