Ügyfélszolgálat: +36 70 623 8822

A tartalomkezelő rendszerek piaci részesedése

Szerző: Szűcs Ádám Kategória: Cikk, Érdekesség, Hírek, Ingyenes videók, cikkek

A tartalomkezelő rendszerek (CMS-ek) piacán bődületes WordPress fölény van. A világ összes weboldalának 27%-át WordPress hajtja, de ez a szám folyamatosan növekszik, ugyanis az új (tartalomkezelő rendszer által kiszolgált) weboldalak között nagyjából 59% a WordPress aránya.

Nézzük meg a számokat:

Jól látható, hogy a WordPress fölénye behozhatatlannak tűnik, és folyamatosan nő. A többi tartalomkezelő rendszer lőtávolban sincs. Grafikonon:

Forrás: w3techs.com/technologies/history_overview/content_management/ms/y

Google Trends elemzés

A Google trendvizsgáló eszköze is WordPress dominanciát mutat.

Összesített, világszintű összehasonlítás:

Magyarország:

Mi történhet, ha nem frissítem a WordPress-t?

Szerző: Szűcs Ádám Kategória: Cikk, Hasznos lehet, Ingyenes videók, cikkek, WordPress biztonság

Nem akarod frissíteni a WordPress-t. Megértem. A te döntésed. Mi történhet a weboldaladdal? Hogy adott esetben ne érjen meglepetésként, megmutatom a legrosszabb eshetőségeket.

Tudvalevő, hogy időről-időre megjelenik egy-egy új WordPress verzió, amelyekre haladéktalanul érdemes frissíteni a meglévő verziót. Az alábbiakban azt is elmondom, hogy miért.

A WordPress frissítések két fő csoportja:

  • Főverziók: Általában funkcionálisan fejleszti a meglévő weboldalt, ám előfordul, hogy egy-egy főverzió egyben ajánlott biztonsági frissítés is.
  • Alverziók: Általában biztonsági és/vagy karbantartó frissítések. Ezek jönnek gyakrabban, egy-egy sérülékenység észlelése után akár néhány órán belül. A biztonsági frissítés azt jelenti, hogy egy korábbi, vagy az összes korábbi verzióban fellelhető sérülékenységet javít. Az ilyen sérülékenységek azért nagyon veszélyesek, mert ha robotok segítségével észreveszik rossz szándékú hackerek, hogy nem a legújabb, esetleg biztonsági rést is tartalmazó verziót használunk, akkor ennek segítségével vagy feltörhetik, vagy elérhetetlenné tehetik a weboldalunkat, esetleg spamelésre használhatják. Ezek a meglévő Google-beli helyezés(eke)t, illetve adott esetben a tárhelyszolgáltató üzembiztonságát is veszélyeztethetik. Előbbi visszasorolással, utóbbi akár a weboldal elérhetetlenné tételével is reagálhat a problémára.

Mi történhet, ha nem törődünk a frissítésekkel?

Nem fontossági/gyakorisági sorrendben:

  • Spamelésre használhatják a weboldalunkat. Vagy e-maileket küldhetnek, vagy akár tiltott szerek, szervezetek reklámja is elhelyezésre kerülhet.
  • Az előző pontból kifolyólag a tárhelyszolgáltató letilthatja a weboldalunkat.
  • Törölhetik/megfertőzhetik/módosíthatják a tartalmakat.
  • Elérhetetlenné válhat egy vagy több aloldal.
  • Súlyos esetben akár a tárhelyen több weboldalt is tönkre tudnak tenni.
  • A Google hátrasorolhatja a weboldalt. Részben a fentiek miatt is, részben az elavult szoftverhasználat miatt.
  • A Google “támadó webhelyként” azonosíthatja a weboldalt.
  • A böngészők nem engedik megnyitni a weboldalt, ha vírust észlelnek rajta.
  • A tárhelyszolgáltató felmondhatja a szerződést.
  • Ügyfeleket veszíthetünk, ha éppen elérhetetlen a weboldal, és/vagy emiatt nem tudnak informálódni, rendelést leadni.
  • Ügyféladatokat/üzleti titkokat/személyes adatokat tudnak kinyerni az adatbázisból.
  • További anyagi kár lehet az okozott kár helyreállítására fordított összeg.
  • Stb.

Milyen gyakran frissül a WordPress?

