Pokud se někoho zeptáte, co je nejdůležitější pro zachování bezpečného webu na WordPress, většinou vám odpoví – aktualizace WordPress, šablon a pluginů.
Abych to upřesnil, je to asi takto. Každý software (hlavně open-source) co prochází nějakým vývojem, obsahuje během svého vývoje i různé bezpečností chyby. Na ty vývojář buď přijde sám nebo ho na to upozorní komunita lidí co se o daný software zajímají a používají ho.
Tak to probíhá samozřejmě i u WordPress. Po zjištění chyb vývojář co nejrychleji vydá novou verzi software (WP, pluginu, šablony). Uživatelé po určité době na tento update dojdou a svoji verzi aktualizují. Zde je kriticky nutné doba za kterou vy jako správce webu na tento update dojdete. Samozřejmě čím dříve, tím lépe.
Na druhou stranu je však nutné zmínit, že drtivá většina updatů není o bezpečnosti, ale přináší vylepšené funkce, nové vlastnosti nebo upravuje chyby, které nemají nic společného s bezpečností.
Není tedy dogmaticky nutné updatovat vždy vše a kontrolovat updaty každý den. Někdy to není ani žádané. Dejme tomu, že spravujete web v GIT. Pokud máte web v GIT, nemůžete používat automatické aktualizace a jste odkázáni na manuální updaty. Také pokud to je větší web (rozuměj takový, kde výpadky nejsou vítané), musíte na testovací verzi plugin odzkoušet, jestli náhodou jeho nová verze neudělá na ostré verzi něco co opravdu nechcete. Má cenu v tomto případě se držet dogmaticky všech updatů za každou cenu? No nemá. Tedy pokud nechcete celé dny řešit aktualizace 😀
Jak z toho ven? Jednoduše a chytře! Existuje databáze, které obsahuje bezpečnostní chyby WordPress, pluginů a šablon. Zde si můžete manuálně zjistit, jestli verze co máte je bezpečná či není. Poněkud chytřejší řešení je nainstalovat plugin, který se na tuto databázi umí napojit a zjistí, jestli váš WordPress, pluginy či šablony nemají nějakou bezpečnostní díru. Pokud se něco najde (scan je možné dělat každý den), upozorní vás plugin emailem. Vy pak můžete jednoduše stáhnout novou verzi a updatovat.
Jak to řeším já? U mých vlastních webů, řeším updaty, kdy se mi zrovna chce (aneb kovářova kobyla chodí bosa). Automatické WP updaty tam mám zapnuté. U webu mých klientů, které jsou většinou v GIT, to řeším pomocí výše uvedeného pluginu. Aktualizace jádra WordPress provádím vždy, když vyjde nová verze a pluginy pouze pokud mě upozorní plugin WP Scan. Samozřejmě jednou za pár měsíců se udělá velký update všech pluginů a všechny aktualizuji na nejnovější verze (tedy pokud po otestování fungují jak mají).
Opravdu není nutné vždy aktualizovat. Může se také stát, že vám nebudou vyhovovat změněné funkce aplikací v novější verzi, která své chování změní negativním směrem. Pokud však vaše starší verze neobsahuje žádné známé bezpečnostní chyby, aktualizovat určitě nemusíte.