Problemet med WordPress handler ikke om selve kerne systemet!
WordPress er et fantastisk cms-system, men der er en jungle af faldgruber, med udspring i et nærmest uendeligt antal kombinationsmuligheder teknisk og et fuldstændigt uigennemsigtigt marked af selvlærte webudviklere.
Det er derfor ALTID med lige dele nysgerrighed og frygt, at vi overtager supporten til et WordPress site…
Og denne frygt står vi ikke alene med! Sikkerhedsudbyderen WordFence har nyligt afholdt et webinar, med tips og tricks til at overtage et misligholdt, dårligt udviklet eller hacket site…de kalder processen “Inherited an Explosive Mess? Lets talk WordPress site Rehab“.
Men hvorfor er WordPress endt her?
– vi afdækker et forsøg på forklaring i det følgende…
WordPress – et community projekt
WordPress er vokset næsten ufattelig hurtigt ud af rollen som et demokratisk, men nichepræget bloggerværktøj til positionen som verdens mest populære cms system.
Det hele startede omkring 2001, hvor internettet virkeligt begyndte at tage fart. Oprindeligt som b2/cafelog, et værktøj til nyhedsbloggere, der med b2/cafelog blev givet et værktøj, der enkelt kunne skabe indhold og tilstedeværelse på nettet. Kernefunktionaliteten dengang som nu var derfor indlæg – posts. Baseret på PhP kunne b2/cafelog generere dynamisk indhold fra en MySQL database.
Der opstod et helt community omkring nyhedsblogværktøjet, og source koden under GNU GPL (open source) blev videreført til det cms system, vi i dag kender som WordPress. Særligt WYSIWYG funktionalitet – What You See Is What You Get – er styrket igennem tiden, og kombineret med simple drag-and-drop løsninger har det drevet gigantisk vækst for WordPress. For her, kan alle være med!
Kernen til successen er kombinationen af det kraftfulde setup med MySQL databasen, dynamisk side/indholds udgivelse, communitiets demokratisering af adgangen til internettet for alle, og den fælles udvikling til kernesystem såvel som al den supplerende software – plugins – til specifikke behov og opgaver. Fleksibiliteten er enorm!
Og så er der naturligvis fraværet af licens på plussiden…så alle har råd. Og alle kan finde ud af det! Alle kan være med!!!
I dag er successen uomtvisteligt, og med knap 600 mio websider er WordPress dermed motoren i ca 37 pct af verdens web installationer.
Een af styrkerne ved WordPress er fortsat, at alle byder ind. Community og åben licens. Men i dag er der opstået opstået et hav af mange små forretninger omkring kernesystemet.:
– udvikling og salg af et tema (design skabelon)
– udvikling og salg af et plugin (supplerende software der løser specifikke opgaver til kernesystemet)
– support af wordpress sider (salg af drift og vedligeholdelse)
– installation af wordpress sider til en specifik kunde (salg af webudvikling og design)
Men problemet med WordPress starter også her.
Og hovedproblemet betyder grundlæggende for kunden / indkøber af en wordpress hjemmeside; At med et WordPress website, ved du faktisk aldrig helt, hvad du får.
Fordi der ganske enkelt er så mange måder at bygge sitet på. Og der køres ikke efter samme “færdselsregler” blandt udbydere af website installationer. Ikke mindst fordi der er opstået en gigantisk underskov af særligt mindre udbydere – selvlærte webudviklere.
Et WordPress site.
Alle veje fører til Rom, når det gælder at bygge et WordPress website. Heri ligger styrken. Og svagheden.
Kernesystemet – det egentlige WordPress – er fortsat kombinationen af PHP kode og MySQL.
Hertil bygges eller indkøbes et tema, en designskabelon, der matcher ønsker.
Og installationen suppleres med plugins, der understøtter specifikke behov, herunder web shop, SEO, bannere, kontaktformular/nyhedsbrev etc etc etc.
Udviklingen af forretningsområdet “temaer” og “plugins” er gået stærkt. Og som ethvert andet digitalt projekt, er forretningsmodellen “freemium”. Grundlæggende funktionalitet gratis. Men licens hvis du vil have adgang til alt. Dog næppe licensniveauer, der får de fleste til at ryste på hånden, typisk 10 – 100$ årligt…men alligevel.
Visse plugins bliver imidlertid “efterladt” (abandoned); dvs der tilbydes ikke nye opdateringer tilsvarende de jævnlige opdateringer til kernesystemet. Årsager kan være mange; Ingen tilstrækkelig kommerciel interesse, udvikleren har fundet noget andet at lave, eller blot tabt interessen. Og hermed risikeres kodefejl og manglende integration. Ligesom der pludselig kan stå en bagdør åben til systemet for uvedkommende.
