1. Obsah
  2. Co jsme společně probrali
  3. Doporučené služby a nástroje z rozhovoru
  4. Přepis rozhovoru
    1. Můžeš se nám prosimtě v krátkosti představit? Kdo seš, abychom ukázali našim divákům, s kým se tady dneska budeme bavit o WordPressu
    2. Jak moc vnímáš, že je pro začátečníky hlavně jako důležitá ta bezpečnost na WordPressu, jak by se měli chovat k těm webům obecně.
    3. Co má teda člověk udělat, když si prostě nainstaluje web. Tak ty první základní kroky, který by měl splnit, aby měl jako pomyslně odškrtnuto, že dobrý, teď můžu v noci klidně spát. Já jsem udělal prostě to, co mám, tak jestli nám to můžeš popsat nějak.
    4. Iveta: A jenom promiň taková rychlá otázka, je nějakej konkrétní správce hesel, který třeba doporučuješ za sebe?
    5. Iveta: Jasně a teda promiň, já jsem ti přetrhla tu původní myšlenku o tom startu, jak mají uživatelé jakože začít po tý instalaci. Takže jsme se bavili naposledy o těch heslech, že mají mít silný hesla skrze toho správce hesel, tak jestli na to můžeš nějak navázat.
    6. Jo tys zmiňoval Elementor a nemluvil jsi teda o něm úplně jako vlídně. Máš pro to nějakej jako konkrétní důvod nebo je nějakej jinej ten builder, kterej bys radši doporučoval namísto něj?
    7. Iveta: Vlastně ty můžeš v podstatě, když už třeba si hledáš i samotný pluginy, tak v tom repozitáři, že už vidíš nějaký jako „red flags“, který tě upozorní na to, že teda tady touhle cestou by ses teda jako vydat neměl. Což je třeba jestli si aspoň já pamatuju, tak mělo by to bejt často jako aktualizovaný, že jo. Já nevím co doporučuješ třeba za sebe?
    8. Iveta: Takže dobře, takže, čeho by si teda měli ty lidi, když budou teda v tom repozitáři hledat, ať už teda pluginy, nebo nějakej teda Builder je zaujme, takže si mají nejčastěji všímat nejenom teda těch aktualizací, ale teda jako i těch odpovědí.
    9. Iveta: Takový to zlatý pravidlo, kterýho se prostě vždycky držet. Když už teda o tom mluvíš, o těch pluginech a když jsme se tady i zastavili u těch builderů, můžeš nám rovnou doporučit nějakej za tebe nejlepší bezpečnostní plugin, kterej by tam jakoby za každou cenu fakt měl bejt jako takovej základ?
    10. Iveta: A ty jsi tam zmínil ten dvoufaktor, nebo teda dvoufaktorovou autentizaci. Můžeš nám teda rovnou víc jako vysvětlit, co to je, vím že my to u nás teda doporučujeme taky, když se chce někdo kamkoliv přihlašovat, je to jedna z těch vrstev, která je fakt jako dobrá si tam dát ještě navíc. Přijde ti to, že to je jako samo o sobě dobrá věc a nebo bys doporučoval ještě něco nad to, co to ještě víc zabezpečí jako takový.
    11. A další věc si tam zmínil, tý jsem si všimla, …ty doplňky do Chromu, že to je teda asi taky další z takových jako varovných signálů, jako bacha na ten výběr, že jo asi.
    12. Což byla v podstatě ta moje další navazující otázka. Je nějaká účinná jako rada nebo první pomoc, když ten web už teda někdo jako napadne nebo je to přesně takový to „do tohodle stavu se fakt dostat jako nechcete“?
    13. Iveta: Jako, když se vám třeba já nevím, někdo chce dostat do banky, zablokujete rychle kartu jedním stisknutím, tak tady to asi úplně takhle teda nefunguje.
    14. Iveta: Mně ještě tam k tomu vlastně napadlo, tys to tam zmínil, ty uživatelský role…
    15. Jedna je teda, kde se můžou vlastně uživatelé pravidelně o tý bezpečnosti, ať už jako na WordPressu nebo jako obecně, vzdělávat. Máš nějaký jako doporučený nebo oblíbený tvý zdroje, kde ty si hledáš nějaký informace?
    16. Iveta: Ostrava vlastně myslím, že ještě je. Ostrava a Pardubice docela, takže to jsou takový jako města místa, kde můžete někoho potkat a případně asi teda nevím, jak seš na to ochotnej, ale určitě jako se nebráníš, když ti někdo prostě napíše, ať už třeba na Facebooku to zkusí, tak…
    17. Takže na závěr teda poslední otázka, když si teda z tohodle tady našeho dnešního povídání máme shrnout nějakej fakt jakože checklist těch jako základních prostě bodů z těch oblastí, tak jak bys to nám teda tady všechno shrnul ještě.
    18. Iveta: Takže jestli to chápu správně, tak ty ji jakoby vlastně asi, když jsem to teda pochopila správně, myslíš, že je spíš asi lepší využít toho rychlýho instalátoru na ten klik, když je to možný, než to dělat vlastně jako růčo.
    19. Honza: Super, zmiňoval jsi nějaký úpravy dvou řádků nebo nějaký patche a podobně. Trošku mě jako tam nabádá myšlenka typu, máš nějakou vlastní jako upravenou distribuci WordPressu, kterou používáš pro instalaci jako pro svoje weby nebo existuje nějaká takovádle jakoby víc Security patch verze než ta oficiální WordPress?
    20. Honza: Ještě se to používá ve WordPressu někde?
    21. Honza: Umíš, tak umíš no, ale chápu. A je něco jako takováhle jako doporučená jako alternativní verze. Obecně jako neexistuje něco?
    22. Iveta: Takže tam prostě fakt si to spíš jako hlídat jako ručně.
    23. Iveta: Takže ideálně deaktivovat a smazat teda rovnou.
← Zpět na všechny články blogu

Na hraně kódu: S Vláďou Smitkou o bezpečném WordPressu

Iveta Zlatníčková
Iveta Zlatníčková Aktualizováno 30. 9. 2024 – 80 min. čtení
Blog
  1. Obsah
  2. Co jsme společně probrali
  3. Doporučené služby a nástroje z rozhovoru
  4. Přepis rozhovoru
    1. Můžeš se nám prosimtě v krátkosti představit? Kdo seš, abychom ukázali našim divákům, s kým se tady dneska budeme bavit o WordPressu
    2. Jak moc vnímáš, že je pro začátečníky hlavně jako důležitá ta bezpečnost na WordPressu, jak by se měli chovat k těm webům obecně.
    3. Co má teda člověk udělat, když si prostě nainstaluje web. Tak ty první základní kroky, který by měl splnit, aby měl jako pomyslně odškrtnuto, že dobrý, teď můžu v noci klidně spát. Já jsem udělal prostě to, co mám, tak jestli nám to můžeš popsat nějak.
    4. Iveta: A jenom promiň taková rychlá otázka, je nějakej konkrétní správce hesel, který třeba doporučuješ za sebe?
    5. Iveta: Jasně a teda promiň, já jsem ti přetrhla tu původní myšlenku o tom startu, jak mají uživatelé jakože začít po tý instalaci. Takže jsme se bavili naposledy o těch heslech, že mají mít silný hesla skrze toho správce hesel, tak jestli na to můžeš nějak navázat.
    6. Jo tys zmiňoval Elementor a nemluvil jsi teda o něm úplně jako vlídně. Máš pro to nějakej jako konkrétní důvod nebo je nějakej jinej ten builder, kterej bys radši doporučoval namísto něj?
    7. Iveta: Vlastně ty můžeš v podstatě, když už třeba si hledáš i samotný pluginy, tak v tom repozitáři, že už vidíš nějaký jako „red flags“, který tě upozorní na to, že teda tady touhle cestou by ses teda jako vydat neměl. Což je třeba jestli si aspoň já pamatuju, tak mělo by to bejt často jako aktualizovaný, že jo. Já nevím co doporučuješ třeba za sebe?
    8. Iveta: Takže dobře, takže, čeho by si teda měli ty lidi, když budou teda v tom repozitáři hledat, ať už teda pluginy, nebo nějakej teda Builder je zaujme, takže si mají nejčastěji všímat nejenom teda těch aktualizací, ale teda jako i těch odpovědí.
    9. Iveta: Takový to zlatý pravidlo, kterýho se prostě vždycky držet. Když už teda o tom mluvíš, o těch pluginech a když jsme se tady i zastavili u těch builderů, můžeš nám rovnou doporučit nějakej za tebe nejlepší bezpečnostní plugin, kterej by tam jakoby za každou cenu fakt měl bejt jako takovej základ?
    10. Iveta: A ty jsi tam zmínil ten dvoufaktor, nebo teda dvoufaktorovou autentizaci. Můžeš nám teda rovnou víc jako vysvětlit, co to je, vím že my to u nás teda doporučujeme taky, když se chce někdo kamkoliv přihlašovat, je to jedna z těch vrstev, která je fakt jako dobrá si tam dát ještě navíc. Přijde ti to, že to je jako samo o sobě dobrá věc a nebo bys doporučoval ještě něco nad to, co to ještě víc zabezpečí jako takový.
    11. A další věc si tam zmínil, tý jsem si všimla, …ty doplňky do Chromu, že to je teda asi taky další z takových jako varovných signálů, jako bacha na ten výběr, že jo asi.
    12. Což byla v podstatě ta moje další navazující otázka. Je nějaká účinná jako rada nebo první pomoc, když ten web už teda někdo jako napadne nebo je to přesně takový to „do tohodle stavu se fakt dostat jako nechcete“?
    13. Iveta: Jako, když se vám třeba já nevím, někdo chce dostat do banky, zablokujete rychle kartu jedním stisknutím, tak tady to asi úplně takhle teda nefunguje.
    14. Iveta: Mně ještě tam k tomu vlastně napadlo, tys to tam zmínil, ty uživatelský role…
    15. Jedna je teda, kde se můžou vlastně uživatelé pravidelně o tý bezpečnosti, ať už jako na WordPressu nebo jako obecně, vzdělávat. Máš nějaký jako doporučený nebo oblíbený tvý zdroje, kde ty si hledáš nějaký informace?
    16. Iveta: Ostrava vlastně myslím, že ještě je. Ostrava a Pardubice docela, takže to jsou takový jako města místa, kde můžete někoho potkat a případně asi teda nevím, jak seš na to ochotnej, ale určitě jako se nebráníš, když ti někdo prostě napíše, ať už třeba na Facebooku to zkusí, tak…
    17. Takže na závěr teda poslední otázka, když si teda z tohodle tady našeho dnešního povídání máme shrnout nějakej fakt jakože checklist těch jako základních prostě bodů z těch oblastí, tak jak bys to nám teda tady všechno shrnul ještě.
    18. Iveta: Takže jestli to chápu správně, tak ty ji jakoby vlastně asi, když jsem to teda pochopila správně, myslíš, že je spíš asi lepší využít toho rychlýho instalátoru na ten klik, když je to možný, než to dělat vlastně jako růčo.
    19. Honza: Super, zmiňoval jsi nějaký úpravy dvou řádků nebo nějaký patche a podobně. Trošku mě jako tam nabádá myšlenka typu, máš nějakou vlastní jako upravenou distribuci WordPressu, kterou používáš pro instalaci jako pro svoje weby nebo existuje nějaká takovádle jakoby víc Security patch verze než ta oficiální WordPress?
    20. Honza: Ještě se to používá ve WordPressu někde?
    21. Honza: Umíš, tak umíš no, ale chápu. A je něco jako takováhle jako doporučená jako alternativní verze. Obecně jako neexistuje něco?
    22. Iveta: Takže tam prostě fakt si to spíš jako hlídat jako ručně.
    23. Iveta: Takže ideálně deaktivovat a smazat teda rovnou.

Vláďa je čistě a bez obalu machr na bezpečnost. Umí hrát jak na straně policajtů, tak i zlodějů. Naštěstí se ale vždycky přiklání na světlou stranu síly. Prostě se v tom vyzná.

