Brzi i sigurniji WordPress: checklista za vlasnike stranica

Većina WordPress stranica koje dobijemo na popravak nije stradala zbog sofisticiranog napada. Stradala je zbog plugina koji nitko nije ažurirao dvije godine. Brzi i sigurniji WordPress zato nije pitanje budžeta ni tehničkog znanja: pitanje je rutine koju vlasnik stranice može odraditi sam, bez developera. U Oseka Media održavamo WordPress stranice svaki dan i uvijek iznova…

Većina WordPress stranica koje dobijemo na popravak nije stradala zbog sofisticiranog napada. Stradala je zbog plugina koji nitko nije ažurirao dvije godine. Brzi i sigurniji WordPress zato nije pitanje budžeta ni tehničkog znanja: pitanje je rutine koju vlasnik stranice može odraditi sam, bez developera.

U Oseka Media održavamo WordPress stranice svaki dan i uvijek iznova gledamo iste propuste. Ova checklista pokriva sedam koraka koji rješavaju najveći dio problema. Svaki je opisan tako da ga možete napraviti danas. Ovdje se radi, ne teoretizira.

Zašto je brzi i sigurniji WordPress jedna disciplina, ne dvije

Spora stranica i hakirana stranica gotovo uvijek imaju isti uzrok: nitko ih ne održava. Napadi na male stranice nisu osobni. Botovi automatski skeniraju milijune WordPress instalacija i traže poznatu rupu u poznatoj verziji plugina. Kad je nađu, ne pitaju koliko je vaša firma mala.

Dobra vijest: iste navike koje stranicu čine sigurnom čine je i bržom. Manje plugina znači manje koda koji se vrti pri svakom učitavanju. Redovito održavanje znači da problemi ne stignu narasti. Zato je ovo popis za vlasnike, a alati koje spominjemo besplatni su ili imaju besplatnu verziju koja je sasvim dovoljna.

Ovaj tekst je akcijska checklista. Ako vas zanima šira slika, napisali smo detaljan vodič kroz WordPress sigurnost i vodič o brzini stranice i Core Web Vitals. Ovdje idemo redom, korak po korak.

1. Ažuriranja su dosadna i upravo zato rade

Jezgra, tema i plugini dobivaju zakrpe jer je netko negdje našao rupu. Bot koji skenira vašu stranicu zna točno koje verzije imate i koje ranjivosti idu uz njih. Stara verzija plugina nije “malo zastarjela”, ona je javno objavljena uputa za upad.

Što napraviti: uključite automatska ažuriranja za minor verzije jezgre, WordPress tu opciju nudi sam. Plugine i temu ažurirajte jednom tjedno, ručno, uz brzi pogled na changelog. Piše li “security fix”, ne čekate ponedjeljak: ažurirate isti dan.

Pogrešno: “Ažurirat ću sve odjednom kad budem imao vremena, jednom u par mjeseci.”

Ispravno: “Deset minuta svakog ponedjeljka: updati, klik kroz glavne stranice da vidim radi li sve, gotovo.”

Prije većih zahvata, recimo skoka na novu major verziju jezgre, napravite backup. Što nas elegantno dovodi do drugog koraka.

2. Backup ne sprječava katastrofu, on je čini nevažnom

Hakirana stranica s jučerašnjim backupom je neugodnost od sat vremena. Hakirana stranica bez backupa zna završiti tako da web radite ispočetka. Ista logika vrijedi i za pokvareni update, obrisanu stranicu ili svađu s hostingom.

Preporuka iz naše prakse: UpdraftPlus, besplatna verzija. Postavite dnevni backup baze i tjedni backup cijele stranice, obavezno na vanjsku lokaciju poput Google Drivea ili Dropboxa. Backup na istom serveru na kojem je stranica pada zajedno s njom, pa u trenutku kad vam treba više ne postoji.

I jedno pravilo koje se inače uči na teži način: backup koji nikad niste probali vratiti je želja, a ne backup. Dvaput godišnje napravite probni restore na testnoj poddomeni ili barem provjerite da se datoteke stvarno mogu skinuti i otvoriti.

3. Dvofaktorska autentifikacija zaustavlja ukradenu lozinku na vratima

Lozinke cure i to često nije vaša krivnja. Procuri baza nekog foruma na kojem ste se registrirali prije pet godina, a vi istu lozinku koristite za WordPress admin. S dvofaktorskom autentifikacijom taj scenarij staje na vratima: lozinka sama više nije dovoljna za ulaz.

Postavljanje traje desetak minuta. Instalirajte plugin WP 2FA ili Wordfence, skenirajte QR kod aplikacijom poput Google Authenticatora i od tada svaki login traži lozinku plus kod s mobitela. Obavezno za svaki račun s administratorskim pravima, a backup kodove spremite u password manager za slučaj da izgubite mobitel.

4. Ograničite pokušaje prijave prije nego bot pogodi lozinku

WordPress iz kutije dopušta neograničen broj pokušaja prijave. Bot može cijelu noć isprobavati kombinacije i nitko ga neće prekinuti. Plugin poput Limit Login Attempts Reloaded to reže odmah: nekoliko krivih pokušaja i IP adresa ide na čekanje.

