Když se řekne „údržba WordPressu“, mnoho lidí si představí, že stačí během měsíce kliknout dvakrát až třikrát na tlačítko Aktualizovat a že je to ono. Možná na blogu. Ale na firemním webu nebo na e-shopu to už tak snadné není. Té práce je docela dost.
Nutné předpoklady, abyste byli pánem situace
Než se něco stane, musíte mít vyřešené základní předpoklady pro krizové situace, které nastanou. Někdy dříve, někdy později, někdy jednou, jindy opakovaně. Dá se na ně připravit a musíte to udělat na samotném začátku. Napsat si postupy a připravit si některé nástroje nebo prostředky, které vám pomohou kritickou situaci vyřešit. Až se to stane, budete sice lehce nervózní, ale přece jen připravení.
Sledování aktivit a servisní režim
Nainstalujte si pluginy pro sledování aktivit webu, zabezpečení webu, zálohování webu a režim správy (maintenance neboli servisní režim). Ten aktivujte vždy, když na webu pracujete, aby uživatelé neviděli případně nefunkční web. Upravte jeho nastavení a informujte, že web bude dostupný třeba za hodinu.
Aktuální a použitelné zálohy
Musíte mít nastavený systém pro zálohování dat, tzn. celé databáze, adresáře wp-content/uploads a dalších, kde se ukládají uživatelská data (např. uvnitř některých pluginů). Také sem patří konfigurační soubory wp-config.php, .htaccess a seznam aktivní pluginů (nejen všech, ale hlavně těch aktivních!). V neposlední řadě je dobré mít zálohu použité šablony, v případě podřízené šablony (child theme) také jejího rodiče.
To je první krok.
Druhý krok, který musíte ověřit, je funkčnost zálohy pro obnovení. Je potřeba z uložených dat vytvořit funkční web a ujistit se tak, že se záloha dá použít. Tohle musíte mít otestované předem.
Nespoléhejte se na to, že zálohy webu vám automaticky zajistí hostingová společnost. Jednak to většina z nich dělá spíše z dobré vůle než z povinnosti, ale hlavně udržují maximálně měsíc staré zálohy! A to je málo. Pokud máte web napadený, obvykle bývají napadené už i zálohy (protože někdy prostě trvá, než napadení zjistíte).
Monitorování běhu a dostupnosti
Další činnost, která vás dělá pánem situace, je monitorování stavu webové prezentace. Musíte mít přehled, zda je web online, když není, musíte o tom vědět. My spravujeme zákaznické weby na WordPressu, takže o jejich stavu musíme vědět dříve než zákazník (=majitel webu). K monitorování jsme používali mmj. UptimeRobot.com a Port-Monitor.com, ale protože nám nevyhovovaly, tak nyní weby hlídáme pomocí vlastní aplikace.
Web také automaticky napojujeme na Google Search Console a kdyby se náhodou ukázalo, že nepoužívá Google Analytics, tak je samozřejmě také připojíme (ano, pořád se to stává). Článek o Google službách vás s nimi stručně seznámí.
Poznat slabiny webu
V ideálním případě si vytvoříte pracovní kopii webu (viz článek K čemu je dobrá pracovní verze webu a jak ji provozovat na firemním webu WP-admin.cz), kterou aktualizujete zkušebně a teprve pak pracujete na ostrém webu. Někdy to ale není potřeba, když web neobsahuje žádné rizikové komponenty, které používáte na jiných webech a máte je otestované. Je nutné o nich vědět. Pokud má web speciální plugin, je dobré ho testovat izolovaně a sledovat jeho vývoj. Do rizik patří také zranitelnosti pluginů a šablon, měli byste tedy sledovat bezpečnostní incidenty a ihned reagovat.
Mezi velká rizika patří obsah umístěný v prostoru webu, stručně řečeno „na FTP“. Skoro každý web tam má zbytečné až rizikové soubory typu půl roku starý export z databáze (tedy otevřené dveře do webu), starou instalaci WordPressu nebo další aplikace, testovací skripty typu phpinfo.php, špatně přejmenované staré konfigurační soubory typu wp-config.php.old, které jde zobrazit jako běžný text atd. Jedny z nejhorších rizik jsou zálohy celého webu umístěné v adresáři wp-content/backup. V drtivé většině jde o zip soubory s celým obsahem, databází a nastavením webu. Tohle všechno musí ihned pryč.
