FS Data

FS Data - webbhotell, domännamn, e-post, servrar

Snabbare hemsida med smartare stilmallar

En snabb hemsida är som bekant en bra hemsida, för såväl besökare som sökmotorer.

Historiskt sett har optimering av hemsidor (dvs, arbetet med att göra en hemsida snabbare) främst handlat om att få ner storleken på bilder, videofilmer och liknande element. Nuförtiden handlar det dock mer om att få ner storleken på script och stilmallar (CSS). Dagens hemsidor består nämligen till allt större del av script och stilmallar.

– Vad består din hemsida av egentligen?

Du kan själv kontrollera vad din egen hemsida består av (i form av bilder, script och stilmallar). Med webbläsaren Firefox, gå in under ”Verktyg”, ”Webbutvecklare” och ”Nätverk”. Besök din hemsida och klicka på länken för ”Växla prestandaanalys” längst ner till höger i Nätverksfältet.

Av de två cirkeldiagram som du nu ser så är det den till höger, under rubriken ”Inaktiverad cache”, mest intressant. Där kan du tydligt se vad din hemsida innehåller i form av script (js), bilder (images), HTML, stilmallar (css) osv.

Här är ett exempel från en rätt så väloptimerad hemsida:

fsdata_element_ssk

– Optimera dina stilmallar enkelt (med WordPress)

Nu ska vi visa hur man kan optimera sina stilmallar, med fokus på WordPress-baserade hemsidor. Man måste inte köra WordPress för att praktisera dessa tips, de hjälper även om man kör andra lösningar eller har en egenutvecklad hemsida, men vi kommer arbeta med ett specifikt WordPress-tillägg.

Vi börjar med att installera/aktivera WordPress-tillägget Autoptimize. Det är ett tillägg som vi har tipsat om tidigare, i vår guide till en snabbare WordPress-sida. Undertecknad har använt detta tillägg i flera års tid och även översatt det till svenska. Det är med andra ord ett väldigt bra tillägg.

Autoptimize hanteras under ”Inställningar” och ”Autoptimize”. Börja med att bocka i alternativen ”Optimera HTML-kod?” och ”Optimera CSS-kod?” och spara ändringarna med rätt knapp längst ner på sidan (välj knapp beroende på om du har ett cache-tillägg eller inte).

Nu har Autoptimize kombinerat alla stilmallar (med vissa undantag) på din hemsida till en enda optimerad fil. Om du kontrollerade innehållet på din hemsida med Firefox tidigare, testa gärna att göra det nu igen. Inte illa va?

Dags att gräva ner sig i de lite mer avancerade inställningarna. Klicka på knappen ”Visa avancerade inställningar” högst upp på sidan. Under ”CSS-alternativ” visas nu följande:

CSS-alternativ i Autoptimize

Här är en genomgång av dessa olika alternativ:

– Det första alternativet, ”Generera data: URI för bilder?”, innebär att mindre bilder infogas på hemsidan via CSS, istället för separata filer. Det fungerar inte för alla bilder, men testa gärna att aktivera detta och kontrollera hur hemsidan ser ut därefter.

– Alternativet ”Remove Google Fonts?” kan man använda om man har inbäddade typsnitt från Google, t ex i sitt tema, som man egentligen inte behöver. Det är inte tvunget, men innebär ofta en tydlig hastighetsförbättring (då hemsidan inte laddar in dessa externa filer från Google).

– Det tredje alternativet, ”Also aggregate inline CSS?”, bör man aktivera. Autoptimize optimerar som standard stilmallar som inkluderas externt, men med detta alternativ inkluderas (och optimeras) även stilmallar som är inbäddade i HTML-koden för sidan.

– Därefter behöver man välja mellan alternativen ”Inkludera och senarelägg inladdning av CSS?” och ”Inkludera all CSS”. I båda dessa fall bäddar Autoptimize in den optimerade stilmallen i HTML-koden för hemsidan. Det som skiljer dem åt är hur mycket av stilmallarna som inkluderas i HTML-koden.