Na stranicama koje održavamo pad broja napadačkih prijava nakon ove postavke vidi se u logovima već prvi tjedan. U kombinaciji s dvofaktorskom autentifikacijom dobivate dva sloja na istim vratima: bot teško pogađa lozinku, a i da je pogodi, bez koda s mobitela ne ulazi. Skrivanje login URL-a pluginom poput WPS Hide Login je koristan bonus, ali limit pokušaja je važniji korak.

5. Cache je najjeftinije ubrzanje koje ćete ikad dobiti

Sad prelazimo na brzinu. Cache najjednostavnije objašnjen: umjesto da server za svakog posjetitelja iznova slaže stranicu iz baze, posluži unaprijed pripremljenu kopiju. Razlika se mjeri u sekundama i posjetitelj je osjeti na prvi klik.

Ako vaš hosting radi na LiteSpeed serveru, a po našem iskustvu velik dio domaćih shared paketa danas radi, instalirajte LiteSpeed Cache. Besplatan je i uz keširanje rješava minifikaciju koda te lijeno učitavanje slika. Preset “Basic” u početnom čarobnjaku sasvim je dovoljan, napredne opcije ne morate dirati.

Niste na LiteSpeedu? WP Super Cache je solidna besplatna opcija, WP Rocket plaćena i udobnija. Bitno je imati točno jedan cache plugin. Dva cache plugina istovremeno ne zbrajaju se u dvostruku brzinu nego se međusobno ruše.

6. Fotografija od 4 MB ubija brzinu, WebP je vraća u život

Najčešći razlog spore stranice koji viđamo nije loš hosting nego fotografija snimljena mobitelom i ubačena ravno u objavu. Deset takvih na naslovnici i stranica se vuče bez obzira na sve ostalo što ste napravili.

WebP format istu sliku spakira u višestruko manju datoteku bez razlike koju bi posjetitelj primijetio. LiteSpeed Cache ima ugrađenu WebP konverziju, a plugin Converter for Media radi isti posao na bilo kojem hostingu. Uključite jednom i svaka nova slika konvertira se sama.

Pogrešno: “Ubacim fotku s mobitela kakva je, WordPress će to valjda srediti.”

Ispravno: “Prije uploada smanjim sliku na širinu do 1920 piksela, a WebP konverzija odradi ostatak.”

Koliko slike i brzina učitavanja znače za Google raspisali smo u vodiču o brzini stranice i Core Web Vitals. Kratka verzija: spora stranica tjera posjetitelje prije nego pročitaju ponudu, a Google to vidi i rangira u skladu s tim.

7. Plugin dijeta: svaki dodatak koji ne koristite radi protiv vas

Svaki plugin je tuđi kod na vašem serveru. Dok ga autor održava, dobro je. Kad ga napusti, rupa ostaje kod vas. Pritom je i deaktivirani plugin i dalje fizički prisutan na serveru i može poslužiti kao ulaz, pa deaktiviranje nije rješenje. Brisanje jest.

Prođite kroz listu plugina i tražite crvene zastavice:

  • zadnje ažuriranje prije više od godine dana
  • nije testiran s vašom verzijom WordPressa
  • duplira posao koji već radi drugi plugin ili tema
  • ne sjećate se zašto ste ga uopće instalirali

Orijentir iz naše prakse: standardna prezentacijska stranica nema razloga imati više od petnaestak aktivnih plugina. Sve iznad toga traži opravdanje. Deaktivirane obrišite danas, to je posao od dvije minute s mjerljivim učinkom na sigurnost i na brzinu.

Brzi i sigurniji WordPress u pola sata mjesečno: raspored

Sedam koraka zvuči kao puno posla, ali većina se postavlja jednom i dalje radi sama. Ono što ostaje je kratka rutina. Ovako izgleda raspored koji koristimo za vlastite i klijentske stranice:

ZadatakKoliko čestoKoliko traje
Ažuriranje plugina, teme i jezgre uz pogled na changelogtjedno10 min
Klik kroz glavne stranice nakon updatatjedno2 min
Provjera da backup stvarno sjeda na Google Drivemjesečno5 min
Pregled liste plugina i brisanje viškamjesečno10 min
Test brzine u PageSpeed Insightskvartalno5 min
Probni restore backupadvaput godišnje30 min

To je cijela disciplina. Nema tu tajni ni skupih alata, samo rutina koja se ponavlja dok ne postane navika. Stranice koje ovako održavamo godinama nemaju nijedan uspješan upad, a brzina im ne pada s vremenom nego ostaje tamo gdje smo je postavili.

Želite li ići dublje od checkliste, dva velika vodiča čekaju: WordPress sigurnost od temelja i brzina stranice i Core Web Vitals. Checklista rješava prvih 80 posto, vodiči objašnjavaju ostatak.

A ako je vaš zaključak nakon čitanja “nemam ja vremena za ovo”, i to je legitiman odgovor. Održavanje WordPress stranica radimo svaki dan za klijente koji žele da rutinu drži netko drugi. Javite nam se, recite gdje vas žulja i dogovorit ćemo pregled stranice.

Besplatna procjena

Želite web stranicu koja donosi upite?

Pošaljite nekoliko informacija o projektu i dobit ćete jasan smjer: strukturu, SEO prioritete i realan opseg izrade.