Az első WordPress a cikk megírásakor 13,85 éve jelent meg. Ez idő alatt átlagosan 44,99 naponta – tehát nagyjából átlagosan másfél havonta jelent meg egy-egy új al- vagy főverzió. 2016-ban 9 db, 2015-ben 11 db, 2014-ben 9 db frissítés jelent meg. További részletek ebben a táblázatban. Itt megnézheti azt is, hogy milyen régi WordPress verziót használ!

Milyen gyorsan érdemes telepíteni egy-egy WordPress frissítést?

Minél gyorsabban. A nemrég megjelent WordPress 4.7.2 pl. olyan sérülékenységet javított, amellyel illetéktelenek az egész weboldalt tönkre tudták adott esetben tenni. A sérülékenység nyilvánosságra kerülésétől számított pár napon belül tömegesen törtek fel és fertőztek meg weboldalakat.

“Az én weboldalamat ki törné fel?”

A feltöréseket, fertőzéseket robotok végzik el, emberi beavatkozás nélkül. Ha rátalálnak a weboldalra, nem nézik azt, hogy az egy kismama blogja-e, vagy egy multinak a céges weboldala. Ha sérülékenység van rajta, azt kihasználják, és kárt okozhatnak.

Mit érdemes még frissíteni?

A WordPress frissítéseken kívül érdemes frissíteni a bővítményeket és a kinézeteket is. Nem csak a használta(ka)t, hanem az összes telepítettet. A legjobb azonban, ha a nem használt bővítmények és kinézetek törlésre kerülnek.

Ha frissítek, nem lehet gond?

Sajnos de, több okból is:

  • Előfordulhat, hogy egy-egy új verzió nem kompatibilis a többivel (WordPress-el, kinézettel, bővítménnyel, tárhellyel, stb.), így ez gondot jelenthet.
  • Attól, hogy a WordPress-t frissíted, még használhatsz olyan kiegészítőt, amely miatt sérülékeny marad a weboldalad.
  • Ha nem megfelelő a weboldal, a tárhely, a számítógéped, és a hozzáféréssel rendelkezők hozzáférési adatainak védelme, az is gondot jelenthet.

Hogyan frissítsek?

A “Vezérlőpult” -> “Frissítések” menüpont alatt lehet a frissítéseket elvégezni. Kivéve a prémium kinézetek és bővítmények frissítését. A Frissítés megkezdése előtt érdemes biztonsági mentést készíteni a teljes weboldalról, hogyha bármi balul sülne el, legyen egy visszaállítható állapot a munka megkezdésekor fellelhető állapotról.

Ha ezekkel nem szeretnél bajlódni, bízd szakemberre a frissítést, keress meg, és segítek!

Egy kis statisztika, hogy az összes WordPress weboldalt tekintve mennyi használ egy-egy verziót (sajnos olyan nincs, hogy a 4-es, vagy 4.7-es ágon belül mi az arány):

forrás: w3techs.com/technologies/details/cm-wordpress/all/all

Néhány példa, fertőzött weboldalakra (saját gyűjtés):

1. Hackelt tartalom:

2. orosz tartalom a menüsorban:

3. Támadás REST API-n keresztül:

4. Eltűnt az összes “OLDAL” tartalomtípus:

5. Spam bejegyzések tömkelege, pl.:

6. Fertőzött forráskód:

7. Vírusos weboldal – riasztás:

8. Előfordulhat, hogy a weboldal HELYÉN ez, vagy ehhez hasonló látvány fogad:

 

WordPress 4.7.3 – biztonsági és karbantartó frissítés

Szerző: Szűcs Ádám Kategória: Cikk, Hírek, Ingyenes videók, cikkek

Minap megjelent a WordPress legújabb, 4.7.3-as verziója, amely biztonsági frissítés, és minden korábbi verziót érintő biztonsági rést javít.

Mit csinálj?

Készíts egy biztonsági mentést, majd menj a “Vezérlőpult” => “Frissítések” menüpontra, és frissíts a weboldalad a legújabb verzióra.

