bezpečnost

Podrobte webové stránky analýze během pár minut

hsponner — Sat, 15 Sep 2018 10:36:33 +0000

Podrobte webové stránky analýze během pár minut

Na webové stránky se lze dívat z mnoha pohledů a kromě subjektivního designu lze prakticky každý číselně vyhodnotit. V článku se dozvíte, jaké metriky jsou důležité pro vyhodnocení webu. Tyto metriky mají dopad jak na prožitek vašeho návštěvníka, tak v mnoha případech i na výsledky ve vyhledávačích. Ty už nějakou dobu berou v potaz jak podporu responzivního chování, tak i rychlost webu.

Rychlost načítání webu

Rychlé načítání webu je čím dál důležitější vlastnost. Pomalé weby jsou znevýhodňovány ve výsledcích vyhledávání, pomalé načítání odrazuje návštěvníky od kliknutí na další článek, stahování velkých objemů dat otráví každého mimo 4G signál. Jak zjistíte, jak si vedete a co můžete zlepšit? Zkuste následující online nástroje:

Obrázky

Bez obrázků se dnes moc webů neobejde. Tlak na 4k monitory a retina displeje nás vývojáře nutí používat obrázky s vysokým rozlišením. Ty by se ale neměly načítat zbytečně i pro menší zařízení. Obrázky taktéž můžete před umístěním na web převést do správného formátu a zkomprimovat. Zjistěte, zda máte prostor pro optimalizaci vašich obrázků: https://webspeedtest.cloudinary.com/ Zjistíte, že s Webp formátem dokážete ušetřit až 70 % velikosti obrázku. S využitím vektorové grafiky (SVG) se dostanete ještě na nižší čísla a ještě vás ušetří trápení s responzivním chováním.

Mobilní responzivita

Responzivní chování je komplexní UX analýza, kterou lze těžko vyhodnotit bez reálného uživatelského testování. I tak ale Google přišel se svým hodnotícím algoritmem, který můžete vyzkoušet zde:

https://search.google.com/test/mobile-friendly

Bezpečnost

Otestovat bezpečnost webových stránek online není vůbec jednoduché. Můžete si vyzkoušet penetrační testy (např. https://pentest-tools.com/cms-vulnerability-scanning/drupal-scanner), ale zpravidla se bude jednat o placené služby.

Využijte ale základní test hlaviček požadavků, které se odesílají: https://securityheaders.com/. Pokud získáte A hodnocení, máte velkou pravděpodobnost, že i ostatní aspekty bezpečnosti budou ošetřeny.

SEO

Obdobných online testovacích nástrojů SEO nastavení vašeho webu naleznete na internetu spousty, proto zde žádný nebudu upředňostňovat. Musíte ale počítat s faktem, že tyto nástroje hodnotí pouze technické on-page faktory, jako správně uvedené tagy (nechybí H1, Page Title, Page Description,...). V tuto chvíli nevím o online nástroji, který by plnohodnotně bral v potaz i váš business, analýzu klíčových slov, obsah webu, konkurenci, chování návštěvníků z měřících nástrojů. Pokud o nějakém víte, podělte se v komentáři.

Výkon PHP aplikace - pro pokročilé

Pokud disponujete vyšperkovaným front-endem, kvalitním hostingem a stále trpíte při každém načtení stránky, můžete zkusit analyzovat i PHP back-end aplikace pomocí https://blackfire.io/. Díky tomuto nástroji jste i v neplacené verzi schopni zjistit, co brzdí načítání celé stránky.

Drupal moduly

Když už jsme na Drupal.cz, uvedu i pár analytických modulů přímo pro Drupal, které vám pomohou i v rámci administrace webu.

Závěr

Metriky ve webovém prostředí se mění téměř ze dne na den. Co včera byla vyhovující, zítra může způsobit potíže. Především pokud se bavíme o bezpečnosti. Používáte další online nástroje pro analýzu webových stránek? Máte oblíbené další moduly, které vám třeba napoví, na co se soustředit? Dejte vědět v komentářích.

hsponner So, 09/15/2018 - 12:36

bezpečnost

drupal

analýza

front-end

pro vývojáře

Komentáře

Nejen marketing

Docela tu chybí MarketingMinner. Nejen, že to umí analyzovat cizí weby, ale i ten váš a to včetně analýzy klíčových slov a jejich pozic. Minerů je tam hned několik, takže si každý najde ten svůj.

