FS Data

FS Data - webbhotell, domännamn, e-post, servrar

WordPress 4.6 är ute – här är nyheterna!

WordPress 4.6 nyheter hos FS DataWordPress 4.6 har precis släppts, efter 4 månaders arbete av hundratals (frivilliga) utvecklare över hela världen. Denna nya version av WordPress är tillgänglig via en enkel uppdatering i WordPress adminpanel (wp-admin).

FS Data är ett WordPress-vänligt webbhotell, så vi har givetvis testat denna nya version ingående. Vi kan meddela att WordPress 4.6 fungerar alldeles utmärkt med våra webbhotellspaket.

WordPress 4.6 innehåller flera spännande nyheter. Här är vår sammanställning av dessa:

– Inbyggda typsnitt i adminpanelen

Senast WordPress fick ett ansiktslyft var med version 3.8, som släpptes i slutet av 2013. Då fick vi ett helt nytt utseende på adminpanelen, som var fräscht, responsivt och modernt. Med denna panel introducerades även ett nytt typsnitt, Open Sans, för enhetlig text på alla typer av skärmar.

Mycket har hänt på typsnittsfronten för våra datorer på tre år, med bl a lanseringen av Windows 10, Apples nya systemtypsnitt San Fransisco samt övergången till Unity för Ubuntu-användare. Det känns därför helt rätt att WordPress nu överger Open Sans.

I WordPress 4.6 används istället ditt operativsystems inbyggda typsnitt i adminpanelen.

wordpress_4.6_open_sans

Detta är en liten nyhet som gör en rätt så stor skillnad. Förutom den visuella förändringen ger det en (liten) minskad laddningstid i adminpanelen. Open Sans har laddats in från Googles typsnittjänst och även om det bara handlar om 64 KB data så slipper vi nu sex separata anslutningar för typsnittet.

De inbyggda typsnitten innebär även att WordPress adminpaneln nu känns mer som en naturlig applikation i operativsystemet. Samt att stödet för specialtecken förbättras (Open Sans saknar t ex stöd för många asiatiska språk).

– Smidigare uppdateringar och installationer

WordPress är sedan tidigare en förebild för färdiga lösningar vad gäller enkla uppdateringar och installationer (av teman och tillägg). I WordPress 4.6 tar man detta ett steg längre, genom att ta bort laddningssidan som tidigare visades vid en uppdatering eller installation. När man söker efter tillägg och teman visas även resultatet i realtid (allt eftersom man skriver).

Vi välkomnar detta och hoppas att det leder till ännu bättre uppdaterade WordPress-sidor!

– Automatisk kontroll av länkar

Med WordPress 4.6 introduceras en automatisk kontroll av länkar som man skriver in i redigeraren för sidor och blogginlägg. Om man råkar använda en felaktig länk så markeras den i rött, så man enkelt kan rätta den.

Detta har tidigare varit möjligt via externa tillägg, som vi bl a tipsat om i vårt inlägg om hur man städar sin hemsida, men det är trevligt att det nu inkluderas i WordPress.

– Förbättrad återställning av innehåll

Om man skriver ett inlägg eller redigerar en sida och anslutningen till WordPress plötsligt bryts så sparas automatiskt en kopia av innehållet i webbläsaren. Denna funktion introducerades med WordPress 3.6 och har nu ytterligare förbättrats.

Tidigare sparades innehåll inte automatiskt om man hade stängt av WordPress revisionshantering (vilket oväntat många gör). Nu sker det dock med WordPress 4.6.

– Förladdning av stilar och script

WordPress 4.6 introducerar stöd för sk. resource hints, en ny typ av webbstandard som bl a möjliggör förladdning av stilmallar och script. Det kan ytterligare snabba upp webbplatser (vars tema anpassats för detta). En liten nyhet med stor potential.

– Snabbare hantering av WordPress-nätverk

Att hantera större WordPress-nätverk kan vara rätt så tålamodskrävande. Nätverksfunktionen i WordPress 4.6 har förbättrats vad gäller visning och administration, bl a med inkludering av sk. lazyload. En välkommen nyhet för många WordPress-administratörer!