Talált sérülékenységek, amit javít ez a verzió:

  • XSS sérülékenység a fájlok metaadatain keresztül.
  • XSS sérülékenység beágyazott YouTube videókon keresztül.
  • Törölni nem akart fájlok törlése a bővítmény-törlés funkciónál.
  • Press This funkció túlzott szerverterhelést kiváltó működése.
  • Stb. Részletek a hivatalos oldalon: wordpress.org/news/2017/03/wordpress-4-7-3-security-and-maintenance-release/

A módosított fájlok listája:

  • wp-admin/js/common.js
  • wp-admin/js/customize-controls.min.js
  • wp-admin/js/editor.min.js
  • wp-admin/js/customize-nav-menus.min.js
  • wp-admin/js/tags-box.js
  • wp-admin/js/customize-controls.js
  • wp-admin/js/editor.js
  • wp-admin/js/customize-nav-menus.js
  • wp-admin/js/common.min.js
  • wp-admin/js/tags-box.min.js
  • wp-admin/plugins.php
  • wp-admin/includes/class-wp-press-this.php
  • wp-admin/includes/media.php
  • wp-admin/includes/image.php
  • wp-admin/about.php
  • wp-includes/embed.php
  • wp-includes/class-wp-customize-manager.php
  • wp-includes/rest-api.php
  • wp-includes/js/media-views.min.js
  • wp-includes/js/wp-api.js
  • wp-includes/js/tinymce/plugins/wpeditimage/plugin.min.js
  • wp-includes/js/tinymce/plugins/wpeditimage/plugin.js
  • wp-includes/js/tinymce/wp-tinymce.js.gz
  • wp-includes/js/customize-selective-refresh.min.js
  • wp-includes/js/media-views.js
  • wp-includes/js/customize-preview.min.js
  • wp-includes/js/customize-views.min.js
  • wp-includes/js/customize-selective-refresh.js
  • wp-includes/js/wp-api.min.js
  • wp-includes/js/customize-preview.js
  • wp-includes/js/customize-views.js
  • wp-includes/class-wp-image-editor-imagick.php
  • wp-includes/class-wp-customize-nav-menus.php
  • wp-includes/version.php
  • wp-includes/class-walker-page.php
  • wp-includes/pluggable.php
  • wp-includes/formatting.php
  • wp-includes/class-wp-customize-widgets.php
  • wp-includes/rest-api/class-wp-rest-request.php
  • wp-includes/rest-api/endpoints/class-wp-rest-posts-controller.php
  • wp-includes/rest-api/endpoints/class-wp-rest-revisions-controller.php
  • wp-includes/rest-api/endpoints/class-wp-rest-users-controller.php
  • wp-includes/class-wp-customize-setting.php
  • wp-includes/theme.php
  • wp-includes/functions.php
  • wp-includes/media.php
  • wp-includes/class-wp-http-requests-hooks.php
  • wp-includes/class-wp-taxonomy.php
  • wp-content/plugins

Capturly – a látogatók viselkedésének elemzéséhez

Szerző: Szűcs Ádám Kategória: Hasznos lehet, Ingyenes videók, cikkek, Kulisszatitkok, Videó

A Capturly WordPress bővítmény segítségével pofonegyszerűen meg lehet nézni egy-egy látogató weboldalon belüli “mozgását”, illetve ún. “hőtérképeket” generál. Ezek nagy segítségünkre lehetnek, ha a konverziókat (legyen szó akár hírlevélfeliratkozásról, kapcsolatfelvételről, rendelésről) szeretnénk növelni.

Hogyan kell aktiválni, és mik a fő előnyei a Capturly-nak?

Capturly bemutató:

Letöltés:
Capturly

Hasonló szolgáltatás:
www.smartlook.com/hu/features

Biztonságos http kapcsolat: https beállítása WordPress alatt

Szerző: Szűcs Ádám Kategória: Beállítások, Cikk, Hasznos lehet, Ingyenes videók, cikkek, Keresőoptimalizálás, Videó

Lehet, hogy a napokban te is kaptál hasonló üzenetet a Google Webmester Eszközöktől:

“A nem biztonságos jelszógyűjtés figyelmeztetéseket generál az 56-os verziójú Chrome-ban a(z) ………. oldalon.”

Ami így folytatódik: “2017 januárjától a Google Chrome (56-os és újabb verziók) „Nem biztonságos” oldalként jelöli meg a jelszavakat és hitelkártya-információkat gyűjtő weboldalakat, kivéve, ha az oldal kiszolgálása HTTPS-kapcsolaton keresztül történik.”

Mit jelent ez?

Azt jelenti, hogy a Google Chrome böngésző 56-os verziója meg fogja jelölni “nem biztonságos” címkével a weboldalt, ha – leegyszerűsítve – azon személyes és/vagy érzékeny adatok bekérése történik. Ennek oka, hogy a normál “http” kapcsolaton keresztül kémkedhetnek és adatokat lophatnak.