Přidat komentář

Důležitá bezpečnostní oprava pro Drupal 6, 7 i 8

petr — Fri, 23 Mar 2018 16:06:12 +0000

Důležitá bezpečnostní oprava pro Drupal 6, 7 i 8

Ve středu 28. 3. 2018 mezi 18:00 a 19:30 hodin, bude vydána bezpečnostní aktulalizace pro Drupal 7.x, 8.3.x, 8.4.xa 8.5.x. proti vysoce kritické zranitelnosti zabezpečení. Drupal security team vás vyzývá, abyste si rezervovali čas pro aktualizace v této době, protože exploity se mohou objevit během několika hodin nebo dnů. Oznámení o vydání zabezpečení se zobrazí na stránce Drupal.org a můžete také sledovat Twitter feed Security týmu.

Ačkoliv Drupal 8.3.x a 8.4.x již nejsou podporovány a na nepodporované verze obvykle nejsou poskytovány bezpečnostní aktualizace, vzhledem k možné závažnosti tohoto problému budou vydány opravy i pro weby, které dosud neměly možnost aktualizovat na verzi 8.5.0. Bezpečnostní tým Drupal důrazně doporučuje následující:

Stránky běžící na 8.3.x by se měly okamžitě aktualizovat na verzi 8.3.x, která bude poskytnuta v oznámení, a poté naplánovat aktualizaci na nejnovější verze 8.5.x v následujícím měsíci.
Stránky běžící na 8.4.x by se měly okamžitě aktualizovat na verzi 8.4.x, která bude poskytnuta v oznámení, a poté naplánovat aktualizaci na nejnovější verze 8.5.x v následujícím měsíci.
Stránky běžící na 7.x nebo 8.5.x mohou okamžitě aktualizovat, jakmile bude oznámení vydáno za použití normálního postupu.

Aktualizace nebude vyžadovat update databáze.

Celá zpráva v originálním znění: https://www.drupal.org/psa-2018-001

Critical Drupal core update for 7 and 8 will be released on Wednesday March 28th, 2018 https://t.co/u7OJQ4apFa
— Drupal Security (@drupalsecurity) 21. března 2018

A co Drupal 6?

Zmíněná chyba se týká i již nepodporované verze Drupal 6. Opravy na tuto verzi budou poskytovány prostřednictvím některého LTS (Long Term Support – dlouhodobá podpora) partnera.

The PSA also effects Drupal 6. If you need support ongoing support for Drupal 6, please contact a D6LTS vendor. https://t.co/mOleOddJGq
— Drupal Security (@drupalsecurity) 22. března 2018

petr Pá, 03/23/2018 - 17:06

security

bezpečnost

Komentáře

Ukázka zneužití

Uncovering Drupalgeddon 2 https://research.checkpoint.com/uncovering-drupalgeddon-2/ via Petr Parimucha

Nakažený web

Dobrý den,

jak správně postupovat, když web byl nakažený. Provedl jsem upgrade na nejnovější verzi Drupal 8, ale bohužel server je stále vytížený na 96%. V root složce drupal 8 mám muhstik.sh a i drupal.php1 až drupal.php30, po vymazání se však zobrazují soubory stále.

Děkuji za odpověď.

Přidat komentář

Aktualizace Drupalu

EvaR — Tue, 20 Feb 2018 08:47:16 +0000

Aktualizace Drupalu EvaR Út, 02/20/2018 - 09:47

Má-li být váš projekt bezpečný a dlouhodobě životaschopný, měli byste jej nejen dobře naplánovat a postavit, ale také udržovat, což obnáší především pravidelné aktualizace softwaru.

Aktualizace (update) je nahrazení softwaru novější verzí a provedení případných souvisejících databázových změn, a to v rámci stávajícího “major release”, tj. Drupal 8.3.6 > 8.3.7, nebo 8.3.6 > 8.4.0 apod. (Naproti tomu upgrade je přechod z Drupalu 6.x > 7.x nebo 7.x > 8.x).

