WordPress & Php – Avagy a Te WP oldalad elég biztonságos?

febr 19, 2020 | WordPress

1. Bevezetés

A WP szerver oldalon PHP-t használ, melyből átlagosan 4 – 5 verzió közül (5.6, 7.0, 7.1, 7.2 és eseteként már 7.3 is) lehet válogatni a szolgáltatóknál.
Jelen cikkben ezt fogjuk részletesebben tárgyalni, ezt megelőzően azonban két fontos információt meg szeretnék osztani!

Webhelyed biztonsága érdekében mindig használj friss bővítményeket és sablont, hiszen az elavult kódok biztonsági réseket rejtenek/rejthetnek!

A bővítmény utolsó frissítésének idejét annak letöltési oldalán, jobb oldalt ellenőrizheted!

Soha ne használj olyan bővítményt, mely már 2 éve nem kapott frissítést!

A bővítmény vagy sablon futtatásához szükséges minimális PHP verziót is mindig ellenőrizd (pl.: PHP Version: 5.3 or higher azaz 5.3 vagy magasabb verzió)!

Az alábbi tesztek ugyan azon a hardveren (azaz vason) lettek elvégezve az alábbi szoftverekkel és verziókkal.

  • WordPress 5.0,
  • WooCommerce 3.5.2,
  • Twenty Nineteen

A mérések eredményei táblázatban, kérés/másodperc értékben lettek feltüntetve, ahol a nagyobb érték számít jobbnak.

2.Tesztek

PHP 5.6

A WordPress futásához jelenleg minimálisan szükséges PHP verziónak az 5.6 van definiálva, mely átlagban az alapértelmezett beállítás is a szolgáltatóknál.

Ez két okból is szomorú. Egyrészt ehhez a verzióhoz már nincs hivatalos támogatás 2019 január óta, másrészt jelentősen lassabb kódfutást biztosít a jelenleg még támogatott verziókkal ellentétben!

WordPress 5.0 91.64 req/sec
WordPress 5.0 + WooCommerce 3.5.2 24.74 req/sec

A fentiek fényében kifejezetten cikinek tartom az alábbi ábrán megjelenő adatokat. A mai napon (2019.07.10.) aktívan WP-t futtató szervereken használt PHP verziók. Sokszor hallottam, hogy a WP nem biztonságos. Az alábbiak láttán el is tudom képzelni, azonban a nem megfelelő szerver konfiguráció (46,2% elavult PHP verzióval működik) vagy a karbantartatlan kód nem a WP hibája!

PHP 7.0

2019 január eleje óta már ez a verzió sem kap hivatalos támogatást!

WordPress 5.0 206.71 req/sec
WordPress 5.0 + WooCommerce 3.5.2 56.94 req/sec

PHP 7.1

2016 év végén debütált és 2018 decemberében szűnt meg az aktív támogatása. Biztonsági frissítéseket még 2019 év végéig fog kapni. A karbantartott wp bővítmények és sablonok már kompatibilisek ezzel a verzióval, így ennél kisebb PHP verzió futtatása semmiképpen sem javallott.

WordPress 5.0 210.98  req/sec
WordPress 5.0 + WooCommerce 3.5.2 57.00 req/sec

PHP 7.2

2017 decemberében adták ki, 2019 év végén jár zárul az aktív támogatása, azonban biztonsági frissítéseket 2020 decemberig kapni fog. A rendesen karbantartott sablonok és bővítmények már erre a verzióra is fel vannak készítve, ahogyan a WP is! Ha nincs olyan kiegészítőd vagy sablonod, mely ne támogatná ezt a verziót, akkor ajánlott ezt használnod!

WordPress 5.0 229.18 req/sec
WordPress 5.0 + WooCommerce 3.5.2 63.10 req/sec

PHP 7.3

2018 év végén adták ki, jelenleg ez a legfrissebb verzió. Aktív támogatással rendelkezik és már a WordPress is támogatja. Ugyanakkor még nem támogatja minden bővítmény és sablon!

Fontos megjegyeznem, hogy bár ez a verzió a legfrissebb és a tesztek szerint a leggyorsabb is, üzemeltetői szemmel használatát még nem javaslom! Jelen esetben az, hogy ez a legfrissebb PHP verzió, a legnagyobb „hibája” is. Informatikai rendszerek üzemeltetésénél mindig a szoftverek legfrissebb verziójának futtatását javaslom.