Nem utolsó sorban Google rangsorolási szempont is a https megléte.

Valahogy így fog kinézni a Chrome 56-os verziójától a fent említett figyelmeztetés:

Hogy ez “zölddé váljon”, és így nézzen ki, kövesd az útmutatómat!

Mi a megoldás?

A megoldást a https tanúsítvány nyújtja, amely titkosítással garantálja a szerver és a felhasználó böngészője között mozgó adat biztonságát.

Hogyan lehet tanúsítványt szerezni?

  • A legismertebb a Let’s encrypt nevű szolgáltatás, amelynek olyan nagy nevű szponzorai vannak, mint a Google, Facebook, Sucuri, Mozilla, Cisco. Vagy itt kell igényelni tanúsítványt, és a tárhelyre kell telepíteni.
  • Vagy cPanelen keresztül lehet telepíteni (erről videó lejjebb).
  • Vagy nem kell telepíteni semmit, mert a szolgáltató ezt automatikusan megcsinálja. Az általam preferált tárhelyszolgáltató ilyen, idézem őt: “Az újonnan létrehozott zónákhoz a rendszer automatikusan igényli és beállítja az ingyenes Let’s Encrypt ssl-t.” Ezt az opciót mutatom be ebben a cikkben.

cPaneles tárhelyen így kell beállítani a tanúsítványt (nem én készítettem a videót):

Ha olyan tárhelyen vagy, ahol neked kell telepíteni cPanelen keresztül az SSL tanúsítványt, akkor így járj el:

Ha a tárhelyesed telepítette az SSL tanúsítványt

Ezt itt, vagy ide kattintva tudod ellenőrizni. Ha telepítve van a tárhelyedre egy ingyenes tanúsítvány, akkor szerencséd van, nagyon egyszerű módon tudod aktiválni a WordPress alapú weboldaladon a https kezdetű url-eket.

ELŐSZÖR IS KÉSZÍTS EGY TELJES BIZTONSÁGI MENTÉST A WEBOLDALRÓL!

1. A “Beállítások” => “Általános” menüpont alatt a “WordPress cím” és “Honlap cím” mezőkben írd át a weboldalad címét http:// kezdetűről https:// kezdetűre. Ha kiléptet a rendszer, ne ijedj meg, lépj vissza.

2. Telepítsd fel a “Really Simple SSL” nevű bővítményt, majd aktiváld.

Aktiválás után egy gombnyomással – “Go ahead, activate SSL!” – meg is tudod tenni a működéshez szükséges beállításokat.

Ez a bővítmény beteszi pár szükséges sort a .htaccess fájlba, valamint a wp-config.php-ba is. Illetve megoldja az ún. mixed-content problémát, azaz a weboldalon szereplő http://-s url-eket kicseréli https:// kezdetűre a html kimenetben. Ez azért jó, mert az adatbázisban történő automatizált url-cserék nélkül történik meg a https-re való átállás.

Really Simple SSL letöltés

Alternatív megoldás: WP Force SSL bővítmény.

Előfordulhat, hogy a fentiek ellenére az alábbi képen látható jelenséget látod: Kiírja a böngésző, hogy biztonságos a weboldal, de mellette (a címsor jobb oldalán) egy piros X jellel jelölt pajzsot találsz. Ekkor még mindig található olyan elem a weboldalon, ami http://-vel kezdődik.

Ez jellemzően (CTRL+SHIFT+I gombbal előjön egy panel, ott a Network fül alatt látható, hogy mi okozza a problémát) a stíluslapban található, pl. egy Google Fonts-os betűtípus beimportálása, ahogy látod a fenti képen is. A megoldás nagyon egyszerű:

Át kell írni https-re a css fájlban az importált betűtípus elérhetőségét:

3. Ha ezek után (csak akkor!) még nem látod “biztonságosnak” a weboldaladat, a következőt tedd: .htaccess módosítás. Tedd ezt (url-t módosítsd a sajátodra!) a kódot a .htaccess fájlba, ez átirányítja a forgalmat a https:// url-re:

kód letöltése

4. Ha az admin felületen nem működik (CSAK AKKOR!) a https: ezt a kódot tedd a wp-config.php fájlba:

kód letöltése

5. Ha valamilyen oknál fogva a weboldal tartalmában lévő, saját url-ek között van még http kezdetű, és ezt jelzi a böngésző, akkor telepítsd a Better Search Replace bővítményt, amellyel az adatbázisban ki lehet cserélni a http-s url-eket https-esre. ELŐTTE MINDENKÉPPEN CSINÁLJ BIZTONSÁGI MENTÉST!