A ještě aby ne. Jednak bezpečnost miluje, dokáže o ní mluvit hodiny (což dokazuje i fakt, že půlhodinový rozhovor jsme natáhli na hodinu :-)) a zároveň má dost technických znalostí a zkušeností, kterými dokáže každého hackera hravě strčit do kapsy.

Kolem správy webů a serverů se začal pohybovat kolem roku 2001. Sám přiznal, že tehdy i on sám dělal spousty chyb, které dnes nachází, když zkoumá weby ostatních webotvůrců. Pro technické zpracování webů dokonce dělal porotce v soutěži WebTop100, kde byl garantem v oblasti bezpečnosti. A něco z toho mu zůstalo dodnes. Nekoupí si ani kartáček na zuby, aniž by nepřišel na chyby, které má firma na svém webu.

Za svojí kariéru jsem ve skutečnosti našel asi víc zranitelností v těch custom řešeních než v samotným WordPressu nebo jeho pluginech. Když vám někdo dělá web, je to určitá závislost na třetí straně. Nevíte, jaké má procesy, nevíte ani jestli to udělají dobře. Kdežto za open source projektem jako je právě WordPress stojí obrovská komunita lidí, která se o to snaží pravidelně starat.

VPS Centrum

Vyzkoušejte zdarma naši aplikaci pro správu serveru a domén. Budete si připadat jako zkušený administrátor.

Dnes se věnuje především technickému zpracování webů a jak weby zlepšovat. Pod rukama mu ročně projde stovky až tisíce webů, u kterých zkoumá nejen bezpečnost, ale i výkon jak po technické stránce, tak i po stránce marketingové. Je zakladatelem agentury Lynt services, která firmám pomáhá právě s provozem webových stránek, správou PPC, datovou analýzou a dalšími aspekty pro úspěšné podnikání.

My s ním probrali vše od úplných základů zabezpečeného webu, až po bezpečné chování na internetu. Prošly se témata, které využijí jak začátečníci, tak pokročilejší uživatelé (nejen) WordPress webů.

Mít web na WordPressu je bez nadsázky stejné jako mít doma zvířátko. Najednou máte nějakou zodpovědnost a musíte se starat.

Co jsme společně probrali

  • Základní checklist bezpečnosti pro klidnější spaní.
  • Proč moc nemusí Elementor.
  • Jak spravuje hesla Vláďa a za jaké „klíčenky“ by strčil ruku do ohně.
  • Co je „svatá trojice bezpečnosti“ očima Vládi.
  • Základní a dostačující postupy pro bezpečný web.

Mrkněte na celý záznam rozhovoru, stojí to za to:

Doporučené služby a nástroje z rozhovoru


Přepis rozhovoru

Iveta: tak Ahoj Vláďo…

Vláďa: Ahoj Iveto.

Můžeš se nám prosimtě v krátkosti představit? Kdo seš, abychom ukázali našim divákům, s kým se tady dneska budeme bavit o WordPressu

Vláďa: tak ono je to poměrně složitý. Já se považuju spíš hodně za takovýho technickýho člověka, kterej řeší jak vývoj, tak servery, tak řeší technický disciplíny v marketingu. Vlastním vlastně marketingovou agenturu Lynt, která se specializuje na PPC, máme projekt, kterej sbírá ceny rumů a Whisky po celým světě a provádí nad tím různý datový analýzy a jinak vlastně hodně jsem aktivní ve WordPress komunitě, kde pomáhám s výkonem a bezpečnostních webů především.

Iveta: Nás by teďko vlastně vzhledem k bezpečnosti právě na WordPressu zajímala úplně taková jako základní otázka…

Freelo - Nástroj na řízení úkolů a projektů

Přidej se, pozvi svůj tým a klienty, rozděl práci a sleduj, jak se úkoly dají do pohybu.

Jak moc vnímáš, že je pro začátečníky hlavně jako důležitá ta bezpečnost na WordPressu, jak by se měli chovat k těm webům obecně.

Vláďa: No tak bezpečnost je samozřejmě důležitá, že jo, ale jako pro začátečníka, tak si myslím, že nejdůležitější je takový jako nepřestřelit ten start a nenaložit si na sebe až moc jako tý zodpovědnosti, že budu dělat hned jako klientský weby, který budu provozovat na nějakým prostě bůhví jakým hostingu, když tomu prostě nejsem schopnej třeba vyhodnotit všechny technický aspekty, co to přináší, nejsem schopnej rozhodnout, jaký pluginy jsou kvalitní, jaký jsou nekvalitní, nemám zajetý nějaký procesy, jak se o nějaký třeba větší množství těch webů starat, takže za mě je nejdůležitější prostě nepřepálit ten start a prostě získat nějaký zkušenosti na něčem malým.

Nesnažit se tam hned nacpat Elementor, do kterýho nasypu 50 různejch dalších rozšiřujících pluginů, který pak musím každej den aktualizovat, takže snažit se být jako skromnější, co se týká i těch pluginů, prostě mít jich tam spíš míň než víc. Nějakou funkci třeba obětovat jo než prostě tam zase hodit něco, co budu muset každej tejden aktualizovat a hlídat to.

Iveta: Ok když teda mluvíš rovnou o tom startu, o tom jak to nepřepálit na začátku, tak mě by teda zajímalo a určitě i naše naše diváky nebo naše posluchače podle toho jestli se bude někdo koukat nebo poslouchat…

Co má teda člověk udělat, když si prostě nainstaluje web. Tak ty první základní kroky, který by měl splnit, aby měl jako pomyslně odškrtnuto, že dobrý, teď můžu v noci klidně spát. Já jsem udělal prostě to, co mám, tak jestli nám to můžeš popsat nějak.

Vláďa: No tak začíná to tak jako výběrem hostingu, kterej jako není to úplně nejjednodušší. Takový to hlavní pravidlo je, že bych se neměl ze začátku pouštět do hostingu, kterej nabízí, že v jednom prostě plánu za 100 Kč můžu hostovat 200 webů, ty weby pak většinou od sebe nejsou dobře izolovaný a když zanedbá jeden nějakej třeba testovací web, může se stát, že ta nákaza skočí jako na nějakej jako další z těch z těch webů, který tam provozuju, takže spíš jako fakt se snažit jako vybrat plán prostě pro jeden individuální jako web.

Potom bych si pohlídal hesla, protože to heslo je prostě vstupní brána do toho WordPressu. Takže bych měl dodržovat takový ty běžný bezpečnostní postupy, jako používat správce hesel a používat ideálně prostě ty dlouhý generovaný hesla, nepamatovat si prostě 50 hesel. Pamatovat si jenom to jedno k tomu password manageru a zbytek prostě o tom už vůbec nevědět jo. Prostě vím, že jsou složitý, že jsou těžce odhadnutelný a když tohlencto mám, tak můžu bejt poměrně klidnej, že prostě nepoužívám na x webech najednou.

Pokud prostě dojde k úniku hesel z nějaký služby a co se okamžitě děje, tomu se říká password stuffing, jakmile se najdou nějaký uniklý hesla, tak ty útočníci to zkoušej narvávat do dalších služeb, do všech těch webů, jestli tam nenajdou tu kombinaci, kterou jsem někde už použil, takže to bych si pohlídal.

Iveta: A jenom promiň taková rychlá otázka, je nějakej konkrétní správce hesel, který třeba doporučuješ za sebe?

Vláďa: Tak ono to je takový zase složitý, záleží jako pro koho. Já si myslím, že když do to nechce dávat nějak moc peněz, tak je výbornej Bitwarden, ten bych asi doporučil prostě napříč spektrem od jednotlivců i pro firmy. Když jsem úplně jako jednotlivec, kterej prostě neřeší nějakou korporátní síť a tak, tak Microsoft má vlastní aplikaci Microsoft Authenticator, která v sobě má i správce hesel, kterej funguje docela dobře hlavně i na těch mobilních zařízeních, takže to taky může bejt dobrá cesta a pak jsou prostě 1password a podobný.

Já teda osobně používám ještě pořád LastPass, ten měl před asi rokem nebo dvěma lety dost velký jako problém s únikem dat a používáme ho celá firma. Ještě jsme jako nebyli schopný třeba z migrovat jinam, protože když už to máte jednou zajetý, máte tam prostě spousty zaměstnanců, nevidím v tom teďka nějakou aktuální hrozbu, ale ta důvěra prostě v tu společnost, tak prostě hodně klesla no. Takže pořád jako koukám po tom, kam třeba odejít jinam no.

Iveta: Jasně a teda promiň, já jsem ti přetrhla tu původní myšlenku o tom startu, jak mají uživatelé jakože začít po tý instalaci. Takže jsme se bavili naposledy o těch heslech, že mají mít silný hesla skrze toho správce hesel, tak jestli na to můžeš nějak navázat.

Vláďa: Jo pak jako, co by měli mít pohlídaný, tak prostě vědět, že ten WordPress a hlavně ty pluginy v něm, tak je potřeba aktualizovat, že si prostě zase záleží, kolik těch webů máme jo, když mám jeden web, tak jako kouknout se do něj jednou týdně, jestli tam nejsou nějaký aktualizace, tak asi není žádnej problém. Takže tohlencto dělat. Prostě pohlídat si ten aktualizační proces.

Pokud těch webů mám víc, tak už se vyplatí vybrat si nějaký třeba řešení na hromadnou správu těch webů, to je třeba MainWP, ManageWP a další podobný služby, který vlastně se napojí na všechny WordPressy a v jednom dashboardu tak vidím, jakej z těch webů potřebuje aktualizovat a třeba mi pošle notifikace, že je to potřeba.

Pak jsou i pluginy třeba do toho jednotlivého WordPressu, kterej Ti bude posílat notifikace „Hele je potřeba aktualizovat nějakej plugin“… „Koukni se na to“, takže prostě tohlencto nezanedbat a pak jako ta další věc, která je taková ta „Svatá trojice“, tak je zálohování. Takže ověřit si zálohování no.

Často to řeší webhosting, tam by bylo dobrý si prostě udělat třeba testovací kolečko, jestli opravdu z těch záloh toho webhostingu jsem schopnej ten web případně obnovit a stejně je vždycky dobrý třeba mít ještě nějakou jako další cestu, nějakou off-site backup, který to bude prostě mi nahrávat nevím do Google Drive nebo do něčeho prostě vlastního no.

Iveta: Super, takže když si to zopakuju takhle rychle pro diváky teda, tak je to teda správnej výběr hostingu, hlídat si teda silný hesla, pak si teda samozřejmě nainstalovat bezpečnostní plugin, a ten poslední krok teda, to bylo ještě jednou, to byly ty aktualizace si pohlídat. Super a zálohování.

Vláďa: Tak už jsme na pěti.

Iveta: A další věc, která se vlastně k tomuhle ještě trošku pojí, já to tady mám takhle zapsaný, tak já se na to jenom podívám..

Jo tys zmiňoval Elementor a nemluvil jsi teda o něm úplně jako vlídně. Máš pro to nějakej jako konkrétní důvod nebo je nějakej jinej ten builder, kterej bys radši doporučoval namísto něj?

Vláďa: Tak já jako ještě před pár lety jsem vůbec jako nesnášel buildery, protože generovali prostě děsivej kód, kterej nešel vůbec žádným způsobem prostě ovlivňovat a nějakým způsobem udržovat. Dneska ta situace s těma builderama je už o dost lepší. Je tady Bricks, je tady Oxygen, Break Dance, který generují prostě poměrně jako dobrej kód. Ten Elementor, tak za mě ten kód, kterej z něj padá, tak je docela dost jako košatý, kdybych to řekl jako slušně. Prostě složitej, komplikovanej.

Honza: Je snazší na generování, horší na údržbu.

Vláďa: Přesně tak. Přesně tak. A já ten Elementor jako prostě to je můj nějakej osobní problém s tím, prostě nemám ho rád, říkám na rovinu. Ale jako ty důvody, proč to je, tak není samotnej ten Elementor, ale spíš jako to, jak se používá, protože ho často právě, jak jsem říkal, nepřepálit ten start jo. Takže jak ho použijí začátečníci, který prostě tam začnou něco dělat, vypadá to docela dobře a pak potřebuju něco lehce složitějšího, tak sklouznou k tomu, že do toho začnou sypat prostě všemožný Ultimate addons for Elementor a Royal addons a Easy addons a prostě všech všemožný prostě komponenty dalších jako dalších různejch elementů a tak. A tady přichází ten velkej problém.

