WordPress 5.0

V prihodnjih mesecih bom moral prneoviti neko zastarelo spletno stran. Prenova bo šla iz nule in se bo delala v WP.
Vidim, da je na vidiku nova major verzija WP, ki je tudi precej prelomna (v smislu, da tisti, ki že imajo postavljeno sedaj in bodo hoteli nadgrajevati bodo imeli težave oz (precej?) dodatnega dela - Gutenberg editor).
Sam ne delam WP strani, sem pa programer in bi rad mnenje tistih ki to delate kako bi se lotili popolne prenove spletne strani če bi želeli uporabljati WP in bi tudi potem čimlažje šaltali na verzijo 5.0.
Spletna stran ne bo nekaj dinamična. Poleg samega WP-ja se bo uporabila neka megatema (zelo verjetno kar Avada, ki jo že malo poznam in vidim da je še vedno med najbolj priljubljenimi).
Morda po potrebi še kak Yoast SEO, to pa je tudi vse. Za galerijo fotk bo pomoje dovolj kar ponuja že WP sam po sebi.

Hvala za nesvete.

Ker je stran v bistvu res neobsežna in preprosta. Gre za spletno stran majhnega podjetja in bo praktično zelo malo spreminjanja vsebine (rasla pa dejansko tudi skoraj ne bo).
Glede na to, da ima veliko neprimerno večjih poslovnih subjektov lepe in zelo funkcionalne spletne strani na osnovi WP pač sklepamo da je to za nas več kot ok. Pa še podpore je veliko takoj na voljo.

Netrunner je 2. maj 2018 ob 20:09 izjavil:

Na osnovi česa pa ste si izbrali ravno WP ? Ne bi raje vzeli kakšnega konkretnejšega CMS-ja ? Če je nekaj najbolj uporabljeno še ne pomeni da je najboljše.

Kaj pa, če bi vsaj redlagal "kaj konkretnega" in spotoma še povedal, v čem bo boljši in koliko dlje bo trajala implementacija?

Razlog, da sprašujem po novi major verziji WP ni v novih funkcionalnostih ampak predvsem dejstvo o varnostnih posodobitvah. Nebi spraševal, če nebi bili na prelomni točki nove verzije. Predvidevam, da če enkrat preidem na 5.0 bo potem kar nekaj časa lažje nadgrajevat do novih večjih nekompatibilnih sprememb?
Kot sem omenil se bo uporabila megatema Avada ter morda kaka galerija in pa boljši kontaktni obrazec (WPforms Lite). To pa je tudi vse.

blackbfm je 5. maj 2018 ob 11:46 izjavil:

...da ni smislena uporaba manj razsirjenih alternativ...

Preveč posplošuješ, saj je precej odvisno od projekta. Za vsako delo je treba vzeti pravo orodje če hočeš optimalen price / performance na dolgi rok. Če greš delat kakšno večjo zadevo ki sega precej izven okvirov klasične spletne strani bo WP kaj kmalu postal ozko grlo in ti vsa razširjenost ne bo kaj dosti pomagala.

Vsekakor pri WP je zelo pomembno da je vedno up to date in upoštevaš vsa varnostna priporočila kot je skrivanje login-a ipd. Zarad razširjenost WP je možnost vdora žal toliko večja.

blackbfm je 5. maj 2018 ob 14:36 izjavil:

...skrivanje logina bi bil ze en primer,k sami varnosti pa dejansko ne doda nic...

S tem stavkom sklepam da o varnosti ne veš prav dosti. Obstaja malo morej botov ki po domenah iščejo /wp-admin in v kolikor ga dobijo vedo točno s čim imajo opravka. Zakaj bi se nastavljal če lahko z nekaj preprostimi ukrepi drastično zmanjšaš možnost zlorabe, kar je pri WP nuja.

Mimogrede, za zaščito we-admina potebuješ plugina če se vsaj malo spoznaš na programiranje. Drugače pa ja, se strinjam da čim manj pluginov tem bolje saj si odvisen od teka koliko je bil avtor pazljiv pri varnosti.

