← Zpět na všechny články blogu

S Musildou o WordPressu, bezpečnosti a blogování

Jaroslav Ludvík
Jaroslav Ludvík Aktualizováno 10. 10. 2023 – 11 min. čtení
Blog

Vladislav Musilda Musílek je dnes již známý vývojář pluginů pro Woocomerce a řečník na konferencích. 

Kdo ale je Musilda jako člověk? Co Tě (ne)baví?

Co mě baví? Baví mě WordPress. Zní to tak trochu klišoidně, ale je to tak. Každý den se dívám, co je nového, snažím se sledovat trendy, nové pluginy, nebo šablony. Prohlížím články, návody, koukám na tutoriály, po očku sleduji co dělá konkurence. 

A když si něco nečtu na internetu, otevřu si nového Kotletu nebo se podívám na nějaký dokument. A taky nevynechávám seriály, jako je Expanse a podobně. Takže jsem úplně normální, jen toho WordPressu tam je trochu víc. 

Když vyjde čas, tak jedu ven, někam na méně známá místa, protože těch v Česku stále dost. 

VPS Centrum

Vyzkoušejte zdarma naši aplikaci pro správu serveru a domén. Budete si připadat jako zkušený administrátor.

Musilda vyhlíží novou aktualizaci WooCommerce

Kde jsi se učil sám? Jakou formu bys doporučil? nějaký kanál, podcast, blog, knížku, školení…

Učil jsem se sám a hodně mi pomohl internet. Online toho je opravdu hodně a lze se naučit skoro všechno. Nehledě na to, že jakékoliv tištěné materiály v IT strašně rychle degradují a věci které platily před dvěma lety, jsou již zastaralé.

V každém případě bych doporučil kombinaci návodů, videí na Youtube a dokumentace. Hodně se dívám, kdy byl konkrétní návod publikován. Často mi píší lidi, že něco nefunguje a snaží se použít kód z osm let starého návodu. 

U školení bych se zamyslel nad tím, jaká je úroveň mých znalostí. Většina školení je připravena pro začátečníky nebo mírně pokročilé. Najednou pak zjistíš, že ti to už tak moc nedává a většinu už znáš. Proto je lepší přijet na WordCamp, nebo WP Pivo. Když se dáš do řeči s někým osobně, může ti to přinést víc, než celodenní školení.

Ty sám ale natáčíš videa. Co Tě k tomu vedlo? Na koho cílíš a máš nějaké ambice nebo je to čistě jen zábava? 

Natáčení videí přišlo tak nějak samo od sebe. Nejdřív v tom byl pokus o ulehčení práce. Zákazníci stále ptali na ty samé věci. Natočil jsem video a poslal jsem ho jako součást odpovědi. Pak jsem začal dělat pluginy pro WooCommerce a přišlo mi to jako dobrá součást dokumentace. A v neposlední řadě se mi to celkem hodilo na blog. 

Ambice nemám, dělám to jen tak pro zábavu. Ano, zkoušel jsem vytvořit i nějaký online kurz, ale už jsem toho raději nechal. Nejsem webinářový typ, neumím to připravit tak, abych s tím byl sám spokojen na 100%. Takže v současné době Youtube kanál strádá, ale určitě zase něco natočím.

Freelo - Nástroj na řízení úkolů a projektů

Přidej se, pozvi svůj tým a klienty, rozděl práci a sleduj, jak se úkoly dají do pohybu.

Jaké nástroje k práci používáš a bez jakého nástroje by sis nedovedl představit svůj den?

K práci primárně používám VS Code. Takové to klasické combo local+editor+git+Chrome dev tools, celkem nic víc nepotřebuji. Samozřejmě, že jsou nástroje, které tu práci usnadňují, jako je composer, npm a další, ale to má asi každý trochu jinak. Co mi vyhovuje, po tom sáhnu. 

Budou ještě webaři za 5 let existovat? Nenakliká si to každý ve WordPressu sám?

Jasně že budou webaři existovat. To že máš barvy a štětec, neznamená, že nakreslíš hezký obraz. WordPress a všechny buildery jsou jenom nástroje. Nic víc. Pro kvalitní design musíš mít vlohy. I když práce s buildery je spíše sestavování identikitu, než malování. 