To je velkej rozdíl, pro mě je to vlastně takovej vlastní ekosystém, kterej už jako s WordPressem nemá tolik co společnýho. A ty, když vlastně seš tvůrce pluginu třeba a chceš ho nahrát do toho oficiálního WordPress repozitáře, tak to není úplně jednoduchej proces.

Když tam ten plugin nahraješ, tak prochází nějakou jako úvodní kontrolou, že splňuješ nějaký standardy, že tam nejsou jako nějaký úplně zjevný bezpečnostní chyby, že je nějaká kvalita kódu, jako to je teda jedna stránka věci. Když projdeš tímhle tím procesem, tak jako jakmile máš tu zelenou, tak už je to pak jako jedno. Pak už tam můžeš dělat jako prasárny a už to nikdo nekontroluje, ale je tam nějaká úvodní jako vstupní bariéra, kterou ty musíš překonat v nějaký jako kvalitě toho kódu.

Aby to tam vůbec bylo tady u těhletěch pluginů a tak to většinou dělají prostě neznámý týmy, prostě bůhví kde, který nikdy nikdo nezkontroloval a ta kvalita je často prostě, ne samotnýho toho Elementoru, ale toho ekosystému kolem, tak je dost jako za mě špatná. A když se kouknete prostě třeba do nějakých databází zranitelností, tak vidíte, jak často se tam objevujou všemožný prostě bezpečnostní chyby v těch rozšířeních pro Elementor. A je to právě proto, že často to nikdo jako nezkoumá jo a teď je tam takovej ten falešný pocit jako bezpečí „hele platím si tady nějakýmu týmu peníze za ten nástroj a on určitě za ty peníze dělá maximum pro to, aby to bylo jako bezpečný a rychlý“ a není to pravda no.

Prostě je to většinou fakt jako spousty z nich jsou dělaný tak jako nějak tak na koleni dneska. Ještě s rozvojem AI, tak si myslím, že to bude ještě jako horší, a to je to, co mě v tom jako děsí no. Pak samozřejmě další věc, proč nemám rád Elementor je, fakt, že když tam dám těch pár pluginů, tak ten web to jako často hodně zpomalí.

Jsou zase musím říct tvůrci, který to umí udělat dobře jo, existujou prostě specialisti na Elementor, který si vyberou fakt jako pár dobrých pluginů, jenom na něco, co fakt potřebujou, něco si třeba i sami do toho dopíšou, aby si to udělali jako na míru a jsou schopný. Prostě znají CSS, znají JavaScript, a jsou schopný si to prostě „doohnout“ tak, aby nepotřebovali tolik těch jako závislostí na třetích stranách.

Vlastně ta závislost na třetích stranách, tak to je asi to, co mě tam děsí nejvíc no, že prostě najednou máš web a seš závislej prostě na 20 různých jako dalších týmech, kde netušíš, jak jsou na tom, prostě jaký mají jako bezpečnostní procesy, jak moc to hlídaj, jak jsou kvalitní a normální člověk to není schopnej prostě rozpoznat. Víceméně se to pozná až pak, když je nějakej problém, že to jako nebyla úplně nejvhodnější volba.

Iveta: Vlastně ty můžeš v podstatě, když už třeba si hledáš i samotný pluginy, tak v tom repozitáři, že už vidíš nějaký jako „red flags“, který tě upozorní na to, že teda tady touhle cestou by ses teda jako vydat neměl. Což je třeba jestli si aspoň já pamatuju, tak mělo by to bejt často jako aktualizovaný, že jo. Já nevím co doporučuješ třeba za sebe?

Vláďa: To je zase taky jako poměrně těžká věc, protože jsou nějaký pluginy, který jsou jako vlastně tak jednoduchý nebo vlastně ten kód je prostě jako minimalistický a vlastně není potřeba je aktualizovat jo. Protože vlastně jsou napsaný ze začátku, dělají jednoduchou věc a tudíž není potřeba prostě, nevím, tři roky, 4 roky, 5 let aktualizovat, protože ten plugin pořád dělá tu jednu jednoduchou věc a dělá ji dobře.

Pak na druhý straně spektra jsou prostě velikánský pluginy, když vezmeme prostě nejčastěji třeba takový ty všemožný SEO pluginy Yoast jo, Rank Math, tak to jsou úplně komplexní monstrózní nástroje, kde vlastně toho kódu je tak velký množství, že prostě se tam často řeší prostě, neříkám třeba jenom bezpečnostní problémy, ale třeba kompatibilita s něčím dalším, co je třeba rozšířený. Takže tam pak jako ty aktualizace vycházej jednou týdně jo.

Nebo takhle, prostě záleží zase, jak je ten plugin komplexní. Čím komplexnější, tak jako tím ty aktualizace jsou víc třeba a když vidím, že je to komplexní plugin, kterej nebyl dva roky aktualizovaný, tak to může bejt jako „red flag“ jo, třeba u těch oficiálních WordPress pluginů, tak je i třeba dobrý se kouknout, tam vlastně je někde záložka support nebo nevím jak, podpora, někde něco tam bude a tam je vlastně takový jako diskuzní fórum dá se říct. Nebo, jsou tam prostě otázky jako těch uživatelů na toho vývojáře a můžu se kouknout, jestli vůbec na ně reaguje, jo?

Já, když tam vidím Prostě 50 nějakých jako, co vypadá jako technický problémy, ne jakože se mi nelíbí, jestli by to nemohlo bejt jako modrý nebo něco takovýho jo. Ale když to jsou prostě technický problémy „nefunguje mi to“ jo nebo prostě je tam nějakej bezpečnostní problém a je tam nějaká odezva jako i z druhý strany, můžu tam vidět jako, že tam právě je. Takže to zase platí u těch oficiálních jo.

Pak jako u těch neoficiálních komerčních, tak jako tam máme nějakej prostě, který se jmenuje Envato Market a tyhlencty, tak tam jsou sice hodnocení taky, ale tam je potřeba taky si uvědomit to, že velká část tady těhletěch jako hodnocení, nebo jako nemám na to žádnej jako výzkum, ale tam funguje afill. Takže věřím, že velká část těch jako pětihvězdičkových hodnocení, tak je z nějakejch prostě affiliate jako programů a že si to někdo koupil a byl s tím prostě super nadšenej, ale dostal taky za to pár jako třeba korun jo.

Iveta: Takže dobře, takže, čeho by si teda měli ty lidi, když budou teda v tom repozitáři hledat, ať už teda pluginy, nebo nějakej teda Builder je zaujme, takže si mají nejčastěji všímat nejenom teda těch aktualizací, ale teda jako i těch odpovědí.

Vláďa: Jo jo, jako uvidím jestli ten tvůrce reaguje, ono třeba ještě dobře, kdybych si vybíral ty komerční pluginy, tak bych možná nejdřív kouknul na to, jestli nebo, kde třeba je nějaká komunita kolem něj jo. Většinou třeba bude nějaká facebooková skupina, tak bych se třeba do ní kouknul a tam vidím prostě, že to tam nějakým způsobem žije. To znamená, že to lidi používaj, používají to možná, protože je to dobrý a i vidím tam tu komunikaci třeba s těma lidma, který jako jsou přímo ti vývojáři. Jestli jako každej negativní komentář zamítnou, vypnou komentáře nebo něco takovýho, anebo konstruktivně reagují no.

Takže prostě hledat tyhlencty nějaký hodnocení, to je zdlouhavý. Je to takovej vlastní research ale myslím si, že se to vyplatí no, ale pořád platí to, že čím míň pluginů, tím prostě lepší no.

Iveta: Takový to zlatý pravidlo, kterýho se prostě vždycky držet. Když už teda o tom mluvíš, o těch pluginech a když jsme se tady i zastavili u těch builderů, můžeš nám rovnou doporučit nějakej za tebe nejlepší bezpečnostní plugin, kterej by tam jakoby za každou cenu fakt měl bejt jako takovej základ?

Vláďa: Teda tady asi, kdo mě sleduje, tak jako ví, že mám docela rád Wordfence, přestože jako taky to není dokonalej plugin, může zpomalovat web, ale mám ho rád, protože vlastně v tom jednom jako balíčku tak nabízí prostě víceméně skoro všechno, co od toho bezpečnostního pluginu jako očekáváte. Má tam prostě poměrně dobrý firewallový pravidla do začátku.

Tam spousty lidí, když by hledali kritiku na Wordfence, tak vlastně ta „freečková“ verze, ta verze zadarmo, tak má zpožděný pravidla o 30 dní, že když si ho platíte, tak máte aktuální pravidla na ty aktuální bezpečnostní hrozby a když jej neplatíte tak tyhlencty novinky dostanete prostě až po 30 dnech, což jako je často už k ničemu.

Nicméně ale, je potřeba říct, že oni jako třeba oproti jinejm jako konkurentům, tak vlastně tam je nějakej pořád jako základní firewall. A ty třeba ostatní jako jednodušší pluginy, tak mají jenom ten základní a nemají tady k tomu navíc jako tady tuhletu zpětnou, říká se mu moderně Virtual patching, že vlastně připravujou, pravidlo, který blokuje konkrétní jako jeden útok na konkrétní nějakej plugin.

Takže to tam nemáte třeba vůbec jo a tady tohlencto zpoždění o těch 30 dnů, tak se týká tady těhletěch jako extra věcí, těch Virtual patching jako blokací konkrétních hrozeb, ale ten základní firewall, kterej tam je, tak jako funguje pořád a funguje docela dobře.

Takže, to je jedna věc. Má tam pak věci, může zapnout dvoufázovou autentifikaci, má malware scanner poměrně dobrej, že vlastně, když máte pak nějaký problémy, tak jako proskenuje všechny soubory, co tam máte a najde vám, kde pravděpodobně je něco špatnýho. Umí notifikovat o aktualizacích, má tam, co tam ještě má zajímavýho, má tam vlastně lifelog. Takže je schopnej třeba nastavovat nějaký pravidla třeba. Takhle, když vás někdo skenuje o nějakou zranitelnost, tak to většinou způsobí to, že vlastně zkouší. To není o tom, že si vyhlídne jako web, kterej používá nějakej zrovna zranitelnej plugin a pak na něj útočí, jde o to, že tady tenhlecten scan se dělá prostě plošně.

Že prostě vezmu WordPress, ani to nemusí bejt ve WordPressu, vezmu prostě sadu nějakejch webů a snažím se do nich procpat ten svůj jako útočný vektor a když tam tu zranitelnost nemáte, tak to způsobí většinou nějakou třeba chybu 404, protože se snaží jako zneužít nějakou chybu v nějakým konkrétním souboru, kterou vy tam nemáte a to generuje prostě chyby jo. A Wordfence třeba umí zareagovat na tohlencto, že když někdo jako skenuje a překročí nějakej Rate limit, že prostě, bylo tam nějaký množství 404, tak může třeba tu IP adresu zablokovat.

A to jsou takový jako příjemný věci a těhletěch jako „drobnůstek“, co tam je, tak je víc. Ono třeba, co zase lidi často říkají, že třeba neumí změnit adresu administrace. Přesto se to bere jako jeden z bezpečnostních jako nástrojů, že změním adresu administrace ve WordPressu, že to není „wp-admin“, ale něco jinýho, což za mě není úplně moc efektivní, protože těch cest, jak se do toho WordPressu pak dostat, tak je jako zase několik. A tohlencto je jenom jedna z nich a může to často způsobit všemožný jako problémy. Takže jako bych tohlencto vůbec nedělal a ten Wordfence to taky nedělá, takže za mě, za mě ten Wordfence je fajn.

Iveta: Jinými slovy, on teda má asi i nějakou teda funkci, že ti dokáže ukázat „tady jsou zranitelný místa, na to se zaměřit“.

Vláďa: No to už je spíš jako další krok, to už jako jsou většinou zneužitý jo, on ti najde jako malvare třeba v těch souborech a mají tam jako pár funkcí, který opraví takový ty běžný neduhy WordPress webu.