Daj... preberi si malo in se poduči.

A hacker needs to find your login page, if he or she intends to brute force the login page to gain access. You can prevent this by employing what some call security through obscurity, the idea that hiding your login page will protect you, seeing as the attacker cannot identify a potential point of entry. Your website would be the equivalent of a bank without a door or any other public access point.

Running a WordPress website can feel like managing a magnet for malicious login attempts. Brute force attempts to log into WordPress are so common

Ne dolgo nazaj sem bral o varnosti wordpressa in ko so spremljali promet so zaznali cca 20-25 poskusov prijave na dan! Skrit login je kot da bi skril vrata za v hišo. Se ti ne zdi da če skriješ vrata v hišo boš potencialnemu vlomilcu otežil zadeve? KAj to za tvoje pojme ne poveča varnosti?

Se ti vidi da si še zelen na tem področju, pa brez zamere.

Netrunner je 5. maj 2018 ob 14:01 izjavil:

Vsekakor pri WP je zelo pomembno da je vedno up to date in upoštevaš vsa varnostna priporočila kot je skrivanje login-a ipd. Zarad razširjenost WP je možnost vdora žal toliko večja.

Avtorju teme sem samo dal priporočilo in slučajno kot primer navedel skrivanje logina. Če se ne bi toliko fokusiral samo v to, da mi nekaj kontra napišeš bi mogoče bolje razumel kar sem dejansko napisal. Prosim preberi si še enkrat zgornji citat in daj povdarek na: "kot je" in "ipd."

blackbfm je 5. maj 2018 ob 18:50 izjavil:

...ne vidi dlje od "security through obscurity"...

Še enkrat, navedel sem en primer kako zaščititi WP. Prosim nakaži mi iz katerega mojega posta si prišel na idejo da ne vidim dlje od zaščite z skrivanjem?

Nevem kaj bi si mislil o tebi, saj po eni strani navajaš relevantne informacije da se napadi izvajajo predvsem preko slabih vtičnikov, kar imaš čisto prav in to mi je dalo misliti da nekaj veš o varnosti. Po drugi strani pa ignoriraš čisto osnovo zaščite in to je login. Ne da ignoriraš ampak praviš da nič ne pomaga.

Verjetno bi se strinjal z mano če rečem da pri vseh sistemih je pomembna zaščita na več nivojih in ne samo na enem. "security through obscurity" ni zanemarljiv. Pri vseh vdorih skoraj brez izjeme pa neglede ali je to CMS ali OS ali kaj tretjega se gre do login forme in vpiše: admin admin, admin 123456,... itd.

V kolikor ni brute force zaščite, lahko skripta periodično gre skozi seznam najpogostejših gesel in skuša dobiti dostop. Ko podobni poskusi padejo v vodo, se začne iskati luknje v sistemu. Če ne veš je velika večina hekerskih vdorov uspešnih zaradi socialnega inženiringa. Od uporabnikov tako ali drugače pridobija gesla in ni potrebno nobeno hekanje. In tukaj nastopi "obscurity".... povej mi kam boš vpisal moje uporabniško ime in geslo če wp-admin ne obstaja ?

Pusitmo to, da če heker pride do gesla, bo po vsej verjetnosti pridobil tudi pot do logina, hočem samo izpostaviti da si je smiselno vzet 10min časa in zaščititi / skriti login. Škodi ne, pomaga pa lahko.

Sam si rekel da je najboljši zaščita dobro geslo kar ti dam prav, vendar dobro geslo imajo ponavadi samo admini in ne tudi uredniki. Večina mojih strank ima na žalost gesla Ime2018, imepodjetja123, ... zato se mi zdi skrivanje default logina še kako pomembno.

Se strinjaš? Kakorkoli, ne bom se prerekal več s tabo, debato bi nadaljeval samo ob hladnem pivu.

Ne drži :) ... Ok naj bo po tvoje.

In spet ne znaš brati :) tako da kot sem rekel... mogoče ob pivu kdaj naprej. Pošlji zs ko boš v MB