– Automatisk installation av översättningar

WordPress översätts till svenska av våra vänner på WordPress Sverige. Men det är inte bara WordPress som översätts, utan även dess teman och tillägg. För knappt ett år sedan introducerades ett centralt register för översättningar och nu har över 15 000 (!) teman och tillägg översatts där.

Med WordPress 4.6 introduceras en automatisk installation av översättningar. Om man använder ett tema eller tillägg som saknar översättning, men som får detta ordnat i det centrala registret, så installeras och aktiveras det automatiskt i WordPress. Väldigt trevligt!

– Övrigt

Förutom nyheterna ovan har även förbättringar skett vad gäller HTTP API (med bl a stöd för IDN-domännamn), API-stöd för registrering av metadata har införts, likaså stöd för nya emojis, import/export-sidan har förbättrats samt att flera scriptbibliotek har uppdaterats.

En fullständig redovisning finns här: WordPress 4.6, stängda ärenden (på engelska).

WordPress 4.6 är ytterligare en kvalitativ och stabil uppdatering av WordPress. De nyheter som flest användare lär notera är de nya typsnitten samt den smidigare hanteringen av teman och tillägg. Det är ingen revolutionerande version av WordPress, men ändå en klar förbättring av WordPress 4.5.

Har du några åsikter eller funderingar kring WordPress 4.6? Är det någon nyhet du uppskattar lite extra? Lämna gärna en kommentar här nedan!

WordPress-tilläggen du bör undvika

En uppdaterad hemsida är en säkrare hemsida. Det känns som vi har sagt det hur många gånger som helst, men den främsta orsaken till att en hemsida blir hackad är att den innehåller funktioner med säkerhetshål. Ofta är det inte hemsidan i sig, utan dess tillägg, som är sårbara. Detta stämmer synnerligen väl om man använder WordPress.

Säkerhetsfirman Sucuri har precis släppt en säkerhetsrapport, med en analys av över 11 000 hackade hemsidor det första kvartalet 2016. Rapporten innehåller många intressanta saker, men vi fastnade särskilt för två detaljer.

– Tre WordPress-tillägg bakom 25 % av alla hackade WordPress-sidor

Det finns närmare 45 000 WordPress-tillägg i det officiella registret (och många fler på andra platser), men ändå är tre specifika tillägg med på var 4:e hackad WordPress-sida. Dessa tillägg är Slider Revolution (RevSlider), Gravity Forms och TimThumb.

fsdata_wordpress_tillagg_farligast

Slider Revolution är ett tillägg för bildspel som har över 1,5 miljoner användare. Tillägget inkluderas med många populära WordPress-teman (Hos Themeforest, under kategorin WordPress, får man över 1 000 träffar på Slider Revolution), så många användare är inte ens medvetna om att deras hemsidor är sårbara.

När ett av de större säkerhetshålen i Slider Revolution upptäcktes så hittade man över 100 000 infekterade hemsidor. Över 11 000 domännamn blev då svartlistade av Google.

Gravity Forms är ett av de mest populära tilläggen för formulär, med över 1 miljon användare. Tidigare versioner av detta tillägg har varit sårbara för uppladdning av (skadliga) filer via dess formulär. Med filerna uppladdade på webbservern har det sedan varit enkelt att hacka och ta över hemsidor.

TimThumb och dess sårbarheter bör de flesta WordPress-användare känna till nu. 2012 stod TimThumb bakom hälften av alla hackade WordPress-sidor, men nu det nere på 8 %. TimThumb är ett PHP-script som många tillägg och teman använder, så exakt användarbas är svår att avgöra. Många utvecklare har dock gått ifrån TimThumb de senare åren.

– Hur bör man agera med dessa tillägg?

Nu blir en WordPress-hemsida inte automatiskt hackad bara för att man har något av dessa tillägg. Man om man känner igen något av tilläggen och vill vara säker på att ens hemsida inte är sårbar så har vi några enkla tips för det.