Iveta: A ty jsi tam zmínil ten dvoufaktor, nebo teda dvoufaktorovou autentizaci. Můžeš nám teda rovnou víc jako vysvětlit, co to je, vím že my to u nás teda doporučujeme taky, když se chce někdo kamkoliv přihlašovat, je to jedna z těch vrstev, která je fakt jako dobrá si tam dát ještě navíc. Přijde ti to, že to je jako samo o sobě dobrá věc a nebo bys doporučoval ještě něco nad to, co to ještě víc zabezpečí jako takový.

Vláďa: No určitě, je to výborná věc. Jako je to taková věc, kterou ideálně byste měli používat na co nejvíc službách, který to podporujou jo, protože jde o to, že může zase někde uniknout to heslo a když to heslo unikne, prostě nevím, do bankovnictví. No tam se zrovna v Čechách se toho tolik neděje, protože tam jsou ještě ověření přes SMSku, nebo přes nějaký aplikace, ale může ti uniknout heslo prostě do nějaký služby, kde třeba, nevím si něco nakupuješ, nebo něco takovýho. A pak když to heslo znám, tak samozřejmě se tam přihlásím a vykradu ti účet, že jo. Ale když je tam ta dvoufázová autentizace, tak, když se přihlašuju, tak tam přidává další prvek, že ještě se někde musím ověřit přes něco dalšího, co mám jo. Ono to vlastně funguje jako: heslo je něco vím a další krok je jako: něco mám. Takže mám nějakej ten mobil, mám třeba hardwarový token nebo něco takovýho a myslím si, že to dost zásadním způsobem redukuje tady tyhlencty prostě všemožný útoky.

Ono to není jenom prostě kvůli heslům, ale můžou uniknout třeba nějaký třeba cookiečka (cookies) autentizační, když je ta dvoufázovka dobře udělaná, tak i když dělám třeba nějakou akci, tak bych se v tý službě měl ověřit. Dobře, konkrétní případ jo. Mám webhosting a když mi unikne jako heslo k tomu administrátorskýmu účtu toho celýho webhostingu, tak jako získám všechny weby, který tam jsou, že jo.

To je možná dobrej příklad. Když mi tohlencto někde unikne třeba i proto, že třeba jsem si nainstaloval do Chromu nebo do prohlížeče nějaký rozšíření, který není úplně nejlepší nebo prostě v něm byl bezpečnostní problém, nebo změnilo majitele, kterej se rozhodl, že už nebude prostě hodnej a ukradne mi heslo tady třeba do toho mého webhostingu, tak jednoduše prostě získám přístup ke všem tvojím webům. Když je tam dvoufázovka, tak sice dostanu se na nějakou první úrovni, jako první krok, ale pak to přihlášení ještě musím někde potvrdit, takže to tomu útočníkovi je často jako k ničemu. Takže fakt jako to zásadním způsobem zvyšuje tu bezpečnost, protože jako ta místa, kudy ti může to heslo uniknout i tobě jako osobně, tak je poměrně hodně jo.

Může to bejt fakt jako nějakej virus jo. Může to bejt prostě nějaká chyba v prohlížeči, která je zneužívaná. Vlezeš na nějakou stránku, ta infikuje prohlížeč, toho já se děsím úplně nejvíc. Já se děsím jako těch jako, jak se tomu říká v češtině, prostě dodavatelských řetězců. Dá se říct jo, že vlastně já jsem závislej na Googlu, protože mám Chrome, pak tam mám zase další nějaký třetí strany, který mají jako nějaký rozšíření, dělaj bůh ví co ještě a jeden článek v tom dodavatelským řetězci, tak prostě bude infikovaný a má to pro mě katastrofický důsledky.

Iveta: Ještě vlastně tam, že jo je asi důležitý upozornit, ono se asi ukáže, že jo, když se někdo jenom snaží dostat do toho účtu a najednou ti blikne telefon jako ověřte to, tak hlavně to jako nedělat teda, to je asi jedna jako z nejdůležitějších rad, že když zrovna víte, že u toho nesedíte, tak fakt si toho jako nevšímat radši.

A další věc si tam zmínil, tý jsem si všimla, …ty doplňky do Chromu, že to je teda asi taky další z takových jako varovných signálů, jako bacha na ten výběr, že jo asi.

Vláďa: Jo taky, ale hele to asi nikdy nevíš jo. Jako kolikrát se stalo v historii, že prostě bylo rozšíření, který bylo fakt jako v pohodě, byl to dobrej tým jo, ale prostě třeba byl to open source a ten člověk už byl vyhořelej, prostě doufá, že prostě dostane pár jako kaček jako z Open Source community, že to někdo shledal užitečným, ale když to prostě roky nepřichází a jenom se mu tam plní issue log, jako co by měl jako řešit a pak přijde někdo, hele já to od tebe odkoupím, dám ti tady nevím 10 000 dolarů za to a on řekne jasný a dostanou to pak nějaký prostě Čínani.

Tam třeba i byl teďka problém, to je zrovna z minulýho tejdne jo, třeba pro vývojáře, ty často třeba používaj Visual studio code a teďka tam byl velikánskej problém, že byl zneužitý, to myslím, že to byl nějaký Drakula Theme jako jenom vzhled jo. A má to asi 1,2 milionu stažení a stalo se prostě, že se do toho dostal nějakej malvare, takže prostě všichni vývojáři, který to používali, tak jako můžou brát, že všechny jejich projekty jsou infikovaný jo. Pro ty to mohlo vykrást jako přihlašovací údaje, mohlo to prostě zjistit spousty jako dalších věcí.

Iveta: Samozřejmě nechceme jako nikoho děsit teda, že by to bylo až takovejhle problém teda, ale jako chápeme, že se to může stát prostě jako kdekoliv, cokoliv a člověk s tím musí nějak jako počítat.

Což byla v podstatě ta moje další navazující otázka. Je nějaká účinná jako rada nebo první pomoc, když ten web už teda někdo jako napadne nebo je to přesně takový to „do tohodle stavu se fakt dostat jako nechcete“?

Vláďa: Určitě se dostat jako nechcete.

Iveta: Jako, když se vám třeba já nevím, někdo chce dostat do banky, zablokujete rychle kartu jedním stisknutím, tak tady to asi úplně takhle teda nefunguje.

Vláďa: Jakože ono tam těch věcí, co se mohlo stát při tý infekci, je totiž jako strašně moc a spousty lidí si to neuvědomuje, co se vlastně jako stalo jo. Když to jako vezmu, když to rozeberu, tak vem si máš nějaký třeba zase máš hosting, kde ti běží víc webů jo a teď jeden byl napadaný a teď víš 100%, že to nevlezlo i na ty další weby? Nevíš.

A teď jako hele teď kolikrát máš třeba ještě horší případ, máš tam třeba Woocommerce jo, kde jsou ještě jako data tvých klientů jo, takže jejich jako klienti na tvým e-shopu, tak tam taky mají nějakej uživatelskej účet, mají jméno, heslo, že jo, používají to heslo někde jinde, já teď získám vlastně zaprvý: jejich osobní údaje, mám tam e-mail, mám tam nějaký hash jejich hesla, kterej když není jako úplně složitej, tak jsem schopnej ho poměrně jako rozumně dekódovat, takže vlastně získám hesla prostě tvojich klientů, který pak zneužiji jinde. Mám tvoje heslo do databáze, tam jsem taky mohl jako napáchat spousty škody, co dál, máš tam třeba nějakej plugin na SMTP na posílání mailů z toho tvého webu, máš heslo k tvýmu účtu jako mailovýmu jo. Unikly data klientů, můžu přes tvoje jako údaje něco posílat, kolikrát tam máš napárované nějaký třeba další služby přes nějaký apíčka jo. Hned prostě získám spousty jako věcí.

A při tom útoku, tak je potřeba, nebo když odvirováváš ten web, tak je dobrý, ono ono se tomu říká jako analýza rizik jo, a to by se mělo ideálně dělat jako předem. Vezmeš vlastně, co máš a rozdělí se to na assety a teď říkám: mám tady assety, co jsou uživatelský údaje jo a hledám možnost, jak tyhlencty věci chránit jo. A zároveň mi z toho vypadne, když se tohlencto stane, tak vím, že mi prostě unikly uživatelský údaje a nějak na to zareagovat, což by mělo bejt správně jako všem těm uživatelů napsat, hele došlo k problému a to nikdo nedělá jo. Protože to ztratíš jako kredibilitu úplně hrozně a to je ještě ten větší problém, že se tady

Tyhlencty problémy zametou pod koberec a nikdo neví, že to tvoje heslo prostě jako uniklo. Víš, jakože tam pak jsou další věci, používáš nevím Smart e-mailing nebo používáš Ecomail jo, tak tam máš třeba plugin, kde je API klíč jako k tý službě, takže okamžitě teďka získám zase přístup jako ke tvojím všem údajům, jako k sadě tisíců, deseti tisíců dalších jako mailových adres a osobních údajů, takže správně by si dopředu, když ten web děláš, tak by sis měl tady udělat tu analýzu rizik, říct si, co tam mám za problémy, co tam mám jako za ty zajímavý údaje pro ty útočníky a snažit se vymyslet způsoby, jak zrovna tohlencto ochránit a co máš udělat, když by k tomu úniku došlo. Mít jako nějakej postup. Což nikdo nemá většinou.

Pak až dojde k tomu problému tak se to teprve začne řešit a to je pak jako o tom, že by si měla nejenom prostě, že stáhneš Wordfence, ťukneš, oskenuj to jo, ono to najde 20 souborů s malwarem, zmáčkneš „delete“ a mám hotovo jo. Je to fakt jako často jako komplikovanější. Je dobrý prostě prověřit, jestli to nemohlo prostě na tom hostingu napadnout další weby, cos tam měla, za ty právě ty osobní údaje, cos tam měla prostě, za další klíče.

Pak jako fakt jako, když se tohlencto stane, tak ten nejlepší postup je vlastně ten web úplně odstavit. Protože pak se ti, když ten web pořád běží, tak se může stát, že tam je nějakej backdoor, kterej ti to bude pořád jako infektovat jako znova znova, znova, znova a nejsi schopná to odstranit. Nejlepší je to odstranit a pak se dělá jako forenzní analýza, kdy se vlastně snažíš zjistit, co se stalo, jak se to tam dostalo, to znamená projít nějaký Access logy, zjistit prostě, odkdy to tam bylo jo, najít podezřelý IP adresy.

Bohužel jako, když projdeš Access Log, tak jako ty bezpečnostní skeny, tak jako jich je tam tolik, že půlka Access Log je podezřelá jo, ale je potřeba se snažit jako rozklíčovat to, co se stalo a vlastně zjistit, jaký to mělo dopady no.

Iveta: Mně ještě tam k tomu vlastně napadlo, tys to tam zmínil, ty uživatelský role…

Iveta: Ono je to vlastně podobný, jako když vlastně nemáš nikomu dávat svoje heslo, že jo, tak ještě nám jakoby vlastně trošku můžeš popsat tu důležitost, když se zakládají vlastně uživatelé ve WordPressu tak, role admin, šéfredaktor, jak to tam funguje, protože vlastně vím, že jsem slyšela, že samozřejmě je ta největší hloupost někomu dát admina, koho vlastně neznáš, že jo, jasně, tak nám to kdyžtak taky můžeš trošku přiblížit.

Vlaďa: Hele jako mělo by se tady v tomhletom jako přicházet jako s takovým prostě plánem jako nejnižší nutný oprávnění jo. Ono se bohužel setkávám často s tím, že prostě každá sekretářka ve firmě má administrátorský přístupy k WordPressu jo a jako kolikrát se prostě u klientů dostanu k webu a tam je prostě 20 uživatelů a všichni jsou administrátoři. U toho zjistíš ale, tyhlencty čtyři lidi už tady dávno nepracujou, ty už jsou někde jinde, ale pořád mají administrátorský účet na mojím webu a s ním můžou dělat jako fakt jako hrozný věci jo, proto bysme měli se snažit prostě, když tam máme nějakýho uživatele, kterej má za úkol jenom prostě nevím měnit aktuality, tak aby měl prostě minimální roli, která může tohlencto a nesmí jako neměl by bejt schopnej prostě dělat nový uživatele, neměl by instalovat pluginy, neměl by editovat jejich kód jo.