Pravidelná údržba a správa webu
Pokud máte web pod kontrolou, situace je standardizovaná, můžete začít provádět pravidelnou údržbu. Činnosti se opakují a měly by probíhat podle stejného schématu, nicméně je potřeba počítat s tím, že dříve nebo později dojde k nějakému incidentu nebo havárii. Nemělo by vás to překvapit a neměli byste reagovat impulzivně, nýbrž systematicky. Když se to stane poprvé, začněte si psát návod k řešení, příště za něj budete rádi a budete ho vylepšovat.
Nasazování aktualizací
Všechny komponenty webu je nutné aktualizovat, pokud máte plugin nebo šablonu, kde vám někdo zakázal aktualizaci, tak je to špatně a takového prvku byste se měli zbavit. Aktualizace opravují bezpečnostní chyby, přinášejí nové vlastnosti a přispívají ke zlepšování celkového prostředí na internetu (dívejme se na to globálně, WordPress běží na milionech webů).
Správa komentářů, boj se spamem
Je běžné, že antispamový filtr zachytí nežádoucí komentáře a zobrazí je v redakci ke schválení (tedy přesněji řečeno ke smazání). Toto je běžný stav a nelze docílit toho, aby se podobné komentáře neobjevovaly. Pokud se nedostanou „ven“, tedy do článku, pak ochrana proti spamu funguje. Pokud by se do článků dostávaly, pak je potřeba ochranu zlepšit. Tyto podmínky a okolnosti se stále mění, takže jejich sledování a vylepšování je také součástí pravidelné správy.
Sledování stavu zabezpečení
Pomocí logů, které se ukládají, a e-mailů, které si necháte zasílat, máte přehled o počtu různých pokusů o přihlášení nebo o útok. V tom mohu doporučit iThemes Security, ale není jediný. Pravidelně byste měli provádět bezpečnostní testy a sledovat, jak se mění pokusy dostat se vám do webu. Čas od času byste měli bezpečnostní pravidla revidovat a zpřísnit. Ostatně pluginy samy nabízejí nové možnosti, tak jich využijte.
Sledování rychlosti
Stejně tak byste měli testovat vybrané stránky (ne jen titulní!) na rychlost. Ne na svém počítači, ale pomocí k tomu určených nástrojů. Objevené problémy samozřejmě odstranit, aby web neztrácel na rychlosti. Patří sem Google PageSpeed Insights, Pingdom Speed Test nebo WebPageTest.org. Tyhle nástroje ale měří jednorázově, pokaždé musíte měření ručně provést a uložit si výsledky.
Kontrolovat nastavení a funkčnost
Jednou za čas zkontrolujte, že zálohy probíhají, jak mají – o každé z nich si nechte zasílat e-mail, když skončí s chybou, dozvíte se to hned. K chybě třeba stačí, když uživatel nahraje fotku s příliš dlouhým názvem, pak může být problém s jejím uložením do zip archivu. Fyzicky ověřte, že zálohy nejsou poškozené a jde je použít k obnově. Pozor také na velikost archivů a dostatek volného místa.
Mnoho činností lze automatizovat, šikovně nastavit, abyste byli informováni a nemuseli informace sami hledat. Využívejte toho a nastavte si web tak, aby se sám „hlásil“, a to nejen v případě, kdy je něco špatně.
Berte věci vážně
Údržbu webu není vhodné brát na lehkou váhu, zejména když jde o výdělečné stránky větších společností. Nejde přitom jen o výpadky, které mohou snížit výkon webu. Roli hrají také úpravy vzhledu, procesů nebo třeba různých typů metadat.
Starejte se o svůj web jako o mazlíčka, kterého máte rádi.
Nebo péči svěřte mně a mému týmu. Ve firmě WP-admin.cz s.r.o., kterou jsem založil a vedu, nabízíme správu firemních webových stránek. Služba pomáhá firmám a organizacím – získají správce svého webu a odborníky na telefonu a e-mailu, kteří se o stránky starají 24/7, řeší nečekané události a pomáhají stránky rozvíjet. Pokud potřebujete delegovat péči o svůj web na tým profíků, zavolejte nám na +420 587 407 757 a zeptejte se na bližší okolnosti spolupráce.
Pěkné shrnutí. Jen drobný dotaz – je ten PortMonitor.com překlep a nebo to vypnuli? The domain portmonitor.com is for sale.
Překlep, chyběla pomlčka. Opraveno, díky.