Kdy aktualizovat

Nelze tvrdit, že musíte mít na webu vždy nejaktuálnější verze všech modulů či témat vzhledu. Někdy je dobrý důvod k tomu, abyste se drželi verze starší - třeba proto, že v novější verzi modulu se s novou funkcionalitou objeví problém, který je třeba dořešit. Existuje však situace, kdy byste váhat neměli: v momentě, kdy vyjde bezpečnostní aktualizace - tj. nová verze, která opravuje bezpečnostní chybu. (Úvahu nad tím, zda a v jakém případě lze některé bezpečnostní aktualizace vynechat, si necháme do jiného textu - zde se chceme věnovat procesu aktualizace spíše z technického hlediska). Ať už se jedná o bezpečnostní nebo jinou aktualizaci, postup je vždy stejný.

Než začnete s aktualizací

Samozřejmostí by mělo být, že aktualizace neprovádíte rovnou v produkčním, nýbrž ve vývojovém prostředí. Teprve když proběhne vše v pořádku a podle vašich představ, přenášíte změny na produkční web.
Přihlaste se na web jako uživatel s oprávněním Spravovat aktualizace softwaru (Administer software updates).
Zjistěte, co vše chcete aktualizovat. Nehledě na to, že určitě odebíráte bezpečnostní novinky z Drupal.org (pokud ne, tak začněte), dostupné aktualizace zjistíte jedním z následujících postupů:
1. pomocí composeru: composer outdated
2. pomocí drushe: drush ups (zkrácená verze příkazu drush pm-updatestatus)
3. pomocí modulu Update Manager, na adrese /admin/reports/updates (modul je součástí jádra).
Přečtěte si poznámky k vydání jádra, modulů i témat, které chcete aktualizovat. Může se stát, že některá z nových verzí např. vyžaduje předchozí aktualizaci jiného modulu.
Doporučení: v závislosti na použitých technologiích se ujistěte, že budete schopni z logů aplikací pohodlně (i zpětně) získat přehled o změnách, které jste provedli. Pokud tomu tak není, veďte si seznam prováděných změn.
Jestliže některé části softwaru ponecháte záměrně ve stávající verzi (tj. aktualizaci vynecháte), je šikovné poznamenat si důvod (příště o tom nebudete muset znovu přemýšlet, dohledávat “issues” apod.).
Přepněte web do režimu údržby (drush sset system.maintenance_mode 1, nebo na adrese /admin/config/development/maintenance, následně vyčistěte cache: drush cr).
Zálohujte celý váš projekt tak, abyste ho v případě potřeby dokázali ze zálohy plně obnovit. Je tudíž potřeba zálohovat všechny soubory, které se mohou při aktualizaci změnit, i databázi. Nespoléhejte na zálohy webhostingu či jiné automatické zálohy - potřebujete “čerstvou” zálohu před aktualizací. Pokud používáte composer a verzovací systém, proveďte commit a push také pro soubory composer.json a composer.lock. (Pro úplné začátečníky: alespoň napoprvé otestujte, že je vaše záloha funkční - tj. pokuste se zprovoznit ji někde paralelně, např. na testovací doméně).
Pozn.: Pokud web budete aktualizovat pomocí drushe, pak můžete počítat s tím, že drush aktualizované moduly automaticky zazálohuje, takže stačí zazálohovat databázi, např. pomocí příkazu drush sql-dump > cesta/zaloha.sql.

Automatická aktualizace pomocí composeru

(Pokud nejste zvyklí používat composer, aktualizace by neměla být vaší první zkušeností s tímto nástrojem.)

Pro každý modul, který chcete aktualizovat (vývojové prostředí):

composer update drupal/module_name --with-dependencies
(vs. NEdoporučuje se: composer update --with-dependencies)
provedení potřebných aktualizací v databázi: drush updb
vyprázdnění cache: drush cr
Pokud máte změny v souborech .htaccess, composer.json nebo robots.txt oproti původním originálům, aplikujte je znovu na aktualizované soubory. Někdy jsou změny také v souboru settings.php (informace najdete v poznámkách k vydání v příslušné verzi jádra). V tom případě musíte vlastní změny v settings.php rovněž aplikovat ručně.

Kontrola po aktualizaci (vývojové prostředí):

zkontrolujte hlášení stavu (/admin/reports/status)
zkontrolujte fungování webu z pohledu administrátora
přepněte z režimu údržby do běžného režimu (drush sset system.maintenance_mode 0, nebo /admin/config/development/maintenance, následně drush cr).
zkontrolujte fungování webu webu z pohledu anonymního uživatele, případně dalších rolí.

