Category: Rady


Útoky na WordPress a Joomlu

Adam Homola,

Používáte WordPress nebo Joomlu? Pak zbystřete. Je to teprve měsíc, co probíhal velký globální útok na webové stránky postavené na WordPressu a právě v těchto dnech přišla jeho druhá vlna. Ta s sebou nese i rozšíření útoku na Joomlu a tím pádem větší bezpečnostní rizika.

Co se děje

Podstata útoku spočívá v tom, že se neznámí útočníci pokouší z obrovského množství IP adres přihlásit do vašeho redakčního systému. Útok nemíří na slabiny WordPressu nebo našich serverů, ale slabiny ve vašich přihlašovacích údajích.

Nemalá část uživatelů WordPressu ponechá jako Uživatelské jméno základní “admin”, což útočníkům ulehčí práci.

Už jim totiž zbývá jenom uhodnout heslo. To se pokouší prolomit metodou zvanou Brute Force Attack. Tedy hrubou silou a stylem pokus – omyl, dokud se netrefí. Logicky se začíná u těch nejpoužívanějších hesel, která se dají jednoduše uhodnout.

Takovéto neustálé pokusy o přihlášení z mnoha IP adres způsobují velkou zátěž serveru a hrozilo i přerušení provozu.

Co jsme udělali my

Abychom zabránili kompletnímu přetížení a následnému výpadku serverů, zablokovali jsme všechny pokusy o přihlášení se do WordPressu a Joomly ze zahraničiních IP adres. Pokud se připojujete z České Republiky, neměl by se vás útok nijak dotknout.

Pro uživatele připojující se ze zahraničí jsme udělali jednoduché opatření – ještě před samotným loginem do redakčního systému vám vyskočí jedndouché přihlašovací okénko, kam stačí zadat login “bb” a heslo “bb”. Tyto údaje v okénku píšeme a po tomto ověření se už dostanete na standardní přihlášení do redakčního systému.

Útoky pořád probíhají a celou situaci neustále monitorujeme, ale největší nebezepečí jsme již zažehnali.

Obecná prevence proti podobným útokům

Vedle možného přejmenování vstupního souboru (wp-login.php, nebo index.php)  je dobrým základem pro prevenci zvolit jiné Uživatelské jméno. To můžete změnit jak ručně, tak pohodlněji s pomocí pluginu Admin renamer extended.

Nic nepokazíte ani silným heslem, které není kombinací přihlašovacích údajů, či jiných dostupných a známých jmen a názvů. Vyvarujte se především heslům jako je “password”, “123456” a podobným.

S bezpečností WordPressu by měly pomoct také pluginy Limit Login Attempts, Lockdown WP Admin, nebo robustnější Better WP Security, který dokáže útočníky po určitém počtu pokusů od přihlašovací stránky úplně odstavit.


Nenaleťte na spam od paní Dvořákové

Adam Homola,

Miliardáři z Nigérie, převody peněz po zesnulém, zázračné pilulky a podobné spamy se prozradí jednoduše. Mají společné dvě věci: nejsou uvěřitelné a když už jsou česky, tak přinejlepším tak zoufale, že jsou skoro nečitelné. Překladače ještě tak dokonalé nejsou.

Bohužel se teď objevil nový spam, který tyto dvě poznávací znamení nemá. Je hezky česky a je uvěřitelný. Žádná angličtina ani zkomolená čeština, která vypadla z překladače. Gramaticky naprosto správně napsaný email, který vám nic nevnucuje. Naopak. Paní Dvořáková se chce jen podívat na váš web:

“Dobrý den,

chtěla jsem se podívat na Vaše stránky [XYZ], které mi našel Google, ale vyskočila na mě hláška, že mohou poškodit můj počítač. Používám Firefox a dříve se mi to nikdy nestalo.

Můžete mi prosím poradit? Do přílohy jsem zkopírovala obrazovku, když na mě ta hláška vyskočila, abyste si mohli udělat představu.

S pozdravem

Eva Dvořáková”

Přiložený soubor .doc rozhodně neotevírejte!

Není v něm sice žádný vir ani malware, ale ověří se tím “živost” vaší emailové schránky. Výsledkem bude vyšší množství spamů.

