Co je podle tebe největší výhoda WordPressu?
Jednoduchost v mnoha ohledech. Je jednoduché ho zprovoznit, protože není moc vybíravý na běhové prostředí. Má dobrý editor a tak je jednoduché ho používat pro tvoření obsahu. Je vcelku jednoduché ho rozšiřovat, téměř na každý jeho aspekt lze navázat vlastní funkcionalitu a díky tomu je k dispozici ohromný ekosystém dalších rozšíření. Ve výsledku je tak vcelku jednoduché v něm vytvořit rozumný web, ale na druhou stranu je i jednoduché to udělat špatně.
Tvoje specializace je bezpečnost webů. Jaké nástroje nebo pluginy na to používáš?
Sám pro sebe nepoužívám nic moc extra navíc. Mám sadu úprav, které zlepšují některé vlastnosti, se kterými nejsem v základu moc spokojený, ale jsou to často dost experimentální věci, které nejlépe fungují v našem vlastním prostředí a jinde mohou dělat problémy. Nedávno jsem o nich napsal článek: https://smitka.me/2024/04/05/13-extra-things-we-do-for-better-wordpress-security/
Jinak se příliš netajím k sympatiím k bezpečnostnímu pluginemu WordFence, který podle mě obsahuje téměř všechny užitečné funkce, které bych od bezpečnostního řešení čekal. Přestože samotný plugin na webech nepoužíváme, tak na serverech používáme jejich konzolový nástroj Wordfence CLI https://www.wordfence.com/products/wordfence-cli/ pro detekci a řešení případných problémů a hojně používáme jejich datové feedy zranitelností https://www.wordfence.com/help/wordfence-intelligence/v2-accessing-and-consuming-the-vulnerability-data-feed/ ve vlastních nástrojích.
Jak si vede WordPress v oblasti security ve srovnání s jinými CMS?
Samotný WordPress je na tom podle mě velmi dobře. Přeci jen je to asi nejprověřenější systém na planetě, který se nebojí používat třeba Bílý Dům nebo NASA. Je to ale docela těžké srovnávat, protože WP je uvnitř velmi komplexní a starý systém. Moderní systémy mohou používat mnohem lepší vývojové postupy a frameworky, které z principu brání vzniku mnoha chyb. Nasazování takových postupů ve WP je velmi obtížné, protože velká změna by mohla rozbít opravdu velkou část internetu…
To se ale bavíme o jádru WP, kde si v posledních letech nevzpomínám na mnoha závažných bezpečnostních chyb. Ekosystém pluginů a šablon kolem WP je pak bohužel úplně jiná kapitola. Tam jsou kritické bezpečnostní problémy prakticky na denním pořádku. Jde o to, že jich je opravdu mnoho, mají různorodou kvalitu a nějakým základním auditem procházejí jen při první verzi, která se nahrává do WordPress repozitáře. “Prémiové” doplňky pak často nekontroluje vůbec nikdo…
Vina není jen na samotných tvůrcích těchto doplňku, ale částečně i na samotném WordPress. Přestože má například na ošetřování všemožných uživatelských vstupů připraveny funkce využitelné snad ve všech myslitelných scénářích, tak jejich dokumentace není rozhodně ideální. Sám si také nepamatuji, jaké funkce své vstupy automaticky ošetřují a jaké ne a musím často pátrat v dokumentaci i zdrojovém kódu… Moderní frameworky se snaží v základu mít vše ošetřené automaticky, aby na to tvůrce nemusel vůbec myslet. Když se pak automatické ošetření nehodí, tak se to musí frameworku explicitně oznámit a je pak snadné výsledný kód auditovat právě na výskyty těchto “výjimek”. Ve světě WP bohužel tento komfort nemáme.
Zpět k otázce – z pohledu bezpečnosti je na tom samotný WP podle mě lépe než ostatní CMS, ale kazí si to náchylností zbytku ekosystému ke vzniku chyb.
Založil jsi marketingovou agenturu Lynt. Co všechno klientům nabízíte?
V Lyntu se zaměřujeme především na výkonnostní PPC kampaně, kde efektivně využíváme data z našich dalších interních nástrojů. Naše silná stránka spočívá v práci s daty – jejich získávání, analýze a následném využití pro optimalizaci kampaní. V budoucnosti však vidím náš největší potenciál v oblasti Business Intelligence, kde integrujeme data z různých zdrojů, z objednávkového systému či účetnictví, a pomáháme tak vytvářet ucelené přehledy pro naše klienty.