– Har du besökt en hemsida där du märkt att sidan i princip ”väntar” på att få renderas/visas upp?

Detta kan man reglera genom att inkludera den del av stilmallen som krävs för att den första renderingen ska ske (above the fold) direkt i HTML-koden. Men hur avgör man vilken del av stilmallen som reglerar detta? Jo, med en svensk webbtjänst: Critical Path CSS Generator.

Besök Critical Path CSS Generator och ange adressen till din hemsida under ”Enter Page URL” samt klistra in din stilmall i fältet för ”Full CSS”. Du hittar din fullständiga (optimerade) stilmall i källkoden för din hemsida. Med Autoptimize heter stilmallen alltid ”autoptimize_” följt av slumpmässiga tecken och ”.css”.

Därefter klickar du på knappen ”Create Critical Path CSS”. Efter en stund visas ett fält med den del av stilmallen som krävs för att den första renderingen ska ske. Kopiera detta, återgå till inställningarna för Autoptimize, klicka på ”Inkludera och senarelägg inladdning av CSS?” och klistra in stilmallen i fältet där.

Om din hemsida inte har så många besökare och en rätt så liten stilmall så kan alternativet ”Inkludera all CSS” vara bättre här. Men överlag så brukar det första av dessa två alternativ vara bäst.

– Under det sista alternativet i Autoptimize kan man exkludera stilmallar från att optimeras. Om du upplever problem med stilmallen för en viss del av hemsidan eller specifika funktioner, inaktivera CSS-optimeringen i Autoptimize, kontrollera vilken stilmall det är som berörs och lägg till den här (och aktivera CSS-optimeringen i Autoptimize igen).

– Avslutningsvis

Om du följer denna guide, se då även till att testa din hemsida ordentligt också. Autoptimize har bra dokumentation och dess utvecklare är aktiv i supportforumet hos WordPress (så sök/ställ gärna frågor där).

Mycket av det vi gått igenom kan man även applicera för att optimera script. Man bör dock vara mer insatt i vilka funktioner som scripten på hemsidan hanterar innan man gör det. Det är därför vi inte har gått igenom scriptoptimeringen i Autoptimize här.

Om du har några frågor eller funderingar kring detta – eller tips på hur du själv arbetar med dina stilmallar – så får du gärna lämna en kommentar här nedan!

WordPress 4.4 – de stora nyheterna!

WordPress 4.4Den senaste versionen av världens största hemsidelösning, WordPress, har precis släppts. WordPress 4.4 är nu ute och tillgänglig via en enkel uppdatering i WordPress administrationsgränssnitt (wp-admin).

Vi har som vanligt testat denna nya version under en tid och kan rapportera att den fungerar alldeles utmärkt med våra webbhotellspaket.

WordPress 4.4 erbjuder ett stort antal nyheter, där vi har plockat ut de saker som vi tycker är mest intressanta.

– WordPress REST API (1 av 2)

Den enskilt största nyheten i WordPress 4.4 är introduktionen av ett REST API. Ett API är ett programmeringsgränssnitt, som möjliggör hantering av data från WordPress via externa tjänster/gränssnitt. Ett exempel på ett sådant gränssnitt är Calypso, som nyligen introducerades för WordPress.com.

WordPress har sedan tidigare flera API:er, som XML-RPC och RSS. Men dessa gränssnitt har inte riktigt hängt med i utvecklingen (och haft en del säkerhetsproblem, som vi har berättat om tidigare). Tanken är att REST API ska ersätta XML-RPC.

WordPress nya API ska introduceras i två steg: med 4.4 är det fokus på infrastrukturen, dvs. den interna koden i WordPress. Det är kärnan (core), där alla anrop och datatyper ska styras rätt. Med WordPress 4.5 kommer ändpunkter, dvs. externa anslutningar, att tillkomma i REST API.

Detta innebär att främst utvecklare av tillägg och teman kommer kunna dra nytta av det nya API:et i WordPress 4.4. Det är fullt möjligt att vi kommer se ett större antal förbättrade (snabbare) teman och tillägg här inom kort.