1. Kontrollera din WordPress-installation

Först och främst bör man kontrollera om man har något av dessa tillägg installerade i WordPress. Logga in på din hemsida och kontrollera det i WordPress administrationsgränssnitt (wp-admin) under ”Panel” och ”Uppdateringar”. Om du har ett WordPress-nätverk behöver du kontrollera detta under nätverksadmin. Om ett tillägg behöver uppdateras, gör det då omgående.

2. Kontrollera ditt WordPress-tema

Många teman inkluderar dessa sårbara tillägg. Om du är osäker på ditt tema, besök då hemsidan för utvecklaren av temat (eller den hemsida där temat laddades ner) och kontrollera detta (det brukar vara rätt tydligt angivet, annars kan man fråga utvecklaren om det). Många teman som man köper uppdateras inte automatiskt (eller via WordPress administrationsgränssnitt). Se till att du har den senaste versionen av ditt tema.

3. Sök efter sårbarheter i TimThumb

TimThumb är som bekant ett script som många teman och tillägg använder, man kan inte hitta det under den vanliga listan med tillägg i WordPress. För att kontrollera om man har en sårbar version av TimThumb på sin hemsida kan man installera och använda tillägget TimThumb Vulnerability Scanner. Detta tillägg kan även uppdatera TimThumb till en nyare version.

4. Välj ett säkrare webbhotell

Ett av de enklaste sätten att få en säkrare hemsida är att välja ett säkrare webbhotell. Med webbhotell hos FS Data är hemsidan skyddad med en kraftfull brandväggslösning, som bl a stoppar kända WordPress-attacker, automatiska säkerhetskontroller och mycket annat. Även med ett säkert webbhotell bör man givetvis se till att uppdatera sin WordPress-hemsida fortlöpande.

– WordPress-användare är bättre på att uppdatera sina hemsidor

När man läser säkerhetsrapporter så är det lätt att få ett intryck av att WordPress är världens mest osäkra system. Så är dock inte fallet. Faktum är att WordPress-användare är bättre än många andra på att uppdatera och säkerställa sina hemsidor. Av de CMS (innehållshanteringssystem) som Sucuri testade så var WordPress klart bäst uppdaterat.

Här är andelen dåligt uppdaterade CMS i säkerhetsrapporten:

fsdata_sucuri_wordpress_uppdaterat

Att WordPress är enklare att uppdatera än många andra CMS har stor betydelse här. Säkerhetshål och problem med WordPress uppmärksammas även mer, även i traditionell media. Det är inte så konstigt heller, då hälften av alla hemsidor på nätet baseras på WordPress. Oavsett är det roligt att så många WordPress-användare ändå håller sina hemsidor uppdaterade.

Om du har några frågor eller funderingar kring detta, lämna då gärna en kommentar här nedan.

Sälj mer med A/B-tester i WordPress

På FS Data arbetar vi väldigt aktivt med försäljning på nätet. Även om vi inte kallar oss för ett e-handelsföretag så är det egentligen vad vi är och vad vi har gjort sedan 1997. Och vi har fått viss erfarenhet under dessa år. 🙂

A/B-test med WordPress hos FS DataEn av de saker som vi arbetar aktivt med och som vi tror att många av våra kunder kan dra mer nytta av är sk. A/B-tester. Det är tester där olika versioner av samma sida eller innehåll jämförs med varandra, för att ta fram den optimala lösningen (t ex den som säljer bäst eller ger besökare rätt information snabbast).

Nu har vi flera olika verktyg för detta, men vi vill tipsa om ett sätt som är extra enkelt och snabbt att komma igång med. Vi är som bekant ett WordPress-vänligt webbhotell så detta är ett tips om WordPress-tillägget Nelio A/B Testing.

Nelio A/B Testing är ett tillägg som lämpar sig såväl för nybörjare som för experter. Det är enkelt att komma igång men erbjuder även avancerade funktioner. Nelio A/B Testing erbjuds både som en kostnadsfri testversion samt med en månadsavgift.

