Megkérdeztem a tárhelyszolgáltatómat, hogy mi a véleménye, és ő nem szeretné, hogy WordPresst telepítsek a tárhelyemre. Azt mondja, túl sokszor kell biztonsági frissitést csinálni hozzá, és veszélyeztetem vele nemcsak a weblapom látogatóit, de a szervert és a rajta lévő többi weboldalt is. Igaz ez? Mit tehetek? Felejtsem el inkább a WordPresst?”

Ahogy mondani szokás, ha minden hasonló kérdésért csak tíz forintot kaptam volna, ma már dúsgazdag lennék… És a válaszom még mindig ugyanaz: a WordPress semmivel sem veszélyesebb vagy biztonságosabb, mint bármi más az interneten. Csak ésszel kell vele bánni. Tudni kell, hogy mik a szabályok, és azokat be kell tartani.

A legutóbb éppen tegnap tette fel nekem valaki ezt a kérdést. Az alábbiakat válaszoltam neki, és szeretném megosztani Veled is, hogy ha még bizonytalan vagy, segítsek a döntésben.

A W3Techs szerint a weboldalak 53,4 %-át építették valamilyen tartalomkezelő rendszerre (CMS, Content Management System), és ezeknek 59,4 %-a, azaz az internet összes weboldalának 32,3 %-a WordPress alapú. (Ez az adat jelen pillanatban érvényes, folyamatosan változik – a fenti linkre kattintva az aktuális adatokat láthatod.)

Mivel tehát az internet jelentős hányadát ma már WordPress alapú weboldalak alkotják, így egy tárhelyszolgáltatótól legalábbis nem túl divatos hozzáállás az, hogy nem akar WordPress weboldalt felengedni a tárhelyére. Az, hogy nyílt forráskódú, azaz minden információ kódszinten elérhető róla a weben, kétségtelenül hordoz magában veszélyeket, de ez igaz minden más szoftverre is. Csacsiság azt mondani, hogy “túl sokszor kell biztonsági frissítést csinálni” – hiszen ez nemcsak a WordPress esetében van így, hanem az összes többi webes alkalmazás (Joomla, Drupal, és minden más) esetében is.

Sőt, neki magának, mint tárhelyszolgáltatónak is folyton figyelnie kell, hogy az Apache (vagy más) környezet, amelyen a szerverei futnak, a legfrissebb-e, hogy milyen verziójú PHP-t használ (manapság már a minimum a 7.0, de mi bizony sokszor találkozunk még mindig olyan szerverekkel, amelyeken 5.3-as PHP fut, pedig annak a támogatottsága már évekkel ezelőtt véget ért), hogy a legfrissebb MySQL-t (vagy más adatbáziskezelő rendszert) telepítette-e és így tovább.

Sokan értenek egyet a fenti szolgáltatóval, és mondják azt, hogy az egyedi fejlesztésű PHP alapú weboldalak biztonságosabbak, mert azoknak senki nem ismeri a kódját úgy, mint a WordPressét vagy a többi hasonló rendszerét. Igen ám, de mi van, ha a fejlesztő hibát vétett? Ki fogja azt észrevenni, jelenteni a fejlesztőnek? Talán a hacker? Ő biztos nem. És mi van, ha jelenti is valaki, mert becsületes, de mondjuk az eredeti fejlesztő már nem elérhető? Akkor ki fogja kijavítani a hibát?

A WordPresst és a hozzá tartozó sablonokat és bővítményeket több millióan használják és több ezren fejlesztik. Ha a sokmillió felhasználó közül valaki (általában inkább többen is) hibát vagy biztonsági rést vesz észre, azonnal szól a fejlesztőknek, akiknek a neve és az e-mail címe közismert. Ők azonnal kijavítják a hibát, kiküldik a frissítésről szóló értesítést mindenkinek, aki használja az adott elemet, és a felhasználók két kattintással frissíteni tudnak.

A hibát és a megoldást (nyílt forráskódról lévén szó) néhány nap múlva kiírják a fejlesztői fórumokra, azaz a hackerek számára is elérhető lesz. Éppen ezért nagyon fontos, hogy ha látod, hogy van frissítés, akkor azt azonnal végezd el. (Előtte természetesen mindig készíts biztonsági mentést!) Erről a témáról elég sokat írtam korábban ezen a blogon – ide kattintva elolvashatod a téma összes cikkét.

Ha azt szeretnéd, hogy ezt a feladatot egy automata szoftver levegye a válladról, akkor javaslom, hogy fizess elő a magyar fejlesztésű WebShieldre (szerzője Csermák Szabolcs díjazott etikus hacker).