Řeči o tom, že buildery nahradí webaře se objevují v takových vlnách, ale je to jen o tom co potřebuješ. Když potřebuješ prezentaci pro malíře pokojů, nemusíš mít web postavený na míru. To už ti udělá téměř kdokoliv a řada lidí to zvládne sama. Ale web, který ti generuje prodeje, kontakty, nové zákazníky nebo funguje jako platforma pro prezentaci větší firmy, tam už se bez webaře neobejdeš. Takže se o práci v následujících letech nebojím. Ano, je trochu jiná, než když jsem začínal, ale věci se mění, to je normální.

Kdyby jsi si mohl stáhnout do WP jediný plugin, který by to byl?

Nechal bych to bez pluginu. To ale bohužel reálně nejde. Takže asi WordFence. 

O WooComerce se říká, že není vhodný pro české prostředí. Proč se to říká? A je to pravda?

WooCommerce je primárně zaměřená na anglosasské prostředí. To je jeden z největších trhů na světě, takže většina produktů, které se používají globálně je na tom stejně. To že v ČR máme řadu e-shopových řešení (krabice), které jsou pro naše prostředí přizpůsobeny již od začátku, neznamená, že WooCommerce je nějaká vyjímka, která v ČR nejde používat. Magento, Prestashop, Opencart a další jsou na tom stejně. Stačí se podívat, na nabídky modulů pro Prestashop pro české prostředí. Takže ano, je pravda, že se WooCommerce musí doplnit o nějaké moduly, které pro plnohodnotný e-shop potřebujete, ale v základu je v podstatě funkční.

Když budu chtít prodávat třeba keramiku kterou si doma někde dělám v dílně, tak potřebuji jen nainstalovat WooCommerce, nastavit a mohu začít. Ale vždycky jsou pak potřeba nějaké další prvky, jako je platba kartou a pak nezbývá, než sáhnout po pluginech. A protože ty služby jsou často lokální, jsou potřeba lokální pluginy. To je normální, takže nemám pocit, že WooCommerce není vhodný pro ČR, i když jsou věci, které jsou odlišné a občas s nimi jsou problémy. Viz třeba dobírka. to je taková specialitka této části Evropy, protože v USA zaplatíte kartou a hotovo.

Jaký je tvůj nejúspěšnější plugin?

Nejprodávanější byla Zásilkovna a nejpoužívanější WooCommerce Stock Manager.

Jak se podle tebe posouvá bezpečnost ve WordPressu? Zlepšuje se to?

Tohle je záludná otázka. Ano, bezpečnost WordPressu se zlepšuje. Je to dané tím, že bezpečnostní chyby jsou rychle opravovány. Ale WordPress má pověst špatně zabezpečeného systému neoprávněně. Myslím si, že open source systémy, které se aktivně vyvíjejí, jsou z hlediska kódu ty nejbezpečnější. To že je WordPress nejvíce napadaný systém, je dané tím, že je nejpoužívanější. Díky tomu, že má otevřený kód, je možné najít jeho slabiny. Představ si, že budeš mít nový dům, kde si necháš namontovat bezpečnostní dveře, zámky, okna, senzory pohybu a nevím co ještě a pak pozveš každého kdo jde kolem, ať se podívá jak to máš hezky udělané. A pro jistotu ještě plány pověsíš na obecní nástěnce. Je jen otázka času, kdy ti to někdo zkusí vykrást. A s WordPressem to je úplně stejné. Navíc, řadu bezpečnostních problémů si uživatelé působí sami. Naprosto běžně se setkávám s jednoduchými hesly pro uživatele admin. To je jako, když si na bezpečnostní dveře dáš visací zámek.

A pak do toho vstupují šablony a pluginy, které z hlediska autorství kódu nepatří k WordPressu (zjednodušuji), ale jejich tvůrci jsou z celého světa a jejich úroveň je různá. Vstupní bariéra pro vývoj na WordPressu je obecně velmi nízká a napsat jednoduchý plugin je otázka odpoledního tutoriálu. Když se vrátím k příměru s domem – dveře ti dodá jednička na trhu, ale zabezpečovací systém firma, co běžně dělá zahrady. 

Proto se taky tak často objevují různé zranitelnosti u šablon a pluginů, ale u těch solidních společností dojde rychle k nápravě. Obecně ty problémy u hodně používaných doplňků, bývají typu – když přihlášený uživatel udělá určitou akci, při použití pluginu, může si zvýšit oprávnění. Což v tu chvíli vyloučí většinu webů, které neumožňují přístup uživatelům do administrace.