A/B-testa en sida i WordPress

Börja med att installera/aktivera Nelio A/B Testing. I WordPress administrationsgränssnitt går du sedan in under ”Nelio A/B Testing” och ”Add Experiment” i menyn till vänster. Här visas de olika tester man kan skapa, från landningssidor till värmekartor/heatmaps.

Nelio - Testalternativ

Nu ska vi A/B-testa en vanlig sida, så vi klickar på ”New A/B Test for Pages”. Därefter anger vi ett lämpligt namn, en beskrivning och väljer den sida som vi vill skapa flera versioner av för testet. Klicka sedan på ”Next” för att gå vidare.

Nelio - Sidtest

Nu får vi skapa den alternativa versionen av vår sida. Det enklaste är att skapa en kopia av den befintliga sidan, via ”New Alternative (based on an existing)” samt genom att välja sidan ifråga igen. Men man kan även skapa en helt ny sida här. Klicka på ”Next” därefter.

Nelio - Alternativ sida

Till slut väljer man målet för sitt test. Det kan t ex vara om besökare går vidare från en sida till ett orderformulär. Längst ner på denna sida finns bra tips om olika mål. När du är nöjd klickar du bara på ”Create” för att sätta igång med ditt A/B-test.

Nelio - Följ konvertering

Nu visas dessa olika versioner av samma sida för olika besökare på din hemsida. Under testets gång kan du enkelt se aktuellt resultat, även i realtid. När du är nöjd med testet kan du avsluta det så skapar Nelio A/B Testing en specifik resultatsida, med fina grafer som underlättar ditt val av den optimala lösningen.

Nelio - Resultat

Om du vill komma igång snabbt med A/B-tester i WordPress så är Nelio A/B Testing rätt tillägg för dig. Förutom att det är enkelt så finns det bra dokumentation till tillägget, samt att det inte påverkar prestandan för din WordPress-sida märkbart. Vi kan därför rekommendera detta tillägg varmt.

Har du egen erfarenhet av detta tillägg eller tips på andra verktyg för A/B-tester? Lämna gärna en kommentar här nedan!

Viktigt: stäng av XML-RPC i WordPress

Den vanligaste attacken mot WordPress-baserade hemsidor är en sk. brute force-attack. Det innebär att man försöker få åtkomst/kontroll till en hemsida genom att gissa sig till ett lösenord väldigt många gånger. Med dagens kraftfulla datorer och servrar kan man gissa hundratals, om inte tusentals, lösenord på en minut.

Brute force-attacker är dock rätt så enkla att upptäcka. Om man ansluter x antal gånger, under en viss tid, mot wp-login.php (WordPress-inloggningssida) så kan man anta att en attack pågår. Den senaste veckan har t ex vår brandväggslösning blockerat ca 130 000 brute force-attacker mot våra kunders WordPress-sidor (det är den näst mest ”populära” attacken i vårt nätverk).

– Men tänk om man kan testa flera lösenord via en och samma anslutning?

Sedan WordPress version 3.5 är XML-RPC aktiverat som standard. XML-RPC är ett gränssnitt som används t ex av mobila appar, vissa tillägg (däribland Jetpack) samt för sk. pingbacks (att man automatiskt länkar tillbaka om man får en länk till sig). Det var från början en bra sak, men det har visat sig medföra flera säkerhetsrisker.

En av de mindre kända funktionerna i XML-RPC är en metod som heter system.multicall, som innebär att man kan utföra flera anrop inom en och samma anslutning. Det är bra om man t ex vill köra flera olika kommandon via en HTTP-anslutning. Men det har börjat missbrukas rejält de senaste månaderna.

Via system.multicall i XML-RPC kan man testa 100-tals, om inte 1 000-tals, lösenord med en enda anslutning mot WordPress.

Säkerhetsföretaget Sucuri har även uppmärksammat dessa attacker. Denna graf från dem illustrerar detta tydligt:

Attacker via system.multicall i XML-RPC

Det här är ett allvarligt problem, då dessa attacker inte lika enkelt kan uppfattas/identifieras och stoppas av våra brandväggar (och andra lösningar). Det enda vettiga sätt att skydda sig mot detta är att stänga av XML-RPC i WordPress. Det är vad vi nu vill rekommendera er att göra.