Ugyanakkor mivel jelenleg is több PHP verzió rendelkezik aktív támogatással, nem javaslom a legmagasabb verziószámú kiadás használatát! Ennek az az oka, hogy mivel viszonylag friss kiadásról beszélünk több felfedezetlen vagy javítatlan hibát tartalmazhat a többi verzióhoz képest.

WordPress 5.0 253.20 req/sec
WordPress 5.0 + WooCommerce 3.5.2 68.87 req/sec

3.Konklúzió

Kitűnően látszik, hogy a PHP sebessége az egyes verziók kiadásával folyamatosan növekszik (5.6 és 7.3 között már nagyjából 3x-os), így érdemes mindig az újabbat használni. Az én ajánlásom a legfrissebb verzió -1, ami jelenleg a 7.2-es. Az új honlapoknál a szerveren beállított verziót mindig ennek megfelelően állítom be, valamint a meglévőket a megfelelő frissítések és ellenőrzések után állítom át.

A fenti sebességtesztek együttesen diagramon:

Források:
https://www.php.net/supported-versions.php
https://kinsta.com/blog/php-benchmarks/

Elfogadás
Ez a webhely funkcionális sütiket és külső szkripteket használ az élmény javítása érdekében.
Szükséges
WordPress
A WordPress cookie-k beállítására való képességének vizsgálatához.
Bejelentkezéskor a hitelesítési adatok tárolására.
Mikor és ki van bejelentkezve.
Az Ön egyéni felhasználói azonosítója, ezzel testreszabhatja az adminisztrációs felület nézetét, és esetleg a webhely felületét is.
A blogodhoz történő hozzászólás előadója.
A blogodhoz történő hozzászólás email címe.
A blogodhoz történő hozzászólás előadójának honlapcíme (ha meg lett adva).
A lefordítható karakterláncok nyelvének tárolásához.

Bővebben


WordFence
Ezt a cookie-t a Wordfence tűzfal használja az aktuális felhasználó képesség-ellenőrzésére a WordPress betöltése előtt.
Ez a cookie arra szolgál, hogy értesítse a Wordfence adminisztrátorát, ha egy rendszergazda új eszközről jelentkezik be.
A Wordfence egy olyan funkciót kínál a webhely látogatóinak, amellyel megkerülheti az országblokkoló funkciót egy rejtett URL elérésével. Ez a cookie segít nyomon követni, hogy kinek kell engedélyeznie az országblokkoló funkció megkerülését.
Azoknak a felhasználóknak, akik bejelentkezéskor 2FA-t használnak, ez a cookie lehetővé teszi számukra, hogy ugyanazzal a böngészővel jelentkezzenek be, anélkül, hogy minden alkalommal 2FA-t kellene használniuk, legfeljebb 30 napig.

Bővebben

Google sütik
Hozzájárulást állít be a hirdetéssel kapcsolatos felhasználói adatok elküldéséhez. Bővebben
Beállítja a személyre szabott hirdetésekhez való hozzájárulást. Bővebben
Nincs lehetőség hirdetésekkel kapcsolatos új cookie-k írására.
Nem olvashatók a belső felektől származó meglévő hirdetési cookie-k.
A kérelmek küldése egy másik domainen keresztül történik a korábban beállított, harmadik féltől származó cookie-k kérelemfejlécben történő küldésének elkerüléséhez.
A Google Analytics nem ír és nem olvas Google Ads-cookie-kat, és a Google-jelek funkciói nem gyűjtenek adatokat az ilyen forgalomról.
A rendszer gyűjti az oldal teljes URL-címét, beleértve hirdetéskattintási információkat az URL-paraméterekben (pl. GCLID/DCLID). A hirdetéskattintási információkat a rendszer csak a hozzávetőlegesen pontos forgalomméréshez használja fel.
Az IP-címeket az ország meghatározásához használjuk, de a címeket soha nem naplózza a Google Ads és a Floodlight rendszere – a begyűjtésük után azonnal töröljük őket. Megjegyzés: A Google Analytics a normális internetes kommunikáció részeként gyűjti az IP-címeket. További információ az IP-címek Google Analytics szolgáltatásban végzett maszkolásáról Bővebben
Tiltása esetén a rendszer cookie-t nem tartalmazó pingeket küld a Google Analytics számára. Nem kerül sor Analytics-cookie-k beállítására, elérésére és olvasására az eszközön. Ennek következtében a cookie-t nem tartalmazó pingek anonimizált, nem azonosítható Google Analytics-események. Bővebben
Egyéb
1.-es nevű süti leírása
2.-es nevű süti leírása