Från nästa version av WordPress (om tidsplanen håller) kommer man dock fritt kunna arbeta mot WordPress via valfritt gränssnitt (med stöd för REST API). Det innebär att vi kan få se helt nya administrationsgränssnitt och teman som inte alls använder PHP/MySQL.

Även om REST API inte är synligt för vanliga användare så är det en revolutionerande nyhet. WordPress utvecklas nu från ett traditionellt CMS till en plattform där man själv kommer kunna välja gränssnitt. Det här är det mest intressanta som skett med WordPress på många års tid.

– Nytt standardtema: Twenty Sixteen

Varje år introduceras ett nytt standardtema i WordPress och med 4.4 kommer nu temat Twenty Sixteen.

WordPress Twenty Sixteen

Twenty Sixteen är ett rent, nästan minimalistiskt, tema med väldigt bra struktur och typsnitt. Det är givetvis responsivt och kan enkelt anpassas med olika färger, bakgrunder och liknande. Det är även tillgänglighetsanpassat och ordentligt översatt till svenska.

Det känns som Twenty Sixteen är ett tema som kommer ligga till grund för många anpassade barnteman (child themes) här framöver. Temat är trevligt och enkelt att arbeta med, samtidigt som det laddar snabbt. Vi gillar Twenty Sixteen skarpt.

– Naturligt responsiva bilder

Bildhanteringen i WordPress 4.4 har fått ett gäng nya funktioner som medför naturligt responsiva bilder. Med alla bilder inkluderas nu HTML-attributen srcset och sizes, som gör det enkelt för webbläsare att förstå vilken bild en besökare bör visas (som är optimal för dennes skärm).

WordPress 4.4 responsiva bilder

Bäst av allt är att man inte behöver anpassa sitt tema för att få stöd för dessa responsiva bilder, det bara fungerar direkt med WordPress 4.4 (med reservation för att vissa bildtillägg kan påverka detta).

– Egen oEmbed-funktionalitet

Det har länge varit möjligt att, enbart med en länk, bädda in externt material (t ex bilder från Instagram, tweets från Twitter osv.) på WordPress-baserade hemsidor via oEmbed. oEmbed är ett öppet format för denna typ av inbäddning och med version 4.4 blir WordPress en egen oEmbed-leverantör.

Rent konkret innebär detta att inlägg/sidor som skapas i WordPress (och länkas vidare) automatiskt bäddas in med rätt formattering, färger och annan data (där sidan länkas). Innehållet visas även tydligt i en separat iframe. Det här är ett utmärkt komplement vid t ex källhänvisningar.

– Förbättrade/standardiserade kommentarer

Kommentarssystemet i WordPress 4.4 har förbättrats och hanteras nu i likhet med inlägg/sidor. Kommentarerna är mer standardiserade, vilket både bör minska antalet konflikter med externa kommentarssystem samt ge en snabbare hantering av kommentarer överlag i WordPress. Dessa förbättringar lägger även grund för framtida nya kommentarsfunktioner.

– Standardiserade nätverksfunktioner (Multisite)

På samma sätt som kommentarssystemet så har även hanteringen av nätverksfunktionerna, eller WordPress Multisite, blivit standardiserade. WordPress 4.4 har en lång lista med nätverksrelaterade förbättringar, men kort sammanfattat fungerar nu detta både bättre och snabbare. En av de mest välkomna förbättringarna här är att det nu tydligare framgår hur tillägg är aktiverade (för enskilda sidor eller hela nätverket).

– Övrigt

WordPress 4.4 är en av de mest funktionsrika uppdateringarna av WordPress hittills. Det är inte ofta en ny version av WordPress har så många, både synliga och osynliga, nyheter. Testperioden för WordPress 4.4 har även varit längre än vanligt, vilket är fullt förståeligt.

Läs gärna mer om WordPress 4.4 hos WordPress. Vi vill givetvis rikta ett stort tack till våra vänner på WordPress Sverige för den utmärkta svenska översättningen av WordPress 4.4. Det är ett ideellt arbete som gör en stor skillnad för de svenska WordPress-användarna!