A tyhlencty prostě spousty věcí, ono takhle, často ten důvod, proč ty sekretářky mají jako administrátorský práva, tak je v tom, že ve WordPressu, teď už se to jako s Gutenbergem trochu mění jo, ale dřív bylo, že tam byly nějaký widgety a tam bylo třeba meníčko jo a ty aby si mohla měnit meníčko, tak jsi musela mít prostě vysoký oprávnění, což bylo vlastně administrátorský. Protože ten důvod byl proto, že si do toho widgetu mohla dát i vlastní jako kód jo, tak jsi na to měla mít jako administrátorský oprávnění a proto všechny sekretářky prostě dostaly administrátorský oprávnění, šéf nechtěl otravovat nebo nechtěli votravovat šéfa, tak ten jim dal honem jako admin. A tady tohlencto vlastně jde zase, když máš někoho jako, kdo WordPress jako, kdo mu rozumí, ví, co to jádro umí a co umožňuje, tak je schopnej pro každýho uživatele nebo prostě upravit tu roli tak, aby nemohla dělat zlý věci, ale mohla třeba upravovat prostě to meníčko jo.

Takže jde prostě i ty uživatelský role, co tam jsou, tak jdou většinou jako ještě nějakým způsobem doladit jo, když ti to nevyhovuje, tak aby si prostě třeba tomu uživateli, když potřebuje prostě něco měnit, jako co vyžaduje nějaký větší oprávnění, tak aby to mohl, ale zároveň nemohl jako spousty dalších věcí. Protože zase čím víc je tam administrátorů, vzniká riziko, že někomu to heslo unikne, problém WordPressu je, že jsem schopnej dneska ještě pořád poměrně jednoduše si vylistovat všechny uživatele, který na tom webu jsou, přes Rest API, tak tam je endpoint prostě users a vyjede mi prostě uživatelský jména všech těch jako uživatelů.

Wordfence zase tohlencto mí zablokovat a další pluginy taky a existujou pravidla do htaccessu, který to zablokujou a prostě spousty jako věcí jak tohlencto tomu zamezit, ale vem si, že mám tam 20 administrátorů, vyjede mi to seznam jejich uživatelských jmen, zároveň ještě v defaultním nastavení, tak tam je gravatar, to je taková ta ikonka s tvojí fotečkou a tak, nicméně to je udělaný za mě prostě strašně špatně. Já se proti tomu snažím bojovat, já nevím už jako kolik let ve WordPressu a zatím furt marně.

Tam je prostě hash MD5, což je hash, kterej jde poměrně jednoduše jako zlomit a tenhlecten MD5 hash, tak jde prostě zpátky. On je postavenej na e-mailu, že jde s trochou snahy a prostě pár hodinama, pár dnama času, tak velká část těhle těch hashů, jde vrátit zpátky na e-mail, takže já u těch uživatelů mám uživatelský jméno, který mají ve WordPressu, mám e-mail, můžu prostě projít zase databáze zranitelností nebo prostě uniklých hesel, jestli náhodou tam ten uživatel není a když jich mám prostě 20 a jsou to nějaký sekretářky, nic proti sekretářkám, ale nejsou to administrátoři webu jo, většinou teda nějaký můžou bejt.

Iveta: Nezáleží na vztazích ve firmě prostě, jasně.

Vláďa: A ta šance, že prostě najdu někoho, kdo má vysoký oprávnění a někde mu uniklo z toho, který použili tady, tak se zase docela jako zvětšuje. Nebo pak i ta šance na ten jako Brute force útok jo, že prostě to budu tam zkoušet sypat nějaký běžný hesla, jestli něco jako padne.

Iveta: Když to prostě zjednodušíme, tak administrátora by měl mít v podstatě jenom ten majitel toho webu nebo nějakej asi šéf ve firmě, nebo prostě někdo, kdo se o to fakt jako stará, má to právo, má za to nějakou zodpovědnost a ty ostatní lidi, co mají teda jako nahrávat články nebo udělat jednoduchý úpravy, tak jim stačí teda nějakej redaktor nebo šéfredaktor.

Vláďa: Jako tam záleží, šéfredaktor ten může vlastně jednoduše upravovat články všech a má pak nějaký jako zase drobný detaily, že i ten šéfredaktor třeba, doufám teda, nevím jestli si to vybavuju správně, tak může třeba vložit JavaScript jako do stránky, což ve WordPressu je rozsudek smrti standardně.

Tak proti tomu se taky snažím bojovat a taky jako marně, protože vlastně se stane to, že když jsi schopná dát jako JavaScript jako do nějakýho příspěvku. Ten JavaScript, když se tam pak jako jenom navštíví stránku ten administrátor, tak, když seš na frontendu, tak já jsem schopnej zadat takovej JavaScript, který vleze na pozadí do administrace a založí mi tam novýho třeba uživatele nebo nahraje mu/jí jako plugin. Takže jakmile se ten JavaScript jako nasadí nekontrolovaný někam na WordPress, tak je to prostě rozsudek smrti a ten web je fakt jako zničenej no, často. A k tomuhle vlastně ještě může bejt taková pomocná berlička,

Iveta: Tam vlastně existuje i nějakej plugin, já si teď nevybavím jeho jméno, kterej ti kontroluje vlastně aktivitu na tom webu ne jakože uživatelů.

Vláďa: Activity Log je fakt dobrej. My máme teda nějakej vlastní, ale jsou asi dva: Simple History a ještě ještě WordPress Activity log nebo něco takovýho. Takhle jo, to je určitě dobrej point, jako kdybych měl na webu víc uživatelů, než jsem já a prostě fakt tam mám víc lidí, který něco dělaj, tak bych tam určitě nějakej ten Activity plugin jako taky nahrál no, abych viděl jestli se přihlásili, odkud se přihlásili, co provedli.

Iveta: Víš, za kým máš pak jít no, když se něco stane. Každopádně, já si asi říkám možná, že tady už se asi chýlíme ke konci, já tam mám teda jenom poslední dvě otázky…

Jedna je teda, kde se můžou vlastně uživatelé pravidelně o tý bezpečnosti, ať už jako na WordPressu nebo jako obecně, vzdělávat. Máš nějaký jako doporučený nebo oblíbený tvý zdroje, kde ty si hledáš nějaký informace?

Vláďa: No to je složitý, takovej jako jeden univerzální zdroj není. Já jsem jako poměrně boomer v tomhletom, že já používám pořád RSS, že mám prostě několik jako svojich jako kanálů, kde čtu o těch jako zranitelnostech a chodí mi to. Takže za mě je fajn prostě Wordfence blog, Patchstack blog, to jsou jako takový vlastně, jak jsem už zmiňoval Wordfence, tak já mám Wordfence jako rád i z toho důvodu, že poměrně už jsem se párkrát setkal s lidma, který za tím stojí a jsou i jedna z mála jako autorit, který můžou vydávat vlastně.

Ono jsou jako veřejný databáze zranitelností, kde jsou prostě všechny možný zranitelnosti, operační systémy a všechno a jsou autority, který do nich můžou přidávat další, to má pak přidaný nějaký svoje číslo a je to oficiální jako zranitelnost v týhle tý databázi. A Wordfence i Patchstack, tak jsou jedny z mála jako společností, co jsou jako ze světa WordPressu, který můžou fakt do tý oficiální databáze přispívat. A proto je považuju prostě za autority v tom oboru a když oni vydávají nějaký články, tak prostě většinou fakt je to o nějaký zranitelnosti a tak, takže to jsou dva jako zdroje, který určitě doporučuju sledovat.

Pak jsou různý všemožný jako média jo prostě Bleeping computers, Ars technika, kde občas něco vychází, není to přímo zaměřený jako na bezpečnost jo, ale většinou, když je nějakej problém, tak se tam objeví, když je to něco, co postihuje větší množství uživatelů, no pak samozřejmě to je zase, to je hlavní, co já používám, mě to prostě přijde do RSS čtečky a prostě projedu a jsem v obraze.

Iveta: Na záchodě třeba.

Vláďa: Třeba přesně, úplně přesně, ráno rutina jo, projedu, co se děje, co se stalo, že mám rychle dokončit potřebu a jít jako něco patchovat. A jinak, samozřejmě asi budou nějaký jako modernější jako třeba různý jako facebookový skupiny, kde se o bezpečnosti taky člověk dozví. Ale popravdě jsem asi nenarazil na žádnou jako, která, by fakt jako byla zaměřená přímo na bezpečnost a nebylo to takový, že prostě tam je, nevím, 1000 příspěvků o něčem a pak jeden na tu bezpečnost jo.

Iveta: Takže WordPress rady tipy nebo WordPress Česko asi v tomhletom úplně ne teda.

Vláďa: Já jako nevím no, jako přijde mi tam že se tam řeší jako, že to není fakt jako na to zaměřený a jakmile tam přijde něco zajímavého, tak to třeba brzo jako zapadne někam do hloubky a už se to nikdo nedozví jo. Možná takhle z těch zahraničních, tak je myslím Dynamic WordPress, tak tam docela zase není to zaměřený na bezpečnost, ale ty informace tam jsou docela moderovaný a přicházejí tam zajímavý věci. A pak je ještě The Admin bar, kde to spíš jako pro ty administrátory a tam to myslím, že to že zase na pozadí, že to dělá Patchstack, ale, že tam se ty informace taky docela objevujou.

A pak jsou ještě všemožný jako menší jako skupinky, nevím Discordy všemožný a tak no.

Iveta: A možná i a teď teda nevím, jak často se to aktualizuje nebo jak a jestli tam vychází teďko nějaký obsah, ale na tom komunitním webu WordPressu nášwp.cz, tak nevím, jestli tam vycházej třeba nějaký články nebo si tam ukazujou třeba i nějaký jako organizace akce, kde tě můžou prostě jako potkat i nějaký lidi jako osobně, na něco zeptat. Nějaký WP pivka.

Vláďa: Přesně, to je jako to je výbornej směr, nášWP, tak je vlastně jako komunita pár lidí, který tady organizovali WordCampy, starají se o překlady WordPressu a tak. Bohužel, jak přišly prostě covidy a tyhlencty věci, tak to docela hodně jako dění utichlo. Já jsem vlastně aktivní člen týhle komunity, ale teďka nějak prostě sbíráme síly něco znovu jako oživit no, ale snad se nám to povede no.

Jako ty WordPress piva jako určitě, hele určitě fajn, WordPress má takovou věc, kterou všichni viděli a všichni ignorujou, a to je WordPress nástěnka. když už jdou do WordPressu, tam je dashboard a tam je nástěnka, kterou, otevře se to a jdu někam jinam že jo. Ale na tý WordPress nástěnce, tak je i seznam vlastně akcí, který jsou blízko, těch oficiálních wordpressích, a tak je možná dobrý se tam občas jako kouknout, jestli náhodou není někde v nějaký mojí dostupnosti prostě WordCamp, nemusí bejt teda zrovna v Praze, co jsme organizovali my, ale prostě Brno jo, může bejt prostě u kamarádů v Bratislavě jo, Poláci dělají spoustu jako věcí.

My se snažíme, doufám, že se to nám to podaří, obnovit tu tradici těch WordPress piv, který byly jednou měsíčně, sem tam online jo, sem tam fyzicky. Kdyby se to podařilo, tak to zase bude na tý jako WordPress nástěnce vidět a dojet si na tu akci, tak si myslím úplně nejlepší.

Iveta: Tam tě můžou potkat nebo kohokoliv vlastně, že jo z tý komunity, to je pravda, to hodně doporučujeme, jakože, vím, že aktivně je to teďko v Brně, tam jako hodně a nevím teda v Plzni, to bylo taky asi chvilku.