Hacking er een af de kedeligste følgevirkninger ved at være verdens mest udbredte og brugervenlige cms system.
Hacking er ofte en direkte konsekvens af problemet med WordPress – uigennemskuelige eller dårligt konfigurerede løsninger.
Når du køber et WordPress site
er der normalt ikke mange specifikke detaljer om, hvad der præcist ligger under motorhjelmen. Specifikationerne går normalt mest på hvilke konkrete og praktiske opgaver, sitet skal levere. Hvad det skal kunne.
Og hermed nærmer vi os sagens kerne. Der er virkeligt mange veje at gå. Alternative kombinationer. Og ikke alle er lige gode… Men kun sjældent åbnes for diskussioner af kode. Konfigurationer. Og især alternativer.
Det første site, jeg stod for indkøb af, matchede fuldstændigt beskrivelsen ovenfor. Dvs konfiguration var basereret på detaljer omkring løsning af opgaver. Men undervejs spurgte jeg den udmærkede leverandør, det måske klogeste spørgsmål fra processen, uden reelt at være klar over det….
”Er det tema, vi har valgt, ordentligt kodet?”
For her var opgaven i åbenhed defineret som indkøb af tema, med prævalgte plugins.
WordPress – tre grundlæggende ruter, fra dyrt til næsten gratis
1) Hardcodet; Sikrest men dyrest, herunder ift drift og nyt indhold til sitet
2) Baseret på anerkendt tema + pagebuilder (frikøbt); billigt og driftssikkert, brugervenligt
3) Baseret på frie/gratis valg fra wordpress plugin directory; kan være godt, risiko for kludetæppe
Løsning 3: Frit valg med gratis tema og plugins.
Tager vi det sidste først, er dette selve grunden til at skrive dette indlæg (…her tænker du vel med rette, at det var du godtnok længe om at nå frem til…)
Men altså, PAS PÅ – nogle gange får man, hvad man betaler for. Jeg har ofte kigget ind i en installation, hvor udvikler efter levering, simpelthen har forladt projektet. Eller ikke svarer…eller der opstår uenigheder. Og i backend åbenbares typisk en gruppering af freemium plugins, et gratis tema og dermed kun helt basale muligheder for at tilpasse til kundens ønsker. De ønsker, der ikke helt blev indfriet af den oprindelige levering.
Det er ikke altid kønne forløb. Men er det snyd? Blev der egentligt aftalt. præcist hvad og hvordan? Og hjemmesiden VAR jo billig….selvom prisen ikke altid får dig hele vejen.
Der er helt sikkert også eksempler på gode, billige sammensætninger!! For grundlæggende kommer man nemlige utroligt langt for få midler, hvis der vælges de rette plugins og ikke minds pligin kombinationer. Der er selvsagt også mulighed for at de valgte komponenter konflikter…
Løsning 1: Hardcodet wordpress site
Er den dimentrale modsætning, fordi hjemmesiden her ikke opbygges omkring backend installationer og plugins, men direkte kodes i selve template filerne.
Grundlæggende skaber dette en meget robust og sikker installation, men udover omkostningerne herved, går selve det at hard code sitet lidt imod det grundlæggende formål med WordPress; at brugeren faktisk kan ændre (om ikke alt, så) meget….uden at kode.
Normalt vil man ønske en balance imellem robusthed (mod hackere og løst-gående bruger fejl…) men samtidigt tilbyde et velfungerende cms, brugere selv kan rette i.
Løsning 2 – frikøbt (helst) anerkendt tema inkl integreret pagebuilder er løsningen, der efterfølgende sætter de fleste brugere i stand til videreføre sitet selv. For et web site er ikke som et hus, der kan stå de næste 10 år uden vedligeholdelse. Et website er snarere en have, hvor græsset konstant skal slås. Nye bede anlægges. Bygges drivhus….roserne flyttes.
Et website er et altid dynamisk projekt, med ændringer, rettelser, nyheder.
Derfor er det en gevinst, hvis brugeren selv kan være med ombord som bidragsyder, selv med et basalt teknisk ambitionsniveau. Og her er pagebuilderne ret gode. I løbet af de seneste år, har WordPress introduceret en native pagebuilder kaldet Gutenberg. Den er ved at være godt med…men ikke fuldt og helt på højde med valgfrihed fra alle hylder på f.eks. Elementor eller Divi’s builder.