Mit tud ez a karbantartó szoftver?

  • lefuttat egy ellenőrző tesztet a weboldalon háromóránként,
  • ellenőrzi a WordPress fájlok sértetlenségét,
  • ha kell, automatikusan helyreállítja a WordPress fájlokat,
  • ellenőrzi az adatbázist,
  • menti az adatbázis adatait és a tárhelyen lévő fájlokat,
  • figyeli a frissítéseket,
  • ha frissítés érkezik, azonnal telepíti,
  • gyanús (rosszindulatú) fájlokat keres és riaszt, ha talál,
  • korlátozza a belépési kísérletek számát a Vezérlőpultba,
  • ország szinten szűri a belépéseket,

azaz teljeskörű védelmet biztosít a weboldalad számára, ráadásul közel valós időben. (Három órán belül még a legelszántabb hackerek sem ugranak rá a frissítésekkel javított hibákra.)

A szoftvert itt tudod megrendelni:
https://www.webshield.hu/uzlet/?wpam_id=2
(affiliate link, jutalékot kapunk a vásárlásod után)

 

Ha a tárhelyszolgáltatód nem szereti a WordPress alapú weboldalakat, könnyen lehetséges, hogy nem is olyan a szervere, amely kielégíti a WordPress számára szükséges alapkövetelményeket:

  • legalább 7.2-es PHP verzió,
  • legalább 5.6-os MySQL vagy legalább 10.0-s MariaDB verzió,
  • https támogatás (lehetőség szerint ingyenes SSL tanúsítvány).

Javasolt ezenkívül az Apache vagy az Nginx szerverkörnyezet, mert ezek a legmegbízhatóbbak (bár végül is mindegyik jó, amelyik támogatja a PHP-t és a MySQL-t). Egyes (galéria) bővítmények megkívánják a GD Library kiterjesztés meglétét, és ha nem akarsz felesleges pluszmunkát okozni magadnak, akkor olyan szolgáltatót választasz, amely hajlandó NEM bekapcsolni a PHP Safe üzemmódot.

Bár a WordPress (de nem minden sablon és bővítmény) nagyjából képes működni régebbi környezeteken is, vissza egészen az 5.2.4-es PHP-ig és az 5.0-s MySQL-ig, azért azt tudnod kell, hogy ezeknek a hivatalos életciklusa már véget ért, nincs hozzájuk támogatás, és ez azt jelenti, hogy hatalmas biztonsági kockázatot vállalsz, ha ilyen szerveren tartod a weboldalad.

Melyik tárhelyszolgáltatót válaszd? Ha a fentieket teljesítik, és vállalják a napi biztonsági mentést, amelyet bármikor vissza is állítanak számodra, ha kéred, akkor nagyot nem tévedhetsz. De azt is megteheted, hogy rám hallgatsz. Pályafutásom kezdete óta több, mint 650 WordPress alapú weblapot készítettem részben vagy egészben, és számos tárhelyszolgáltatóval kellett együtt dolgoznom. Így elmondhatom, hogy rengeteg tapasztalatom gyűlt össze.

Mindezek alapján javaslom, hogy ha még nem döntöttél, akkor válaszd az általam ajánlott szolgáltatót, a ProfiTárhelyet, egészen egyszerűen azért, mert velük nem lesz probléma. Van náluk három tárhelycsomag, amelyeket külön a mi ügyfeleink számára állítottak össze (ezek amúgy nem publikusak), és a szervereik teljes mértékben optimalizáltak a WordPress futtatására. Nekünk az összes weboldalunk, és többszáz ügyfelünk weboldalai is náluk vannak elhelyezve már évek óta, és még soha semmi gond nem volt velük.

Arról nem is beszélve (és ez rendkívül fontos lesz, ha mégis felmerül valami kérdésed, kérésed): a legfantasztikusabb az ügyfélszolgálatuk, amellyel valaha találkoztam. Gyorsak, kedvesek, hozzáértőek, soha nem hárítják el a felelősséget, nem ködösítenek, emberi nyelven válaszolnak, és ami a legfontosabb: megoldják, amit kell.

A tárhelycsomagjainkat itt találod:
https://profitarhely.hu/pagony
(affiliate link, jutalékot kapunk a vásárlásod után)

Remélem, ez a kimerítő válasz segít a döntésben 🙂

Ha kérdésed, hozzáfűznivalód van, tedd fel a hozzászólások között!