Vláďa: V Plzni jsme to nezvládli. Vlastně byly plány, bylo snad jedno onlinové, ale nepodařilo se, Plzeň je v tomhle taková docela v těhletěch jako akcích jako mrtvá, řekl bych bohužel. My tady máme vlastně, snažíme se dělat, já ještě dělám jako Python věci, takže máme tady nějaký Python srazy, který se snažíme organizovat, ale to jsou prostě malinký, akce pro 20 lidí jo, je to příjemný, ale není to nic velkýho, no.

Iveta: Ostrava vlastně myslím, že ještě je. Ostrava a Pardubice docela, takže to jsou takový jako města místa, kde můžete někoho potkat a případně asi teda nevím, jak seš na to ochotnej, ale určitě jako se nebráníš, když ti někdo prostě napíše, ať už třeba na Facebooku to zkusí, tak…

Vláďa: Jo, jo, jo, jako já Facebook moc jako nepoužívám a nečtu, takže tam může napsat, ale nevím jestli, omlouvám se dopředu, že možná odpověď nepřijde, spíš teda jako Twitter jo, osobně nebo teda X, dobře a ještě pak jako, ještě pak vlastně máme jako mezinárodní takou hackerskou skupinu na Discordu, Blueteamer.io, kde jsou fakt jako hekři, takže tam taky můžete.

Iveta: Ale spíš radši doporučuješ prostě následovat všechny ty rady než teda dojde úplně k tomu průšvihu.

Takže na závěr teda poslední otázka, když si teda z tohodle tady našeho dnešního povídání máme shrnout nějakej fakt jakože checklist těch jako základních prostě bodů z těch oblastí, tak jak bys to nám teda tady všechno shrnul ještě.

Honza: Takže takový opáčko tý bezpečnosti, ať to máme všechno po ruce.

Vláďa: Updaty, updaty, updaty, updaty, updaty a updaty jo a zálohy. Ne jako fakt ty updaty jsou jako strašně důležitý. Protože mohl bych jít do technickejch detailů, ale myslím si, že to by bylo na dlouho, ale prostě WordPress je háklivej zrovna, třeba na ty jako vložení toho JavaScriptu, a to je prostě velká chyba jako spousty pluginů, že si špatně ušetří vstupy a je možný na ten web jako propašovat JavaScript, kterej pak na pozadí udělá neplechu, že třeba založí toho založí třeba administrátorského uživatele nebo prostě nahraje nějakej svůj jako plugin, kterej je backdoor jo nebo něco takovýho. Takže to je fakt jako většinou ty updaty tomhletom pomůžou.

Další věc jako není to úplně nutnost, ale pro začátečníka si myslím, že to nejlepší způsob, tak mít nějakej ten bezpečnostní plugin, což může bejt Wordfance, jsou nějaký další. Je WP Cerber, je docela dobrej, kterej je zadarmo a ten Wordfence no a ještě určitě by se našly nějaký další, který by stály za zmínku, ale myslím si, že ten říkám ten Wordfence je takovej jako tool, kterej toho má jako nejvíc v sobě, co je schopnej prostě pohlídat a takže do toho bych asi šel jako bejt začátečníkem.

Ono teda i jeho nastavení taky není právě docela jednoduchý jo, to je jako další problém. Nicméně na YouTube kanálu z těch našich konferencích z WordCampu Praha, tak tam určitě jsem měl jako minimálně jednu přednášku minimálně jednu přednášku jsem ukazoval nějaký jako základní nastavení, takže to bych do toho bych šel.

Ověřil bych, že fungujou ty backupy, protože pak jako když se něco stane, tak jako ten čistej backup, to je úplně neocenitelná věc už jenom proto, že můžu prostě srovnat, co tam bylo a co tam je teďka a zjistit v čem se to liší jo. Ono je to jako většinou mravenčí práce a když aspoň mám jako to srovnání, hlavně když používám nějaký ty prémiový pluginy, nebo používám prostě šablonu, kterou mi někdo na míru udělal jo, tak vlastně nemůžu to porovnat jednoduše proti nějakýmu jako oficiálnímu repozitáři a potřebuju jako nějakou čistou verzi, abych si projel ty rozdíly a zjistil: Hele tady se přidal nějakej kus kódu a to mi pomůže prostě víc pochopit jako, co to mohlo mít za dopady jo. Takže ty zálohy jsou fakt za mě fakt důležitý, často je řeší hosting.

I tak bych si ale ověřil jakože opravdu fungujou, my taky a možná bych si fakt jako přidal ještě nějaký vlastní zálohovátko, takovej oblíbenej je třeba Updraft, kterej to myslím, teď nevim, jak to má placená/neplacená verze, ale věřím, že to i v tý freečkový umí třeba zazálohovat někam na svůj vlastní síťovej disk jo, na nějaký prostě cloudový úložiště.

Když mám víc webů, tak bych se snažil prostě nasadit nějaký sytém, kterej mi pohlídá aktualizace komplexně, abych věděl, kde je jako třeba nějaký updaty províst.

No pak je důležitý jako taková ta všeobecná bezpečnost jo, prostě mít třeba toho správce hesel a fakt se navyknout na ten jako bezpečnej styl života. To znamená prostě neřešit jako hesla, že tam budu přidávat 1 2 3 4 5 jo, ale prostě fakt jako vygeneruji 24 znakový 30 znakový heslo plný vše možnejch divnejch znaků a je mi to vlastně jedno, protože nikdy nebudu muset jako pravděpodobně ručně ho vypisovat, když teda nakonec musím ho ručně vypisovat tak se u to samozřejmě každej jako budu se vztekat, ale to se děje jako fakt jako v krizových situacích.

Honza: Na dovolený, když si chci přidat Netflix.

Iveta: A to mi teďko ještě rychle vybavilo, že vlastně jedna z těch funkcí a teď nevím, kterýho správce hesel, tak má ten Watch Tower, což je v podstatě ta funkce, která ti jakoby kontroluje, že jo, jak starý ty hesla jsou, jestli by sis je neměl vlastně jako obměnit, že jo. Což je taky asi důležitý.

Vláďa: Jako já si myslím zase jako u těch, když ne aktivně nedošlo k jako úniku toho hesla, takže není úplně moc velkej důvod je měnit. Bohužel spousty jako bank to bohužel chce ty hesla měnit, ale to pak sklouzne k tomu, že ne ty uživatelé password manageru, protože těm je to fuk, ty tam ťuknou a zase jim to vygeneruje jako nějakej hatla matla dlouhej řetězec, ale prostě ty běžný uživatelé, který ho nepoužívaj, tak tam prostě přidaj jedničku nebo přidají tam prostě rok jo nebo měsíc jo nebo něco takovýho a pak maj jako heslo, který když unikne, tak teď vidím jako v tom heslu, že tam je prostě 2022 na konci tak a to mi nefunguje, tak co bych zkusil 2023 nebo 2024.

No a tohle jsou triky, který jako jsou jako známý. Když třeba louskáš jako ty hesla na grafický kartě, tak tam přímo uděláš pravidla, který prostě vezmou známý jako hesla, který unikly a teď dělají takový ty triky jako přidáme nakonec hvězdičku, přidáme nakonec vykřičník, přidáme tam číslíčko jo, změním první písmenko na velký, Óčko nahradím óčko nulou jo, a to jsou prostě takový ty běžný věci, který jako když o nich ví uživatel, že by to takhle mohl dělat, tak jako hacker to ví taky jo.

Taková ta hezká věc, že člověk vlastně si myslí, že to je vlastně hrozně komplikovaná věc hradit vlastně všechny písmenka, ale pro ten počítač je to takhle (luskne prsty).

Iveta: Dobře, takže to jsme měli teda zálohování, nějaký bezpečnostní prostě obecný principy dodržovat, že jo, správce hesel…

Vláďa: Třeba i fakt jako snažit se za mě minimalizovat ty třetí strany, takže když prostě mám Chrome jo, tak jako snažit se minimalizovat ty rozšíření nebo jim nastavit aspoň takový, že aby se aktivovalo tak, že na ně musím kliknout nebo něco takovýho jo, aby prostě pořád nebylo aktivní rozšíření, který potřebuju na třech webech, ale ono je schopný ze všech webů mi prostě něco prostě vyčítat jo. Je to i o tom prostě udržet ten aktualizovaný operační systém, je to o tom i jako když cestuju s notebookem, s mobilem, tak do jakejch sítí se připojuju.

Ono dneska máme jako už ten luxus, že skoro všechno je na https jo. Před pár lety, tak to ještě byl jako docela problém. Já jsem nevím, to bylo divokej západ, pět let, šest let zpátky, tak jsem dělal průzkum českejch e-shopů. Viděli jsme asi nevím, zkontrolovali jsme 36 000 myslím jako českejch e-shopů a z nich pořád jako zásadní část nebyla na https jo. A to pak jako se stane to, že třeba i máš doma router, že jo, jak často aktualizuješ a když je to po http, tak jako kolikrát tam může bejt problém, kterej ti tou nešifrovanou komunikací z toho ty hesla prostě vytáhne.

A to vlastně teď zajímavý, že vlastně teďka bylo myslím v únoru, tak vlastně poprvý v historii Český republiky, tak armáda zasahovala jako na civilní síti, že byly routery, který měly v sobě nějakou bezpečnostní slabinu, kterou zase se využívali nějaký oškliví cizí lidi a tak myslím, že prováděla právě po schválení zase nevím kým, tak prováděla jako protiútok. Když tu chybu někdo odstraňoval, že ti jako opatchovali aktivně tvůj domácí router jo, kterej byl napadený.

Iveta: To je super teda. Dobře, takže to bylo tohle. No promiň já jsem nechtěla do toho skočit, nebezpečí hrozí jako všude, úplně všude no, ale nebojte se toho. To je jako účel videa nebylo jako navodit depresi, to ne, ale teda prostě jinými slovy, je fakt důležitý si dávat bacha jako opravdu nejenom na úrovni toho webu, ale prostě fakt i jako počítače. Fakt jako lokálně prostě, jak se k tomu jako chováme jo. Tam ta dvoufázovka je prostě fakt super věc. Kde to jde, tak bych si ji zapnul.

Honza: Zeptám se třeba k tý dvoufázovce. Jak rychlá je vlastně adaptace vlastně těch věcí, který se usadí v těch pluginech, že jsou fakt jako dobrý. Že třeba jako ta dvoufázovka bych vnímal, že po nějakejch dvou letech v pluginech se dostane jako do core jádra WordPressu. Protože ji vnímám, že je to fakt jako nedílná součást toho core jádra. Jak tam žije tenhleten život bezpečnostní vlastně?

Vláďa: V tom já vnímám WordPress, že má jednu výbornou vlastnost, a to je zpětná kompatibilita jakože, ale zároveň je to jeho největší zhouba. Ne je to poměrně jako fakt, jako složitý, protože ty změny v tom jádru tak vyžadujou poměrně dost jako testování a seš fakt jako závislej. Jako já nevím, kolik je teďka pluginů jo těch oficiálních, prostě desítky tisíc, možná stovky tisíc a teď jakože vydáš nějakej update, kterej je rozbije, tak jako je dost.

Sice teda myslím, že ta dvoufázovka tak ta by tolik věcí nerozbila a ty věci, který jsou napsaný dobře, tak si s tím jako poradí docela, že tam bude prostě v tom autentifikačním flow, ale je to dost pomalý. Takhle, když jsem povídal o tom nebezpečí toho javascriptu, jakože se dostane na frontend a z toho něco provede, tak vlastně je to chyba, která je zneužívaná už jako léta. Já se snažím, jako jsem se jí snažil nějakým způsobem nahradit a její oprava je ve skutečnosti přehození dvou řádků kódu v coru WordPressu. Mám připravený na to patch jo, ale už to zase x měsíců leží prostě na nějakým jako core týmu, kterej to má posoudit a tak a nic jo.

Další jako nebezpečnost jako toho WordPressu, tak je… Já nechci hanit jako WordPress Security team a core team, ale nějaký věci prostě tam trvaj jako dlouho. Já to sice z nějaký strany chápu, že prostě nemůžeš jako si takhle říct a teď to všechno překopeme, ale něco tam jde pomalu.