Přenesení změn na produkční prostředí:

ujistěte se, že jste na produkci přenesli oba soubory composer.json i composer.lock
Přepněte web do režimu údržby (drush sset system.maintenance_mode 1)
proveďte composer install --no-dev
(NE composer update)
Proveďte aktualizaci databáze a aktualizaci entit: drush updb, drush entup
Vymažte cache drush cr
Přepněte web do provozního režimu (drush sset system.maintenance_mode 0)

Automatická aktualizace pomocí Drushe

Aktualizace jádra: drush up drupal
Aktualizace jednotlivých modulů: drush up module_name
Provedení databázových změn a změn entit: drush updb, drush entup
Pokud jste prováděli změny v souborech .htaccess, composer.json nebo robots.txt, aplikujte je ručně. Někdy jsou změny také v souboru settings.php (informace najdete v poznámkách k vydání v příslušné verzi jádra). V tom případě musíte vlastní změny v settings.php rovněž aplikovat ručně.

Kontrola po aktualizaci je stejná, jako v případě composeru.

Manuální aktualizace (nedoporučuje se)

V příkazové řádce (shell) přejděte do adresáře s instalací Drupalu:
cd /path/to/your/installation
Jestliže jste prováděli změny v souborech .htaccess, composer.json nebo robots.txt, ujistěte se, že máte jejich zálohu.
Odstraňte adresáře /core a /vendor a dále všechny soubory v kořenovém adresáři webu, kromě těch, které jste přidali ručně:
rm -rf core vendor
rm -f *.* .*
Stáhněte si nové verze jádra, modulů či témat, které chcete aktualizovat. Novou verzi jádra rozbalte a překopírujte do kořenového adresáře webu. V případě, že aktualizujete contrib moduly nebo témata, nahraďte celý původní adresář modulu/témata vzhledu novým modulem/tématem (původní adresář smažte, může obsahovat soubory, které se v nové verzi nevyskytují).
Pokud jste prováděli změny v souborech .htaccess, composer.json nebo robots.txt, aplikujte je ručně. Někdy jsou změny také v souboru settings.php (informace najdete v poznámkách k vydání v příslušné verzi jádra). V tom případě musíte vlastní změny v settings.php rovněž aplikovat ručně.
Spusťte aktualizaci databáze na adrese VAS_WEB/update.php.

Proveďte kontrolu webu (viz postup pro composer).

Pozn. v širším redakčním okruhu jsme se zcela neshodli na tom, zda by nebylo vhodnější pro Drupal 8 striktně razit pouze použití composeru. Osobně se stále přikláním k "rozcestníku" uveřejněném na Drupal.org, kde se composer doporučuje zkušenějším uživatelům. Záleží samozřejmě i na tom, jaký projekt spravujete, nakolik "future friendly" se cítíte a jak rychle se chcete učit. Vítám názory a zkušenosti v komentářích.

Autor: Eva Rázgová

Obsahová revize textu: Martin Klíma, Petr Illek

Úvodní obrázek: Todd Quackenbush (public domain license)

DDD - Dos and Don´ts Drupalu

EvaR — Sun, 18 Feb 2018 08:51:14 +0000

DDD - Dos and Don´ts Drupalu EvaR Ne, 02/18/2018 - 09:51

Čeho se vyvarovat a jak to dělat správně. Přečtení vám zabere několik minut, ale ušetří vám dny, možná i týdny vašeho drahocenného času.

Neupravujte jádro, nahrané moduly ani témata vzhledu

Úprava těch částí softwaru, které jste si stáhli z Drupal.org, je zásadní chyba a v podstatě vám znemožní aktualizace (přišli byste o všechny změny), nebo z nich udělá zábavu na měsíc (než všechny změny dohledáte a znovu zapracujete).
Povolené (a smysluplné) jsou pouze změny v několika málo souborech, které potřebujete změnit při instalaci či deploymentu, tak, aby systém fungoval v konkrétním prostředí. Jedná se např. o settings.php, .htaccess nebo composer.json. Pokud aktualizace jádra obsahuje změny v těchto souborech, je to uvedeno v poznámkách k vydání příslušné verze. (Do nových souborů pak zapracujete vaše existující úpravy).
Jedinou výjimkou, kdy můžete upravit existující software, je vytvoření záplaty, která řeší chybu, optimálně takové záplaty, kterou poskytnete komunitě (skrze “issues” na Drupal.org).