6. Google Analytics, Webmester Eszközök.

Ha átállt a weboldal https-re, akkor ne felejtsd el a Google Analytics felületén, az alábbi képen látható helyen az “Alapértelmezett URL” résznél átállítani a http-t https-re.

Google Webmester Eszközök:
Vedd fel a weboldalad https-es verzióját is a weboldalak közé (nem kell törölni a http-s verziót!).

Ellenőrzés:

Kattints a “Biztonságos” feliratra, majd a “Részletekre”:

Itt ilyet kell látnod:

Legyen zöld négyzet mind a 3 rész előtt! Ha a fenti módszerrel nem jön elő ez az ablak, akkor nyomj egy CTRL+SHIFT+I-t, és a SECURITY fület nézd meg!

Egyébként itt, a “View Certificate” linkre kattintva meg lehet tekinteni a tanúsítvány részleteit.

A folyamatról mutatok egy 11 perces videót:

Biztonságos http kapcsolat: https beállítása WordPress alatt

    

WordPress 4.7.2 – biztonsági frissítés

Szerző: Szűcs Ádám Kategória: Cikk, Hírek, WordPress biztonság

Megjelent a WordPress 4.7.2, amely minden előző verzióban megtalálható sérülékenységet javít. Ezek közül a legaggasztóbb:

  • Oldalak és bejegyzések címének, tartalmának átírása, jogosultság nélkül: A WordPress REST API-ban találtak egy ilyen hibát, ezt is javítja ez új verzió. Ha 4.7, vagy 4.7.1-es verziót használsz, és nem szeretnéd, hogy spammelésre használják a weboldaladat, és a Google ezért büntetéssel és/vagy hátrasorolással válaszoljon erre, ajánlott azonnal frissíteni a legújabb verzióra!

Példa fertőzött oldalakra a Google listában:

A hiba nyilvánosságra kerülését követő 48 órán belül több mint 65 000 oldalt fertőzött meg csak egy “hacker”. Aki mellett természetesen mások is tevékenykednek, és fertőznek meg weboldalakat.

Példa egy fertőzött oldal külső megjelenésére:

Mit tegyél?

Először készíts egy biztonsági mentést, majd a “Vezérlőpult” => “Frissítések” menüpont alatt végezd el a frissítést!

További sérülékenységek, amelyeket javít ez a verzió

  • SQL injection a (WP_Query)
  • XSS sérülékenység (nem közvetlenül a WordPress-ben, a frissítés csak óvintézkedés, hogy adott esetben egy bővítmény miatt ne legyen sebezhető az oldal).

A talált hibák olyan súlyosak, hogy a Google Search Console (ha regisztrálva van ott az oldal) is küld róla e-mailt:

A WordPress 4.7.2 verzióben módosított fájlok:

  • wp-admin/about.php
  • wp-admin/includes/class-wp-press-this.php
  • wp-admin/includes/class-wp-posts-list-table.php
  • wp-includes/version.php
  • wp-includes/class-wp-query.php
  • wp-includes/class-wp-comment.php
  • wp-includes/class-wp-term.php
  • wp-includes/rest-api/endpoints/class-wp-rest-comments-controller.php
  • wp-includes/rest-api/endpoints/class-wp-rest-taxonomies-controller.php
  • wp-includes/rest-api/endpoints/class-wp-rest-post-types-controller.php
  • wp-includes/rest-api/endpoints/class-wp-rest-posts-controller.php
  • wp-includes/rest-api/endpoints/class-wp-rest-terms-controller.php
  • wp-includes/rest-api/endpoints/class-wp-rest-post-statuses-controller.php
  • wp-includes/rest-api/endpoints/class-wp-rest-revisions-controller.php
  • wp-includes/rest-api/endpoints/class-wp-rest-users-controller.php
  • wp-includes/class-wp-post.php
  • wp-includes/rest-api.php

További részletek:
https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html

Honlapunk cookie-kat használ. Részletek

Egy EU-s törvény alapján kötelező tájékoztatni a látogatókat, hogy a weboldal ún. cookie-kat használ. Ha ezzel nem értesz egyet, akkor a böngésződ megfelelő beállításait használva tiltsd le a cookie-k tárolását. | Részletes adatvédelmi tájékoztató |

Bezárás