Har du uppdaterat till WordPress 4.4? Vad tycker du om nyheterna? Lämna gärna en kommentar här nedan!

Viktigt: stäng av XML-RPC i WordPress

Den vanligaste attacken mot WordPress-baserade hemsidor är en sk. brute force-attack. Det innebär att man försöker få åtkomst/kontroll till en hemsida genom att gissa sig till ett lösenord väldigt många gånger. Med dagens kraftfulla datorer och servrar kan man gissa hundratals, om inte tusentals, lösenord på en minut.

Brute force-attacker är dock rätt så enkla att upptäcka. Om man ansluter x antal gånger, under en viss tid, mot wp-login.php (WordPress-inloggningssida) så kan man anta att en attack pågår. Den senaste veckan har t ex vår brandväggslösning blockerat ca 130 000 brute force-attacker mot våra kunders WordPress-sidor (det är den näst mest ”populära” attacken i vårt nätverk).

– Men tänk om man kan testa flera lösenord via en och samma anslutning?

Sedan WordPress version 3.5 är XML-RPC aktiverat som standard. XML-RPC är ett gränssnitt som används t ex av mobila appar, vissa tillägg (däribland Jetpack) samt för sk. pingbacks (att man automatiskt länkar tillbaka om man får en länk till sig). Det var från början en bra sak, men det har visat sig medföra flera säkerhetsrisker.

En av de mindre kända funktionerna i XML-RPC är en metod som heter system.multicall, som innebär att man kan utföra flera anrop inom en och samma anslutning. Det är bra om man t ex vill köra flera olika kommandon via en HTTP-anslutning. Men det har börjat missbrukas rejält de senaste månaderna.

Via system.multicall i XML-RPC kan man testa 100-tals, om inte 1 000-tals, lösenord med en enda anslutning mot WordPress.

Säkerhetsföretaget Sucuri har även uppmärksammat dessa attacker. Denna graf från dem illustrerar detta tydligt:

Attacker via system.multicall i XML-RPC

Det här är ett allvarligt problem, då dessa attacker inte lika enkelt kan uppfattas/identifieras och stoppas av våra brandväggar (och andra lösningar). Det enda vettiga sätt att skydda sig mot detta är att stänga av XML-RPC i WordPress. Det är vad vi nu vill rekommendera er att göra.

FS Data är ett säkert webbhotell– Stäng av XML-RPC i WordPress

Det enklaste sättet att stänga av XML-RPC i WordPress är att installera och aktivera ett tillägg som heter Disable XML-RPC. Tillägget fungerar bra med senaste versionen av WordPress (4.3.1 i skrivande stund), både för enklare WordPress-sidor samt för WordPress-nätverk (nätverksaktivering).

Man kan även blockera extern åtkomst till filen xmlrpc.php (som används för XML-RPC i WordPress) via .htaccess. Lägg bara in nedanstående kod i filen .htaccess som ligger i rotmappen för din WordPress-sida.

# Blockera anslutningar till xmlrpc.php

order deny,allow
deny from all

Ovanstående kod fungerar med webbservern Apache (som vi använder för våra webbhotellspaket). Man kan även begränsa åtkomsten till xmlrpc.php specifika IP-adresser genom att lägga in följande rad i .htaccess (efter raden som inleds med ”deny”):

allow from 127.0.0.1

Där man då ersätter 127.0.0.1 med den IP-adress som behöver kommunicera med WordPress via XML-RPC.

Ett tredje sätt att stänga av XML-RPC är att lägga in följande rad i wp-config.php (i rotmappen för din WordPress-sida):

add_filter( 'xmlrpc_enabled', '__return_false' );

Den raden behöver läggas in efter följande rad:

require_once(ABSPATH . 'wp-settings.php');

– När ska man inte stänga av XML-RPC i WordPress?