Troufám si říct, že na rozdíl od jiných agentur, disponujeme silným technologickým zázemím a odbornými znalostmi, což nám umožňuje všechny technologické potřeby řešit in-house. Zajišťujeme provoz serverů, správu aplikací i vlastní vývoj, což nám dává možnost pomáhat klientům s mnoha technickými problémy v online prostředí. Tento přesah mezi obory je naším hlavním benefitem – dokážeme pomoci například s výkonem a bezpečností webu, řešením nedoručitelnosti emailů, ale třeba i s technickými záležitostmi na serverech. Samozřejmě umíme pomoci i s tvorbou webů, ale zde spíše řešíme MVP weby a různé landingpages, protože jsme zjistili, že nás příliš nebaví projektové řízení větších projektů, řešení podrobných grafických návrhů a podobné činnosti, kde už utíkáme z technického světa.
Pro naše klienty se tak často stáváme technologickým partnerem, na kterého se mohou obrátit v případě jakýchkoliv technických potíží. Mnoha z nich se staráme o servery nebo jim pomáháme s údržbou jejich webů, a pomáháme zajistit hladký chod jejich businessu.
Jak se vypořádáváš s velkým množstvím různých online a digitálních nástrojů? Používáš něco na automatizaci?
Snažím se držet stack používaných nástrojů co nejmenší. Automatizaci si většinou řešíme vlastní cestou přes skripty v Pythonu. Zrovna jsme v procesu migrace jednotlivých skriptů do nástroje Windmill (https://www.windmill.dev/), který by nám nad nimi měl dát větší kontrolu. Platformy jako make.com a podobné nám nepřinášely nějaké zásadní benefity, protože API mnoha služeb si umíme napojit sami. Co nám dělalo problém byla především kontrola nad tím, že všechno opravdu běží, to má právě Windmill vyřešit.
Osobně zase tak často nenaskakuji na vlnu aktuálně módních nových nástrojů a spíše se snažím vytěžit maximum z těch stávajících. Rád si je samozřejmě vyzkouším, abych byl v obraze, ale do denního používání se jich moc nedostane. V poslední době se mým každodenním společníkem stal snad jen OpenAI – API i Chat, který mi šetří opravdu dost času.
Pořádáš konferenci WordCamp v Praze. Proč myslíš, že je důležité takové akce pořádat a potkávat se na nich s ostatními lidmi z oboru?
Myslím si, že dnes je poměrně složité najít opravdu kvalitní zdroje informací. Klasický webový obsah je dnes často dělaný především ze SEO důvodů a stále častěji generovaný AI. Ve videu zase nelze jít příliš do hloubky a zároveň zachovat rozumnou úroveň zábavnosti, aby bylo dostatečně zajímavé a bylo pak dohledatelné a trendující.
Fyzické konference tento problém do značné míry napravují tím, že můžeš obsah přednášky probrat s dalšími účastníky nebo se zeptat na detaily přímo přednášejícího. Funguje tam tak komunitní validace informací a také se můžeš dozvědět spousty zákulisních informací o tom, jak ostatní dané témata řeší, což může být hodně inspirativní. A i když pro tebe třeba samotné přednášky užitečné nejsou, tak je dobré být v obraze, co se zrovna v oboru děje a jaké problémy se řeší.
Co bys poradil každému, kdo teď začíná s WordPressem?
Vždycky se hodí se naučit trochu více o CSS, JS a PHP. Dnes sice máme spousty builderů, kde o těchto základních technologiích nemusíš vědět prakticky nic a stále jsi schopen postavit kompletní web. Jejich znalost ti však umožní některé věci řešit mnohem efektivněji a nespoléhat se jen na to, že existuje nějaký doplněk, který to za tebe vyřeší. S pár řádky kódu, se kterými mi dnes AI pomůže, jsem často schopen nahradit celý velký plugin. Myslím, že minimalismus je do začátku ten nejlepší přístup, kterým se můžeš dát.
Díky Vláďo za odpovědi a moc se těšíme na viděnou v září! 👋
Chcete si poslechnout Vláďovu přednášku o bezpečnosti na WordPressu? Zaujal vás program konference? Nečekejte ani minutu a kupte si vstupenku, dokud jsou!