Já tam třeba, co mám rozjetý za tikety, tak je vlastně, že nejsem spokojenej s instalátorem WordPressu. Protože ty jako nějaký hostingy mají prostě One click instalátor, kterej ti to všechno nainstaluje, ale ten tradiční způsob je takovej, že si objednáš hosting, tam si dáš doménu, ono to vygeneruje SSL certifikát, ty máš nějaký FTP, nahraješ tam instalátor WordPressu a pak ho jdeš instalovat jo, ale tady teď je nějaký jako „okýnko“ časový, kdy vlastně tam je třeba pár minut ten nechráněný instalátor a tím, jak se vystavil https certifikát, tak ten se dostane, jmenuje se to Certificate transparency Log, kde útočník je schopnej se dozvědět o novejch webech, o novejch jako certifikátech, který byly vystavený a on může bejt rychlejší než ty a prostě ten tvůj WordPress ti nainstalovat za tebe.

Takže on ho nainstaluje a teď já tohlencto jako sleduju a prostě našel jsem desítky tisíc webů, který jako tímhletím byly napadený a pořád jako ten ticket je otevřenej, já nevím pár let. Mám blog smitka.me, anglickej, kde tohlencto mám popsaný. A já jsem vlastně dělal to, že jsem vlastně, rozsel nějakou nevím z 50 nějakejch fejkovej jako WordPress webů nebo opravdovejch WordPress webů, kde byl ten instalátor na oko otevřenej a sbírám ty útočníky, který jako na mě jako útočí a oni udělají to vlastně, že často dělají to, že vlastně oni ti to tam nainstalují a nastaví ti tam svojí vlastní databázi jo. Ty pak ten WordPress nainstaluješ, databázi na WordPress, jako na tom hostingu, ale do jejich vlastní, tak oni pak mají všechno, a ta je často sdílená.

Takže já chytnu útočníka, zjistím jeho databázi, připojím se a jsem schopnej tam vyčíst jako všechny ty weby, který on takhle napadl a získat často e-maily na ty lidi a můj automat jim pak pošle upozornění, že jejich web byl jako napadený. Ale je to tak právě tahleta věc, že ten instalátor je jako když ho tam takhle necháš, tak dneska fakt stačí, dřív to už ten problém je popsaný jako spousty let, ale dřív to problém nebyl, no byl to problém, ale ne tak závažný.

Protože náhoda, že najdeš ten zrovna otevřenej instalátor, ten web novej, tak byla minimální, ale dneska s tím Certificate transparency logem je to otázka fakt jako pár vteřin, pár minut jo, než získáš informace. Ty útočníci jsou fakt schopný to zneužít a nainstalovat to za tebe, takže buď to tam můžou, že ti tam vnutí jejich vlastní databázi, nebo ten WordPress nainstalujou, nahrajou ti tam svůj jako backdoor, pak ho zase odinstalujou a ty si to pak jako sám provedeš. Ale už tam máš jako někde schovaný backdoor, takže to je jako další jako věc, která tam je známá léta.

Já jsem otevřel tohlencto téma, nevím před dvouma, třema rokama znovu, protože jsem to cejtil, že je to důležitý, ale pořád se s tím jako nic neděje jo. Protože províst tam úpravu, tak je složitý, protože to ovlivní jako spousty třeba hostingů. Já jsem tam vymyslel jako systém, že vlastně, když by se to mělo instalovat nějaký cizí databáze, takže tam bude ještě jeden krok ověření navíc. Ale musí si všichni jako promyslet, jestli tam jako nebudou nějaký edge casy. Který tam jako budou pravděpodobně, ale něco takovýho prostě opravit, je strašně složitý.

Tady tyhlencty dva řádky, to je za mě prostě jednoduchá oprava, ale já třeba nejsem jako nevím třeba, něco přehlížím a možná tam může tam bejt ještě nějakej jinej problém, kterej já si myslím, že přestane fungovat půlka pluginů. Já si myslím že ne no, ale nevidím právě jako říkám ty lidi, který fakt to jádro dělaj, tak asi tak zase tomu jako rozumí jo a umí si třeba představit nějaký scénáře, který já si schopnej představit nejsem, ale zrovna tady si myslím, že by to stačilo opravit, a tím by se jako spousta těch útoků jako zamezilo. Takže jako udělat bezpečnostní nějakou věc, což jako spíš takovou tu infrastrukturní nebo jako změnu nějakýho konceptu je strašně složitý. Opravit nějakou zjevnou chybu, tak jako problém není, ale udělat nějakou takovouhle věc, která mění nějaký jako zajetý flow, tak je dost jako problematický no.

Iveta: Takže jestli to chápu správně, tak ty ji jakoby vlastně asi, když jsem to teda pochopila správně, myslíš, že je spíš asi lepší využít toho rychlýho instalátoru na ten klik, když je to možný, než to dělat vlastně jako růčo.

Vláďa: Dneska jo, já jsem jako dlouho byl proti tomu, protože jako zase spousty hostingů bůhví, jak to mají udělaný a vím jako z minulosti, že spousty hostingů ten jejich One Click instalátor jako ti tam ještě nějaký další bezpečnostní chyby udělaj, což doufám, že dneska už jako tak nějak jako je opravený. Že už jako je to fakt jako podle nějakých standardů, ale dneska dneska fakt jako doporučuju ten oneclick instalátor no.

Nebo samozřejmě, když vím, že s tímhletím jako něco takovýho se tam děje, tak jsem schopnej si to upravit jo, že si třeba povolím přístup na ten web jenom z mojí IP adresy, než to nainstaluju nebo něco takovýho. Ale to zase neudělá jako běžnej člověk, takže dneska fakt jako ten One Click instalátor, který mi to tam jak nasype, tak je samozřejmě jako lepší teďka.

Honza: Super, zmiňoval jsi nějaký úpravy dvou řádků nebo nějaký patche a podobně. Trošku mě jako tam nabádá myšlenka typu, máš nějakou vlastní jako upravenou distribuci WordPressu, kterou používáš pro instalaci jako pro svoje weby nebo existuje nějaká takovádle jakoby víc Security patch verze než ta oficiální WordPress?

Vláďa: Já vlastně co používáme my, tak jako není to, že by to byly přímo jako velký patche do jádra, ale máme k tomu nějaký svůj jako vlastní plugin, kterej modifikuje ve WordPressu, je něco, čemu se říká „must use“ pluginy, který se pouští poměrně v raných fázích jako startu toho WordPressu. Tady jsi schopnej v tom jako poladit ještě dost jako různejch věcí, takže já mám nějakej svůj „mu“ plugin, kterej mi tam tady tyhlecty věci, o kterejch vím, tak jako upravuje chování, aby to nebylo zneužitelný.

Potom máme ještě i vlastní rozšíření do PHP, který vlastně upravuje nějaký zase věci, který se mi nelíbí v PHP, ale to jako nemůžeš provozovat jako jen tak jako někde jo. Tam konkrétně třeba, to naše tak upravuje funkci „eval“, která vykonává kód a jsem schopnej do ní předat nějaký kontroly nebo nějaký logování.

Honza: Ještě se to používá ve WordPressu někde?

Vláďa: To se používá všude možně. Hlavně v buildrech je to taková znovu jako renesance evalu, protože je tam často blok na vykonání vlastního jako kódu jo, to neuděláš jinak než jako evalem. Když to chceš, aby to udělal uživatel a někde to nekódil v nějakým jako postranním souboru, plus máš dneska jako spousty třeba jako pluginů na všemožný snippety kódu jo, že si prostě tam dáváš nějaký snippety, který něco dělaj, tak ty často taky potřebujou jako vykonat ten tvůj snippet. A často to dělaj evalem jo.

Jako říká se jako eval je evil, že jo, ale jako používá se jako pořád a dneska bych řekl ještě víc než dřív no.

Honza: Pro mě novinka jakože tohodle světa, jsem byl chvilku jako pryč a myslel jsem si, že je tam, ale je zakázanej.

Vláďa: Ale eval jako ani nezkážeš no, protože jako přímo když nemáš jako extra rozšíření, který ho umí upravit.

Honza: Umíš, tak umíš no, ale chápu. A je něco jako takováhle jako doporučená jako alternativní verze. Obecně jako neexistuje něco?

Vláďa: Jako hele existuje Classic Press, což je vlastně fork jako WordPressu jako z tý starý verze ještě bez toho Gutenberg editoru, kterej je pořád jako jakž takž jako vyvíjený, ale není to, že by to bylo o těch jako nějakejch jako security patchích nebo nějakejch takovejhle jako věcech, který by se upravily v tom jádru, ale spíš o to tam dostat zpátky ten normální starej editor, kterej jako spousty lidem jako vyhovoval a pro jednoduchý věci je prostě pořád v pohodě.

Honza: Když to takhle poslouchám, tak kdybych byl běžný Franta uživatel a chtěl jsem udělat web, tak vlastně jako si řeknu takovejhle věcí pro to, abych si rozdělal WordPress i když ho mám na One Clik, jako to je úplně v hostingu tak to na mě jako dává jako nějakou zodpovědnost jakože to je fakt, jako to je to zvířátko, který si pořídím domů a musím s ním každej den jako chodit minimálně jako venčit.

Vláďa: Je to tak a spousta lidí si to neuvědomuje no a ono jako ono je to složitý, protože jako můžeš si udělat web, nechat u někoho udělat na míru, ale zase nevíš jako jak ten, hele já jsem ve skutečnosti našel za svojí kariéru asi víc zranitelností v těch jako custom řešeních než jako v samotným jako WordPressu, nebo jeho pluginech.

Prostě zase, když to někdo dělá, tak zase nevíš jako, jaký má jako procesy, je to zase teda závislost na tý třetí straně a říkám, ta komerční služba, když si vezmeš nějakou třeba komerční službu nebo tady Open Source velikánskej projekt WordPress Drupal, tak tam aspoň vidíš, že tam za tím je nějaká jako komunita, která se o to snaží starat jo. Když to, když si vezmeš prostě od tady si na ulici najdeš nějaký webový studio tak jako nevíš jako, jestli to udělaj dobře, jestli to udělaj špatně…

Já jsem zároveň byl dlouho ve WebTop100 jako v porotě a garant pro to technický řešení a tam jsme testovali prostě weby bank, automobilek a tyhlencty jako velký jako weby a i tam jsme prostě naráželi na fakt jako kritický chyby, který když to dáš na audit, tak šikovnej člověk to najde prostě za nevím, za hodinku práce ti tam jako spoustu těch věcí najde a tam to prostě přetrvávalo.

Já dneska když jdu koupit, žena mě pověřila, ať koupím kartáčky na zuby, tak první věc, co jsem našel, tak na webu s kartáčkama na zuby jsem našel cross-sell scripting… kartáčky nemáme, ale máme dvě zranitelnosti, paráda. Tak já jsem si samozřejmě řekl jako nějakou odměnu za to, jestli mi nedají jako, že chci koupit kartáčky, nikdo neodpovídá, no to je jako, nakonec asi budu muset koupit no, za peníze.

Iveta: Takže ono vlastně jako poznat navíc ještě jako v těch dodavatelích webu jako toho, kterýho úplně jako radši se jako na tady to neptat nebo nechtít po něm tady tu pomoc, je taky docela asi jako těžký teda jako rozeznat.

Vláďa: o je to fakt jako těžký v jakože, hele stává se to i prostě velkej jako studiům jo, protože ono je to složitý, tam máš jako zranitelnosti v kódu, pak máš zranitelnosti v celý tý infrastruktuře, jak nastavit web server, máš zranitelnosti na serverech a na to, abys to mohla provozovat, tak by si potřeboval fakt jako velikánskej tým lidí, kterej všechno tohlencto umí a těch lidí jako, který tohlencto všechno umí, je fakt málo. Takže proto to většinou hodíš nějaký službě a doufáš, že ta služba se o to jako postará no.

Což teďka zase můžu nalákat na svůj blog smitka.me, kde teďka vychází seriál, jak jsem testoval všemožný Cloud panely, který právě mají řešit to, že si k nim hodím web a oni zajistí bezpečnost a provoz jo, nakonfigurují mi server a přes nějaký klikátko si tam přidávám weby a zjistil jsem, že naprostá většina z nich má fatální chyby prostě třeba v izolaci webu. když to samozřejmě inzerují na webu: „máme docker a všechno a byl jsem teď myslím u 11 z 12 testů, co jsem zkoušel, tak jsem byl schopnej z jednoho webu ovlivnit jinej jo.