Den enda gång man inte bör stänga av XML-RPC är om man har en viktig applikation eller tillägg som kommunicerar med WordPress via detta gränssnitt. De mobila apparna är nuförtiden överflödiga, då WordPress är fullt ut mobilanpassat. Fundera gärna över om tillägget är tillräckligt viktigt. Att man tappar pingbacks är tråkigt, men det är det värt sett till säkerheten.

– Framtiden för XML-RPC i WordPress

Sedan en tid tillbaka pågår arbete med ett helt nytt REST API (ett annat gränssnitt) för WordPress. Om allt går enligt plan så kommer detta API att erbjudas från WordPress 4.5 (som släpps nästa år). Med det nya API:et på plats är det högst sannolikt att XML-RPC kommer vara inaktiverat som standard för WordPress.

Vi vill avslutningsvis rekommendera er alla att stänga av XML-RPC i WordPress.

Om du har några frågor kring detta, eller kanske förslag på andra lösningar, så får du gärna lämna en kommentar här nedan.

Optimera HELA din WordPress-hemsida

En snabb hemsida är en bra hemsida. Det är ett uttryck som vi lever efter på FS Data, med våra snabba webbhotellspaket och kraftfulla servrar. Tidigare besökare av vår blogg minns kanske även inlägg såsom Guide till en snabbare WordPress-sida, Snabba upp WordPress med CDN och WP Super Cache vs. W3 Total Cache.

När man snabbar upp, eller optimerar, sin hemsida så använder man ofta webbtjänster som GT Metrix, Pingdom eller Sajtkollen (som nyligen har lanserats av IIS). Det är jättebra, men kan ge en felaktig bild om man bara testar sin start/förstasida (http://www.mindomän.se/) och inte underliggande sidor (http://www.mindomän.se/produkter/produkt1/, /produkt2/ osv).

fsdata_optimera_hela_hemsidan– Man måste optimera hela sin hemsida!

Underliggande sidor är viktigare än man kan tro. Det är nämligen vanligt att dessa används som ”ingångssidor” för besökare till hemsidor. Undersidorna innehåller ofta mer relevant information och hamnar därmed högre upp i sökmotorerna (som besökarna använder).

När man använder en webbtjänst för att optimera sin hemsida så kontrollerar man en sida åt gången. Om man vill så kan man kontrollera alla sina undersidor manuellt på detta sätt. Vi har dock ett tips om hur man kan kontrollera och optimera hela sin hemsida – med WordPress – mycket enklare.

– Kontrollera & optimera alla sidor/inlägg i WordPress

För detta kommer vi använda ett WordPress-tillägg som heter Google Pagespeed Insights. Det är ett tillägg som använder Googles API för Pagespeed för att kontrollera alla sidor och inlägg per automatik. Detta kräver att man har ett Google-konto (för API:et).

1. Börja med att installera och aktivera Google Pagespeed Insights for WordPress på din WordPress-hemsida. När det är klart, gå in under ”Verktyg” och ”Pagespeed Insights”.

2. Nu behöver du en (kostnadsfri) API-nyckel från Google. Besök Google Developers Console och logga in med ditt Google-konto där. Följ sedan dessa steg för att få en API-nyckel:

  • – I rutan ”Enable Google APIs for use in your apps”, klicka på ”Enable APIs”.
  • – Välj ett projektnamn, t ex ”WP Pagespeed Hemsidenamn”, godkänn villkoren och klicka på ”Create”.
  • – Klicka därefter på ”Enable APIs” igen, välj ditt projekt och klicka på ”Continue”.
  • – Sök nu efter ”Pagespeed”, klicka på ”PageSpeed Insights API” och välj ”Enable API”.
  • – I menyn till vänster, under ”APIs & auth”, klickar du sedan på ”Credentials”.
  • – Under ”Add credentials” väljer du ”API key” och till sist ”Browser key”.
  • – Döp denna nyckel till valfritt namn, t ex ”WP Pagespeed Hemsidenamn”, och klicka på ”Create”.
  • – Kopiera den API-nyckel som nu visas på skärmen.