Spam potvrdil v komentářích na Lupě i pan Ladislav Jukl, Customer Service Specialist ze společnosti ESET:

“Dobrý den, podle zatím dostupných informací se nejedná o vir. Účelem přiloženého souboru je po jeho otevření kontaktovat server a tím dát informaci, že emailová adresa na kterou byl email s touto přílohou zaslán je validní. Následně pak dojde k zařazení této emailové adresy na seznam pro rozesílání spamu. Proto přílohu nedoporučuji otevírat.”

Jak poznat, že se jedná o spam? Obzvláště když je napsaný správně česky a vypadá uvěřitelně?

V případě paní Dvořákové byste se měli nejprve podívat jestli váš web funguje, nebo se místo něj zobrazuje chybová hláška, o které paní Dvořáková mluví. Pokud pojede (i z výsledků vyhledávání Googlu), tak je to první varování.

Druhou podezřelou indicií je také samotná emailová adresa: eva.dvorakova@mailbox4free.eu. mailbox4free.eu nezní zrovna standardně a důvěryhodně. Tyto dvě indicie by vám už měly stačit k tomu, abyste přílohu v emailu neotvírali.

Obecně pro spam ale pořád platí dvě zlatá pravidla – neotevírejte přílohy od neznámých lidí z podezřelých adres, hlavně když nic takového neočekáváte. A používejte selský rozum.


Několik WordPress SEO tipů pro úplné začátečníky

Adam Homola,

SEO, nebo-li Search Engine Optimization (česky optimalizace pro vyhledávače), je věda. Často nadhodnocená a nafouknutá jako dot com bublina v roce 1999, ale pořád věda. Se SEO technikami se dá dělat spousta věcí, včetně diskutabilních a ne úplně férových kousků. Ty mohou také pomoci, ale Google a ostatní vyhledávače se pořád vyvíjí a nekalé SEO praktiky naštěstí penalizují.

My nebudeme řešit WordPress SEO nijak ze široka. Podíváme se pouze na několik nejzákladnějších tipů. Na něco, co zvládne každý. Na jednoduché, ale přesto účinné praktiky, které pomůžou protlačit váš obsah k více lidem. Jen takový základ pro začínající web, který by neměl žádný uživatel WordPressu ignorovat. Nemusíte se bát, tyhle SEO základy jsou jednoduché a zvládnete je levou zadní. A i když si povídáme konkrétně o WordPressu, dají se následující SEO techniky aplikovat i na jiné redakční systémy.

1. Trvalé odkazy – permalinky

Nejdřív si posvítíme na formát názvů jednotlivých příspěvků v URL. Je důležité, aby měly adresy příspěvků rozumný formát. Ten nejjednodušší. Takový, který přečtou lidé jasně a srozumitelně.

Takže zapomeňte na adresu vasedomena.cz/2012/09/16/aizc5df7894c=4786/. Nic takového. Místo nepřehledné změti znaků použijeme samotný název příspěvku. Je jedno, jaký formát data použijete, nebo jestli před název příspěvku dáte rubriku. Ideální je samotný název příspěvku tak, aby výsledek vypadal: vasedomena.cz/muj-prvni-prispevek.

Změnu permalinků můžete provést v Nastavení – Trvalé odkazy.

2. Obrázky

Znáte to sami. Stále častěji hledáte na internetu obrázky. Nezajímá vás text. Chcete vidět fotku známé osoby. Historické památky. Zombie pochodu. Dřív, než foťák sám pozná co fotíme a fotku automaticky a inteligentně pojmenuje, nám začnou růst šediny. Proto nastává klasická ruční práce.

Ale pozor, není třeba jen přejmenovat samotný soubor. Důležitá je v administraci WordPressu kromě položky Název, také položka Alternativní text. Tam napište stručný popis obrázku.

Neuškodí ani vyplnění položek Titulek a Popis. Ty se už zobrazí i v samotném příspěvku, takže je na vás, jestli tam něco takového chcete. Název a Alternativní text by ale měly být samozřejmostí, stejně jako přejmenování názvu souboru.