FS Data är ett säkert webbhotell– Stäng av XML-RPC i WordPress

Det enklaste sättet att stänga av XML-RPC i WordPress är att installera och aktivera ett tillägg som heter Disable XML-RPC. Tillägget fungerar bra med senaste versionen av WordPress (4.3.1 i skrivande stund), både för enklare WordPress-sidor samt för WordPress-nätverk (nätverksaktivering).

Man kan även blockera extern åtkomst till filen xmlrpc.php (som används för XML-RPC i WordPress) via .htaccess. Lägg bara in nedanstående kod i filen .htaccess som ligger i rotmappen för din WordPress-sida.

# Blockera anslutningar till xmlrpc.php

order deny,allow
deny from all

Ovanstående kod fungerar med webbservern Apache (som vi använder för våra webbhotellspaket). Man kan även begränsa åtkomsten till xmlrpc.php specifika IP-adresser genom att lägga in följande rad i .htaccess (efter raden som inleds med ”deny”):

allow from 127.0.0.1

Där man då ersätter 127.0.0.1 med den IP-adress som behöver kommunicera med WordPress via XML-RPC.

Ett tredje sätt att stänga av XML-RPC är att lägga in följande rad i wp-config.php (i rotmappen för din WordPress-sida):

add_filter( 'xmlrpc_enabled', '__return_false' );

Den raden behöver läggas in efter följande rad:

require_once(ABSPATH . 'wp-settings.php');

– När ska man inte stänga av XML-RPC i WordPress?

Den enda gång man inte bör stänga av XML-RPC är om man har en viktig applikation eller tillägg som kommunicerar med WordPress via detta gränssnitt. De mobila apparna är nuförtiden överflödiga, då WordPress är fullt ut mobilanpassat. Fundera gärna över om tillägget är tillräckligt viktigt. Att man tappar pingbacks är tråkigt, men det är det värt sett till säkerheten.

– Framtiden för XML-RPC i WordPress

Sedan en tid tillbaka pågår arbete med ett helt nytt REST API (ett annat gränssnitt) för WordPress. Om allt går enligt plan så kommer detta API att erbjudas från WordPress 4.5 (som släpps nästa år). Med det nya API:et på plats är det högst sannolikt att XML-RPC kommer vara inaktiverat som standard för WordPress.

Vi vill avslutningsvis rekommendera er alla att stänga av XML-RPC i WordPress.

Om du har några frågor kring detta, eller kanske förslag på andra lösningar, så får du gärna lämna en kommentar här nedan.

Optimera HELA din WordPress-hemsida

En snabb hemsida är en bra hemsida. Det är ett uttryck som vi lever efter på FS Data, med våra snabba webbhotellspaket och kraftfulla servrar. Tidigare besökare av vår blogg minns kanske även inlägg såsom Guide till en snabbare WordPress-sida, Snabba upp WordPress med CDN och WP Super Cache vs. W3 Total Cache.

När man snabbar upp, eller optimerar, sin hemsida så använder man ofta webbtjänster som GT Metrix, Pingdom eller Sajtkollen (som nyligen har lanserats av IIS). Det är jättebra, men kan ge en felaktig bild om man bara testar sin start/förstasida (http://www.mindomän.se/) och inte underliggande sidor (http://www.mindomän.se/produkter/produkt1/, /produkt2/ osv).

fsdata_optimera_hela_hemsidan– Man måste optimera hela sin hemsida!

Underliggande sidor är viktigare än man kan tro. Det är nämligen vanligt att dessa används som ”ingångssidor” för besökare till hemsidor. Undersidorna innehåller ofta mer relevant information och hamnar därmed högre upp i sökmotorerna (som besökarna använder).

När man använder en webbtjänst för att optimera sin hemsida så kontrollerar man en sida åt gången. Om man vill så kan man kontrollera alla sina undersidor manuellt på detta sätt. Vi har dock ett tips om hur man kan kontrollera och optimera hela sin hemsida – med WordPress – mycket enklare.