Namísto úpravy existujících modulů pište vlastní. Existující moduly ovšem mají API (https://api.drupal.org/api/drupal, plus dokumentace k jednotlivým staženým modulům), které můžete (a měli byste) - použít. Všimněte si mimo jiného, že drupal má systém hooků, které umožní vašim modulům přetížit funkcionalitu těch existujících.

Jestliže chcete upravit vzhled (jinak než konfiguračně), máte dvě možnosti: vytvořit nové vlastní téma vzhledu, nebo vytvořit subtéma stávajícího tématu vzhledu. Obě varianty jsou správné a “plnohodnotné”, nicméně pro začátečníka bývá jednodušší začít odvození subtématu. Některá témata jsou již předpřipravena pro tvorbu subtémat a jsou v popisu označena jako base themes, často již nějaká subtémata obsahují (příkladem je téma Radix).

Při psaní kódu oddělujte logickou a prezentační vrstvu webu

Prezentační vrstva je ta část, kde se vypisuje nějaký výstup. V tématu vzhledu jsou to soubory s příponou html.twig (tzv. šablony - templates) a obvykle jsou v podadresáři templates. Tato vrstva neobsahuje PHP kód, nijak nezpracovává proměnné, pouze vypisuje již předem připravená data.
Logická vrstva (získávání hodnoty proměnných, vytváření nových proměnných, dotazy do databáze, apod.) patří pouze do:

souboru VASE_TEMA.theme
vašich vlastních modulů

Tip pro začátek: určitě se podívejte na tzv. preprocess funkce, které budou odpovědí na většinu otázek, které potřebujete řešit (v API Drupalu hledejte Theme system overview a pod ním Preprocessing for Template Files).

PHP kód rozhodně nepatří do žádných částí webu, které můžete uložit přes webové rozhraní. Veškeré možnosti, jak vložit PHP kód do webu skrze konfiguraci a formuláře (v Drupalu 8 jich zbylo naprosté minimum), považujte pouze za nástroj, jak rychle otestovat váš snippet. Nic takového ovšem nemá co dělat na produkčním webu.

Co se týče javascriptu, ten má místo v určených souborech / knihovnách opět ve vlastním tématu vzhledu či vlastním modulu. Stejně jako u PHP kódu se vyvarujte pokušení vkládat jej např. do uzlů či jiných částí webu konfiguračně.

Využívejte API Drupalu, dodržujte standardy a bezpečnost

Tento bod pochopitelně úzce souvisí s předchozím. Jednou z velkých předností Drupalu je “pořádek” a přehlednost kódu. Ať si stáhnete jakýkoli modul či téma z Drupal.org, najdete v něm společnou logiku a jako programátor se snadno zorientujete. Vděčíte za to propracovanému API a standardům Drupalu. Držet se jich i při psaní vlastního kódu je jednoznačně nejefektivnější cesta k úspěchu.

Samostatnou zmínku si zaslouží bezpečnostní standardy, které zahrnují instrukce pro konfiguraci webu i psaní kódu. Pravidel není mnoho a vyplatí se dodržovat je zcela striktně. Jedině tak můžete těžit z již tradičně vysoké úrovně bezpečnosti Drupalu. Smaozřejmostí by mělo být sledování (nejlépe automatický odběr) bezpečnostních aktualit.

Nevymýšlejte kolo - vylepšete ho

Na většinu otázek a problémů, na které narazíte, už v Drupalu existuje hotové řešení, obvykle v podobě modulu. Začněte tím, že ho prozkoumáte a použijete, nebo na něj navážete za pomoci jeho API. Vývojem vlastních řešení “za každou cenu” jen neefektivně pálíte čas a možná si tím přiděláváte i další zbytečnou práci (otázka kompatibility, integrace s jinými moduly, bezpečnosti) . S Drupalem dostáváte práci tisíců přispěvatelů, kteří se na tvorbě kódu podílejí, a dalších stovek špičkových vývojářů, kteří tuto práci revidují a schvalují oficiální verze ke stažení. Za této situace je lepší a zábavnější vymýšlet “vychytávky”, než znovu vyrábět základní díly. Pokud se vaše práce za čas objeví na Drupal.org., je to ten nejlepší scénář.

Autor: Eva Rázgová

Obsahová revize textu: Karel Majzlík

Úvodní obrázek: Petr Kratochvíl (public domain license)