3. Åter i WordPress, klistra in din API-nyckel under inställningarna för Google Pagespeed Insights. På samma sida under ”Google Response Language”, välj ”Swedish”, samt under ”Report Types”, välj ”Both”. Klicka till sist på ”Save Options” så ska det högst upp på sidan visas ett meddelande som säger ”Settings Saved”.

4. Nu kontrolleras alla sidor, inlägg osv. på din webbplats mot Google Pagespeed. För en stor webbplats kan detta ta en stund, men du kan se hur det går under fliken ”Report List”. Högst upp på denna sida har du även en förloppsindikator.

fsdata_ssk_pagespeed_wordpress

5. När alla sidor är kontrollerade, klicka på fliken ”Report Summary” så får du en fin överblick.

fsdata_ssk_pagespeed_wordpress2

Högst upp visas ett totalt betyg för hemsidan. Ju poäng högre desto bättre (det bör inte vara mycket lägre än 90). Sedan kan du se vad som tar plats (fysiskt utrymme) på hemsidan. Därefter har du en lista med de saker som främst bör åtgärdas, med de bäst och sämst presterande sidorna/inläggen på hemsidan längst ner.

Du kan även hitta de bästa/sämsta sidorna och inläggen under fliken ”Report List”. Välj bara att sortera informationen där på det sätt du önskar (t ex för att få fram de sidor/inlägg med lägst poäng).

6. Nu är det egentligen bara att sätta igång och optimera de sidor/inlägg som har lägst poäng. Klicka på länken till en sida för att få upp en överblick, enligt detta exempel:

fsdata_ssk_pagespeed_wordpress3

Det är sektionen längst ner som är mest intressant. Där visas vad som främst behöver åtgärdas för att optimera sidan ifråga. Klicka på ett av alternativen under ”Insights Key” för mer information samt länk till mer läsning hos Google.

Kontrollera gärna betygsättningen för din hemsida både för ”Desktop” och ”Mobile” (med länkarna högst upp till höger). Detta kan variera markant och kriterierna för att förbättra betygen skiljer sig även åt här.

Nu är det ”bara” att gå igenom samtliga sidor (med låga poäng) och optimera dessa. Utgå gärna från våra tidigare guider (se början av detta inlägg), så ska du se att hela din hemsida är optimerad på nolltid!

Om du har några frågor eller funderingar kring detta, lämna gärna en kommentar här nedan.

Häng med oss på WordCamp (vinn biljett!)

WordCamp Norrköping 2015Denna vecka är det dags för årets stora WordPress-händelse i Sverige. På fredag och lördag (28-29/8) går WordCamp Norrköping 2015 av stapeln. FS Data är givetvis med där, som sponsor och besökare, då vi är ett av Sveriges främsta och mest WordPress-vänliga webbhotell.

WordCamp Norrköping 2015 är två dagar fullpackade med intressanta och lärorika seminarier. Den första dagen bjuder på färdiga talare och sessioner om allt från hur man skalar WordPress och arbetar med WordPress API till praktiska tips om hur man arbetar bättre med WooCommerce och ökar sin konvertering. Lördagen är ett öppet schema, där besökarna själva bidrar till WordCamp.

Vi kommer som sagt att vara på plats i Norrköping, men vi har så många fribiljetter att vi inte kan använda dem alla själva. Därför vill vi nu ge bort tre (3) st fribiljetter till er, våra besökare och kunder. Varje biljett inkluderar inträde med en cool t-shirt, stickers, mat och dryck.

– Vill du ha en biljett till WordCamp Norrköping 2015?

Lämna då en kommentar här nedan med en kort motivering om varför du ska få en biljett. Du kanske har en intressant WordPress-sida, utvecklar ett eget tillägg eller vill lära dig mer om WooCommerce? Kommentera på här nedan!

Vi kommer välja ut tre vinnare som meddelas på onsdag (26/8). Eventuella extra kostnader som kan uppstå i form av resa, logi osv. får man själv stå för.

Oavsett om du vinner en biljett (eller köper en själv) så hoppas vi på att få träffa dig på WordCamp Norrköping 2015!