Iveta: To už vlastně je taková jedna z věcí, co mě hned napadla jako, jak to ověřit, když jako někdo se bojí si to jako naklikat sám nebo si prostě udělat ten web sám, tak mě se vždycky vybaví takový ty příspěvky v těch WordPress začátečníci nebo prostě i WordPress rady typy poptávky a takhle, kdy to prostě člověk už vidí na první dobrou, že jo úplně jako šíleně zbastlená nějaká jako grafika v Canvě prostě, Jako nechci urážet Canvu, ale prostě je to tam něco už jako vidět na první dobrou. Člověk se proklikne na web a vidí, že ten web už jako sám o sobě vypadá jako divoce nějak, tak asi úplně tam jako není ta správná cesta. Teda jakože chtít od toho člověka asi web, že jo. Jako poznáte to hned na první dobrou, tady tou cestou se radši nedejte, když jako chcete svůj web od někoho cizího.

Vláďa: Hele ono jako jedno vodítko je prostě cena jo, která jako, když je podezřele nízká, tak jako to může značit jako docela problémy, ale na druhou stranu, když je podezřele vysoká, tak ty problémy tam můžou bejt pořád úplně stejný, akorát za to vysolíš víc peněz no.

Řešil jsem problémy třeba na edalnice cz jo, když jako ten web se pustil, což taky byl prostě WordPress web za poměrně hodně peněz a taky tam byly prostě kritický chyby jo.

Honza: Zmiňoval jsi vlastně jako ten nějakej plugin, kterej ti řeší vlastně ty přehled těch aktualizací těch pluginů a to mi přijde jako, že vlastně, jako mám za to, že jádro se tak nějak umí jako aktualizovat plus mínus samo. Ale ty pluginy vlastně ne, je to spíš ale daný zase tím, že oni jako jádro nechtěj jako automatizovat to, že my vám aktualizujeme něco, co nemáme pod kontrolou a může vlastně jako rozbít.

Vláďa: Dneska už to jde vlastně. Velká část pluginů ty oficiální pluginy z repozitáře, u nich můžeš nastavit auto-update. Ono to šlo i dřív, ale bylo to schovaný někde. Je jsi to musel v configu povolit. Já osobně, my takhle, když se staráme lidem o weby, tak to máme rozdělený. Že víme, že je nějaká sada jako pluginů, který nejsou úplně jako, nejsou to třeba ty velký komplexní pluginy, a necháme ať se aktualizují sami. Ono teda pak ti bude WordPress spamovat schránku, že ti aktualizoval „Zdravíčko, aktualizovali jsme vám tady tyhlencty… „některé pluginy byly automaticky aktualizovány“.

Ale já mám rád, že si tam nechávám pořád nějakou jako kontrolu nad těma třeba většíma, když mám nějaký větší update, tak o tom vědět jo. Prostě si k tomu sednu, aktualizuju si to vyzkouším, že všechno funguje a pak je to vyřešený.

My třeba, jako takhle, my ten auto-update jako na našich serverech nepoužíváme jo ani u jádra. My máme vlastně udělaný to tak, že máme vlastně jednu Read Only dá se říct Master instanci, ze který jako pluginy… Máme tam nějaký repozitář pluginů, který používáme a to vlastně linkujeme do těch jako reálných webů a na pozadí prostě běží, nevím každejch pár minut, aktualizace jádra, když je k dispozici. Takže my to vlastně jako nepoužíváme, ale vlastně tu funkci používáme, jenom ji máme implementovanou nějak jako vlastní.

Ale dneska si bez problémů můžeš jako naťukat u těch zase oficiálních pluginů i u nějakejch komerčních jako ve WordPressu, prostě tam je nějakej jenom přepínač, chci to automaticky aktualizovat a bude se to aktualizovat a asi bych to i doporučil použít jo. Já mám teda radši, že budu mít jako chvilku nefunkční web zase, když tam dáš nějakej třeba monitoring jo, že ten web funguje a tak to je taky cesta prostě. Dát si všechno aktualizovat a když dojde k nějakýmu problému, tak se na to kouknu a opravím to jo. Použil bych to no.

Iveta: Takže i u těch jako builderů.

Vláďa: Máš jako builder, kterej je plně komerční a jsou k tomu komerční addony, tak jako ty často tu funkci nemají.

Iveta: Takže tam prostě fakt si to spíš jako hlídat jako ručně.

Vláďa: Jasně, jako já mám rád, máme 800 webů jo, který jako nějakým způsobem udržujeme. Tak já mám prostě rád, když se kouknu a vidím jako nějakej overview. Kde je jako problém a tak a oni třeba ty auto updaty se můžou rozbít jo.

Jako bylo spousty chyb v jádru, který rozbily auto updaty, stane se třeba, že tam nevím WordPress jako taková jako častá věc, kterou jsem potkával bylo, že prostě samozřejmě frčí git, že jo a tyhlencty věci, tak vývojář měl WordPress jako v gitu jo a ten deploy měl žít vlastním životem. Jenomže WordPress, když detekuje, že tam je ta složka git, tak bude hele „Kašlu na auto updaty“, protože předpokládám, že se o to někdo stará.

Bude to tam jako nějakýma akcema prostě, deploy automaticky z gitu, a to se jako taky pořád setkávám s tím, že to někdo takhle udělal, jako vytvořil ten web, nahrál to tam, ale je tam ten git a přestal fungovat auto updaty, protože WordPress to stopne jo. Protože čeká, že se o to bude starat někdo jinej. To taky jako málo lidí ví. No a takovejhle jako nástrah tam je, dobře jako poměrně hodně. Proto mám rád, jakože fakt jako mám, někde prostě ten seznam toho, co je potřeba aktualizovat. Reálnej, že to koukne, co tam ve skutečnosti je a co je k dispozici.

Pak se taky často děje to, že prostě třeba se ještě použije starý PHP. Nějaký třeba pluginy nejsou kompatibilní s novýma PHP a stane se ti to, že jako ty nový updaty jsou jenom jako jedou, ale ty o nich nevíš, protože máš starý PHP. Tady ti to nenabídne ten update, protože by to nebylo kompatibilní. A on třeba může bejt kompatibilní jo, jenom prostě tam je nějakej flek, kterej říká „Hele nebude to fungovat“.

A pak ještě další jako věc, co si myslím úplně největší zvěrstvo jako ve WordPress plugin repozitáři je, že často je nějakej plugin vyřazený, třeba kvůli bezpečnostní chybě z něj, ale tobě tam zůstane. Protože ty nevíš, že byl vyřazený a ani tam nejsou jako updaty, protože už neexistuje a to často za tebe třeba pohlídají i ty tyhlencty jako nástroje, že ti řeknou „Hele tenhlecten plugin už je opuštěnej, je potřeba ručně ho smazat, že vlastně nemá náhradu.

Nebo, což už souvisí s tou zodpovědností, že jo, když už ten web máš, tak máš mít tu chuť se o to fakt jako starat jako důkladně jo. Ale kolikrát jako, když fakt jako máš nějakej plugin, je v něm nějaká kritická bezpečnostní chyba, kterou ten autor neopravil, tak WordPress tým udělá to, že ho vyřadí a tobě tam prostě zůstane. A nemáš informaci o tom „Hele tady už update nikdy nebude“ a je tam kritická zranitelnost.

Iveta: Takže ideálně deaktivovat a smazat teda rovnou.

Vláďa: Jo, jo, jo, ale musíš se o tom dozvědět, že to máš udělat jo, což jako když se sama nebudeš jako koukat a rozklikneš si na to ten jako plugin, jako tu stránku toho pluginu repozitáře, on ti řekne „Hele, tohle už tady není“, tak se to nedozvíš a nějaký právě ty nástroje na tu hromadnou správu ti jsou schopný říct „Hele tohlencto ten plugin už jako…

Iveta: No, tak to asi zaznělo, že jsme téma vyčerpali docela dosyta mi přijde…

Honza: Myslím, že nevyčerpali, ale minimálně jsme vystrašili spoustu lidí, že se rozhodli jak, tak si uděláme rychle jenom takovej jednoduchej web na WordPressu.

Vláďa: Když uděláš jednoduchej web na WordPressu s nějakou prostě nevím 2020 šablonou nebo nějakou z toho oficiálního repozitáře, dáš tam nějaký základní, osvědčený věci, tak můžeš mít jako rozumnej web, který nebude prostě lítat tam všechno možný, ale prostě bude to web prostě nevím pro tvůj osobní blog jo. Nebo pro školku nebo pro něco takovýho a zase, když od toho nechceš moc, nepřestřelíš jako ten svůj start, nepřeceníš ty svoje schopnosti, tak seš schopnej udělat jako v pohodě web, kterej není úplně mega krásnej třeba, ale dostatečně funkční.

Honza: A automatizovaný díky kódu v jádru.

Vláďa: Takže bych se toho nebál, ale zase bych jako zhodnotil bych svoje zkušenosti a schopnosti no. Než se budu pouštět do nějakých jako nakupovat komerční pluginy a 10 rozšíření.

Iveta: Nebát se ale prostě respekt je důležitej.

Honza: Tak jo.

Vláďa: Možná ještě jedna věc, jako když pak třeba se mám nějakej problém a ptám se třeba na nějakým tom fóru nebo v diskuzní skupině nebo tak, je úplně nejlepší fakt jako dát co nejvíc informací. Jako říct adresu toho webu, který řeším, kde je ten problém, protože když tohlencto nedám, tak ty lidi, který tomu rozumí, tak nebudou trávit čas, že budou se z tebe snažit vymámit konkrétní detaily. Ty jako lajk tak nevíš jako přesně ty detaily, který potřebuješ a když dáš prostě nevím výstřižek, nějakej screenshot, kde není adresa, není tam jako nic, tak jako nikdo zkušenej ti jako nepomůže zadarmo. Protože by musel jako vlízt a ptát se a zjišťovat a když tam dáš prostě URL adresu, mám tady takovýhle problém, dáš tam toho co nejvíc, v logu mi to píše/hlásí to tuhletu chybu…okopíruješ to tam vyprintscreenuješ jo nebo něco tak čím víc informací dáš, tak tím větší šance, že se ti dostane pomoci.

Iveta: Takže takový to prostě, člověk panikaří, tak prostě zachovat klidnou hlavu, nadechnout se, dát tam prostě screenshot a napsat tady web na týhle adrese, tohle jsem dělal…

Vláďa: Jo, fakt jako co nejvíc tohlencto popsat a tím máš mnohem větší šanci, že ti poradí někdo jako, kdo tomu rozumí a poradí ti dobře jo. Než prostě fakt jako ty lidi, který jako ti chtěj pomoct a jsou jako mají ty zkušenosti na to, tak nebudou dohledávat, nebudou z tebe mámit, co je to za URL adresu.

Protože samozřejmě nechceš se ztrapnit, že jo, jakože ještě jsem tady webový studio, udělal jsem už jako tři weby za svůj život jo, tak nechceš tam dávat jako ukázku svojho selhání. Ale jako je to potřeba, jestli chceš fakt dostat dobrou pomoc.

Iveta: No to jo no a zase jako ono přiznat tu chybu taky není vždycky úplně jako ostuda, že jo, to je jako jasný.

Dobře, tak asi jsme vyčerpali co jsme mohli pro začátečníky, natočili jsme to co jsme mohli, zvýraznili jsme, zdůraznili jsme co jsme mohli a tím se asi rozloučíme pro dnešek s Vláďou…

Díky, měj se fajn a zase někdy.

Vláďa: Taky díky.

Zůstaňte s námi v kontaktu

Jednou za měsíc posíláme souhrn novinek. Nemusíte se bát, spamovat vás nebudeme a odhlásit se můžete kdykoliv...

Karel Dytrych
Tým Váš Hosting
Vyzkoušejte náš trial na týden zdarma

Garance 14denní záruky vrácení peněz

Vyzkoušejte server na týden zdarma

Vyzkoušet server