Takže já považuji WordPress za bezpečný systém, který na zvýšení bezpečnosti stále pracuje. Dovedeš si představit, že by autoři krabicí, dali k dispozici jejich zdrojový kód? To by bylo mrzení.

Kde má podle tebe WP největší mezery v bezpečnosti? A může tomu sám uživatel nějak předejít?

Největší bezpečnostní problém WordPressu je bezbřehá benevolence při možnosti nainstalovat do webu jakýkoliv doplněk. Pokud by existoval nějaký systém, který by dokázal řešit nějaký schvalovací proces, bylo by to lepší. Ale to by to pak už asi nebyl WordPress. 

A co se týká uživatelů, tak problémům mohou předejít tím že si vezmou jakýkoliv seznam doporučení pro bezpečnost webu na internetu a budou se jím řídit. Když už máš ty bezpečnostní dveře a okna, tak nemůžeš pustit dovnitř každého, kdo řekne, že jde kontrolovat plyn. Potom je tu lenost. Kdo se nesetkal s požadavkem klienta, na snížení úrovně bezpečnosti zadávaného hesla, protože se jim složité heslo nechce vyplňovat? to je pak jen otázka času. No a špatný bude zase WordPress. 

Jak moc pomůže bezpečnosti WP konfigurace serveru / php?

Je to důležitá část zabezpečení. Časté jsou případy, kdy v rámci serveru “přeskočí” nákaza z jednoho webu na druhý a to pak můžete mít web zabezpečený jak chcete. Také existují druhy útoků, které využívají slabých míst v nastavení serveru, nebo v zastaralém PHP, případně jeho knihovnách. Ale na to téma najdete více povolané lidi, než jsem já.

Jaký máš názor na cloudovou službu cloudflare? Doporučil by si jí jako doplněk k WordPressu?

Cloudflare aktivně používám u klientů. Jako všechno má své výhody a nevýhody, ale v současné době pozitiva převažují, takže jej používám.

Jaká je podle tebe budoucnost WordPressu? Udrží si pozici jedničky? 

Těžko říct. Zatím se drží, ale to se může velmi rychle změnit. Pamatuješ na MySpace? A kde je teď. 

Kdy bys lidem doporučil přejít s obyčejného webhostingu na VPS a proč?

V tu chvíli, kdy jim obyčejný hosting nebude stačit. To je jednoduché – každé je určeno pro jiné potřeby. Ale jakmile vám na e-shopu stoupne návštěvnost, bývá VPS jediná možnost, jak to udržet v chodu. Před přechodem bych to ale doporučil nejprve konzultovat. Nepřecházet jen proto, že někde psali, jak to bude lepší. Třeba je problém jinde. 

Když uplatním Paretovo pravidlo (80/20) na bezpečnost WordPressu, čeho je třeba se držet?

Asi to nebude takový ten klasický seznam tipů, ale z mého pohledu je těch 20% procent následujících:

  • Používání originálních pluginů a šablon.
  • Mazat věci, které jste jen zkoušeli a na webu je dále nepotřebujete.
  • Mazat pluginy použité jen na jeden účel – typicky třeba export z databáze, nebo přegenerování obrázků.
  • Nepovolovat použití slabých hesel.
  • Změnit přihlašovací url.
  • Odstranit uživatele admin.
  • Nainstalovat bezpečnostní plugin
  • Nainstalovat activity log
  • Pravidelně aktualizovat (ale s rozumem, není třeba aktualizovat vše ihned)
  • Používat child theme (možná to nevypadá jako bezpečnostní tip, ale divili byste se, kolik je neaktualizovaných šablon, protože v nich byly udělány úpravy)
  • Zapisovat si provedené změny v kódu
  • Zálohovat, zálohovat, zálohovat (shit happens, ale vy musíte být připraveni)
  • Používat selský rozum

Checklist od Freelo.cz

Náš checklist z článku 16 kroků, jak zabezpečit WordPress.

Zůstaňte s námi v kontaktu

Jednou za měsíc posíláme souhrn novinek. Nemusíte se bát, spamovat vás nebudeme a odhlásit se můžete kdykoliv...

Karel Dytrych
Tým Váš Hosting
Vyzkoušejte náš trial na týden zdarma

Garance 14denní záruky vrácení peněz

Vyzkoušejte server na týden zdarma

Vyzkoušet server