– Kontrollera & optimera alla sidor/inlägg i WordPress

För detta kommer vi använda ett WordPress-tillägg som heter Google Pagespeed Insights. Det är ett tillägg som använder Googles API för Pagespeed för att kontrollera alla sidor och inlägg per automatik. Detta kräver att man har ett Google-konto (för API:et).

1. Börja med att installera och aktivera Google Pagespeed Insights for WordPress på din WordPress-hemsida. När det är klart, gå in under ”Verktyg” och ”Pagespeed Insights”.

2. Nu behöver du en (kostnadsfri) API-nyckel från Google. Besök Google Developers Console och logga in med ditt Google-konto där. Följ sedan dessa steg för att få en API-nyckel:

  • – I rutan ”Enable Google APIs for use in your apps”, klicka på ”Enable APIs”.
  • – Välj ett projektnamn, t ex ”WP Pagespeed Hemsidenamn”, godkänn villkoren och klicka på ”Create”.
  • – Klicka därefter på ”Enable APIs” igen, välj ditt projekt och klicka på ”Continue”.
  • – Sök nu efter ”Pagespeed”, klicka på ”PageSpeed Insights API” och välj ”Enable API”.
  • – I menyn till vänster, under ”APIs & auth”, klickar du sedan på ”Credentials”.
  • – Under ”Add credentials” väljer du ”API key” och till sist ”Browser key”.
  • – Döp denna nyckel till valfritt namn, t ex ”WP Pagespeed Hemsidenamn”, och klicka på ”Create”.
  • – Kopiera den API-nyckel som nu visas på skärmen.

3. Åter i WordPress, klistra in din API-nyckel under inställningarna för Google Pagespeed Insights. På samma sida under ”Google Response Language”, välj ”Swedish”, samt under ”Report Types”, välj ”Both”. Klicka till sist på ”Save Options” så ska det högst upp på sidan visas ett meddelande som säger ”Settings Saved”.

4. Nu kontrolleras alla sidor, inlägg osv. på din webbplats mot Google Pagespeed. För en stor webbplats kan detta ta en stund, men du kan se hur det går under fliken ”Report List”. Högst upp på denna sida har du även en förloppsindikator.

fsdata_ssk_pagespeed_wordpress

5. När alla sidor är kontrollerade, klicka på fliken ”Report Summary” så får du en fin överblick.

fsdata_ssk_pagespeed_wordpress2

Högst upp visas ett totalt betyg för hemsidan. Ju poäng högre desto bättre (det bör inte vara mycket lägre än 90). Sedan kan du se vad som tar plats (fysiskt utrymme) på hemsidan. Därefter har du en lista med de saker som främst bör åtgärdas, med de bäst och sämst presterande sidorna/inläggen på hemsidan längst ner.

Du kan även hitta de bästa/sämsta sidorna och inläggen under fliken ”Report List”. Välj bara att sortera informationen där på det sätt du önskar (t ex för att få fram de sidor/inlägg med lägst poäng).

6. Nu är det egentligen bara att sätta igång och optimera de sidor/inlägg som har lägst poäng. Klicka på länken till en sida för att få upp en överblick, enligt detta exempel:

fsdata_ssk_pagespeed_wordpress3

Det är sektionen längst ner som är mest intressant. Där visas vad som främst behöver åtgärdas för att optimera sidan ifråga. Klicka på ett av alternativen under ”Insights Key” för mer information samt länk till mer läsning hos Google.

Kontrollera gärna betygsättningen för din hemsida både för ”Desktop” och ”Mobile” (med länkarna högst upp till höger). Detta kan variera markant och kriterierna för att förbättra betygen skiljer sig även åt här.

Nu är det ”bara” att gå igenom samtliga sidor (med låga poäng) och optimera dessa. Utgå gärna från våra tidigare guider (se början av detta inlägg), så ska du se att hela din hemsida är optimerad på nolltid!

Om du har några frågor eller funderingar kring detta, lämna gärna en kommentar här nedan.