3. Nainstalujte si SEO plugin

Nedávno jsme vám doporučovali několik pluginů pro WordPress, o kterých byste měli vědět. Mezi nimi byly i dva SEO pluginy. Jeden z nich si vyberte a jdeme na to. My si to ukážeme na příkladu WordPress SEO by Yoast. Ať už si ale nainstalujete kterýkoliv SEO plugin, všude to bude velmi podobné.

S takovým SEO pluginem se dá dělat spousta věcí, od naprostých základů až po pokročilé techniky. K pokročilým věcem se třeba někdy dostaneme, ale dnes si probereme jen pár nejjednodušších věcí. Ty se budou týkat hlavně psaní samotných příspěvků.

Určitě jste si všimli, že vám plugin WordPress SEO by Yoast přidal do administrace několik nových položek, hlavně na stránce pro psaní/editaci příspěvků. Ve spodní části přibyla celá nová sekce se třemi záložkami. Nás zajímá hlavně ta první, General. Na ní je několik položek: Snippet Preview, Focus Keyword, SEO Title a Meta Description.

Ve Snippet Preview vidíte, jak bude váš příspěvek vypadat ve vyhledávání Googlu. Naším cílem je vyladění Snippet Preview k dokonalosti. Nejen pro vyhledávače. Čím lépe bude váš příspěvek vypadat ve výsledcích vyhledávání, tím spíš lidi zaujme. A vy nechcete lidi nudit, nebo otrávit. Vy chcete, aby na vás klikli.

Začneme samotným názvem příspěvku. Takže zase nahoru. Ten by měl být stručný, jasný, lehce pochopitelný a lákavý. Psaní poutavých titulků je téma samo pro sebe, ale ze SEO pohledu je důležité tam mít tzv. focus keyword. Tedy to hlavní slovo, o čem celý příspěvek je. Píšete o nějakém produktu? Napište do titulku jeho název. To nepomůže jenom vyhledávačům, ale i lidem. Vaši čtenáři tak budou hned vědět, o čem bude řeč a co mohou od vašeho příspěvku čekat.

Položku SEO Title by pak mělo jít pouze vygenerovat na základě již napsaného titulku nahoře.

Poslední věcí je Meta Description dole. Meta popisek je to, co se bude zobrazovat jako černý text ve vyhledávání. Jde o kratičký text, jen na dva řádky, dlouhý nějakých 140 znaků. Takový tweet, kterým byste měli co nejlépe a nejpoutavěji popsat daný příspěvek. Pokud Meta popisek nevypíšete, použije se automaticky začátek příspěvku. Což ve většině případů není dobré – na začátku bývají pouze úvody, žádné zásadní informace a v textu se tak hledající nedozví, o čem celý příspěvek je. První věta mu málokdy řekne něco smysluplného, když bude takhle vytržena z kontextu.

4. Linkujte!

Samozřejmě všeho s mírou. Nepřeplácejte každou větu několika odkazy. Nikdo vám na ně klikat nebude. Odkazujte pouze tam, kde to dává smysl a kde to může být čtenářům k něčemu dobré. Nebojte se odkazů. Odkazování v novém příspěvku na zdroj, obrázek nebo video je fajn, my se ale bavíme o odkazování na vlastní starší tvorbu. Psali jste už o podobném tématu dřív? Nezapomeňte v novém příspěvku odkázat ten starý. Ať už v textu, nebo dole pod textem.

Máte eshop a píšete k tomu nějaký blog, ve kterém zmiňujete názvy produktů? Odkazujte na ně. Lidé vás mohou ve vyhledávačích najít právě přes texty na blogu, nikoliv přes produkty na eshopu.

Také neuškodí, když budete odkazovat na cizí stránky. Ne na vašeho konkurenta, ale prostě linkujte i “ven”, ne jen na sebe. Nečekejte, že vás hned začnou všichni linkovat zpátky. Nezačnou. Čtenáři ale ocení, když se na vašich stránkách dočtou něco zajímavého a ještě je třeba odkážete na další materiály k tématu.

A tak dále…

Tím dnešní povídání o základech WordPress SEO ukončíme. Několik tipů by vám pro začátek mohlo stačit a někdy příště se můžeme podívat na další tipy a pokročilejší SEO techniky. Hlavně nezapomínejte, že SEO nezachrání špatný, nebo tuctový obsah. Skvělému obsahu může SEO pomoci, ale vždy to bude hlavně o obsahu.