Delkonklusion (1) – SPØRG ALTID til valg af komponenter og konfiguration
Problemet med WordPress starter med det valgte tema og plugins. Er det FRIKØBTE versioner? Eller er sitet stykket sammen af gratis komponenter? Hvilke er valgt og HVORFOR? Er der alternativer (som måske koster lidt….men det kan være et godt valg alligevel)
Svarene må i sidste ende hænge sammen med PRISEN du betaler for sitet.
Herunder ikke mindst hvis du beder om at få kodet sitet fra bunden. Hardcodet.
WordPress Plugin Directory er det officielle sted, hvor temaer og plugins kan overskues. I skrivende stund findes ca 55.000 af slagsen. Og for hver kategori og type, er der MANGE bud på den samme løsning, og ofte med “beslægtede” navne valg. Ligesom der selvfølgelig (!!!) også er uofficielle steder at hente wordpress plugins.
Med andre ord: Der er MANGE bud! Og hvilke skal vælges? Til hvilke priser….det er en jungle.
Så SPØRG hvis du vil undgå problemet med WordPress!
For samtlige plugins er der til gengæld brugerratings. Stjerner. Dato for seneste opdatering. Hvilken version af wordpress udviklet til. Og det sikreste kort – antal downloads og dermed brug. Jo flere, jo bedre. For et bredt anvendt plugin eller tema, er gennemprøvet. Har en god kommerciel platform. Og er derfor i mindre risiko for sårbarheder.
Delkonklusion (2) – Sikkerhed
SPØRG altid specifikke forholdsregler ift sikkerhed og hacking. Dette er WordPress allerstørste problem.
Og een af grundende til at HARDCODNING kan være den rigitge løsning – dvs at sitet kodes med eget tema i PHP. Det tager tid. Men færre huller. Og mindre afhængighed af virvaret af plugins – der kan konflikte i kode, og have efterslæb ift opdatering og versionstilpasning.
For enhver installation bør der dog være et MINIMUM af beredskab overfor hacker angreb. Og hvis du skulle være interesseret i, hvorfor i alverden det er så udbredt med hacking, finder du et ret så bredt overblik over bevæggrundene her:
The Hacker Motive: What Attackers Are Doing with Your Hacked Site
1. Daglig backup på serveren
(et tilbud langt de fleste/alle hosting services. Men du skal kunne finde ud af at erstatte den hackede version med een tidligere version, fra før angrebet!)
2. Offline backup
Fordi den fiffige hacker ved, at langt de fleste daglige backup rutiner kun går 30 dg tilbage
– så sørg for at gemme en version een gang om måneden på serveren
– eller benyt et backup plugin til at gemme en månedlig backup offline
3. Firewall/brute-force attack sikkerhedsplugin
Præcist som enhver pc ankommer med præinstalleret antivirus program, er det mig en GÅDE, hvorfor ikke alle webudviklere afleverer websitet INKL SIKKERHEDSPLUGIN??? Når vi nu VED hvor aktivt miljøet er omkring WordPress…
Og der findes flere fremragende systemer, endog i freemium versioner!
– installer altid eet, jeg peger selv på WordFence (jvnf linket ovenfor med hacker motiver)
4. For os med livrem og seler, er to-faktor login oplagt.
De såkaldte Brute-force angreb på “hoveddøren” – dvs et bombardement med “gæt” af koder og brugernavne – er fuldt og helt lukkede med aktivering af to-faktor login. Det kendes fra onlinebetaling med kreditkort, dvs en kode, der enten sendes til mobilen, eller en kode generator app installeret på mobilen (sidstnævnte fx google autheticator).
Det kan synes overflødigt. Men tro mig, det er det ikke, det er altid besværet værd at sikre sitet (har selv været lagt ned af uvelkomne gæster…og ærgelserne er utallige…)
Så også i denne henseende – SPØRG!
For et installeret sikkerhedsmodul / plugin bør være en naturlig og forventet del af enhver levering af et færdigt website!!!
Og undgå problemet med WordPress…
Som kunde ved du faktisk aldrig hvad du får!!
![problemet-med-wordpress-1024x682 Problemet med wordpress](https://backoffice-webservice.dk/wp-content/uploads/2023/10/problemet-med-wordpress-1024x682-1.jpg)
Vil du se min smukke backend?!
![WP-backend2-1024x663 VIl du se min smukke backend](https://backoffice-webservice.dk/wp-content/uploads/2023/10/WP-backend2-1024x663-1.jpg)