Webboptimering, prestanda, SSL, GDPR och lite annat

webboptimering

Att ha en webbsida är lite mer att göra än att få upp en snygg och glittrig sida med fin design och bra innehåll.

Om ni t.ex. vill ha en e-handel finns det absolut flera saker som är viktiga att tänka på.
Ni vill ju inte att kunders kortuppgifter kommer på vift eller er sida helt plötsligt börjar visa helt andra saker än era produkter?

Om ni valt WordPress som plattform , vilket väldigt många gör av förståeliga skäl, den är ganska lättarbetad , väldigt vanlig och det finns många plugins att ladda ner så krävs ändå en del webboptimering vill jag hävda.

Att använda en populär plattform är ju på både gott och ont.
Ju fler som använder den desto mer kommer hackers och virusmakare att försöka hitta sårbarheter för att ta över sajter eller avlyssna.
Å andra sidan så kommer det säkerhetsuppdateringar (troligen) snabbare och det utvecklas kanske olika plugins snabbare.
Ni kan kanske också få hjälp av flera som också använder samma plattform så det finns mycket kunskap därute.

Jag försöker lista några saker som är viktiga att tänka på, oavsett vilken plattform ni valt för din sida men med en lutning mot WordPress eftersom den är så vanlig.

Använd som checklista, ignorera eller kom med synpunkter.

Som ett litet tillägg till det här inlägget så ska det väl nämnas att jag testar en hel del saker på min server så om du kontrollerar status på den t.ex. just nu så kanske resultaten och bilderna inte alls stämmer med tidigare resultat . Jag friskriver mig lite alltså.
Innan ni genomför några förändringar, se till att ha bra backuper och TESTA att allt kommer fungera innan ni går i produktion med förändringarna!.
Naturligtvis kan jag hjälpa er om ni behöver tips, hjälp med att testa, verifiera eller ren konsulting

Webboptimering.


Ni har fått upp er sajt och den är alldeles fin och glittrig men det är ändå många som lämnar den när de kommer till den ?
Det kan bero på att de upplever den som långsam.
Hastigheten kan också påverka hur mycket Google gillar er sajt.
Ju långsammare desto mindre gillar Google den.

Ni kan såklart köpa mer kapacitet som RAM, CPU, snabbare diskar och bandbredd för att göra den snabbare men det finns ofta en hel del andra saker att göra innan det behövs.
Att maskera problemen med dyrare servrar kommer bli dyrt i längden och är som att sätta läppstift på en gris (underbart uttryck, jag har längtat få använda det).

Jag är absolut förespråkare för att använda en duktig webbdesigner men (nu lär jag väl bli halshuggen) många av dem är bra på just det.
De sätter sig kanske inte så ofta in i de andra frågorna som prestanda, säkerhet, SEO o.s.v.
De är duktiga på att göra snygga sidor.
Några saker ni kan kolla dock när ni fått er sida klart.

Se över hur den levererar bilder, kontrollera vilka script som egentligen körs och varför.
Det kommer krävas en del detektivarbete och pillrande men det kommer vara värt det.

Använd t.ex. https://developers.google.com/speed/pagespeed/insights/ och se vad den säger.
Allt över 90 är bra.

webboptimerng jufcorp



Det finns ett antal plugins som underlättar och förbättrar en hel del men installera inte alla ni hittar
Ju fler plugins desto större inverkan på prestanda och desto fler plugins att underhålla.
Det är också en större risk för olika typer av krockar och konstigt beteende på sidan.

Jag har några jag själv gillar som jag ofta använder men det är unikt för varje sajt vad som passar och det måste testas så de inte förstör funktionalitet.

Alla saker kan inte heller lösas med plugins då det ligger på nivån för själva servern i operativet/webservernivå.
Saker som olika HTTP headers o.s.v.

Här kan ni vara tvungna ta kontakt med er leverantör och se om de är villiga att ändra på de sakerna för er.

Jag har själv en färdig lista på dem jag brukar sätta om jag har tillgång till servern men även det är saker som man måste bestämmas “case by case”.

Svarstiden på sidan

Testa också svarstiden med t.ex. Pingdom Website Speed test https://tools.pingdom.com/ kring svarstider.
Ju lägre svarstid desto bättre helt enkelt.
Helst under 3 sekunder.

webboptimiering svarstid

Deras rapport ger också en detaljerad och bra lista på förslag till förbättringar för att få snabbare svarstider.
Om ni driver en väldigt stor sajt kan det vara värt att använda företag som är specialiserade på webbprestanda och övervakning som t.ex Lights In Line eller Apica.

SSL och kryptering och HTTP headers

SSL har två primära syften

För det första ska er sajt presentera sig med ett s.k certifikat där namnet måste stämma överens med det som kunden surfade till.
Det här ska kontrolleras mot en tredjepart som intygar att den sajten är just den som den utger sig för att vara.
Ett slags id-kort om man vill

Jag har skrivit en del om SSL tidigare här

SSL kryptering gör också så att trafik inte ska kunna avlyssnas mellan era besökare och er sida. Se det som att SSL skapar en tunnel av trafik som inte ska kunna avlyssnas eller kapas.
När man surfar till en sida så ska man se ett hänglås osv och trafiken ska gå över https (eller FTPs osv .. ).
All datatrafik, oavsett var den används , bör och ska gå krypterat.

Det finns många sätt att skaffa SSL på.
Er leverantör kan t.ex ha det i sitt utbud att beställa.
Ni kan också välja använda gratisvarianten LetsEncrypt (stora bolag som Google o.s.v. står bakom LetsEncrypt så att det är gratis är inget skumt)

SSL i sig är en hel vetenskap där det kan vara bra att läsa på lite om saker som TLS 1.00, TLS 1.1, svaga krypton o.s.v.
IISCrypto (Windows) är ett användbart och enkelt program att köra här för övrigt.

Ett verktyg som ger fingervisning om hur er sida mår vad gäller SSL är att testa på Qualsys SSLlabs där man får en “hälsorappport” på hur saker mår vad gäller SSL- inställningarna.
B och över måste väl ses som godkänt.

webboptimering ssl

Ytterligare ett verktyg som ger fingervisning om hur er sida mår vad gäller SSL men lite andra aspekter att testa på är Securityheaders där man också får en “hälsorappport” på hur saker mår men vad gäller HTTPs headers och olika policy inställningar man har satt.
B och över måste väl ses som godkänt även här .

webboptimering ssl



Som en fotnot så föredrar även Google sidor som kör med SSL.

Jag har skrivit en del om andra säkerhetsaspekter också på den här sidan bl.a. Hur man säkrar upp datacenters , säkra upp sin Windows Server o.s.v

Backuper.

Oavsett om er leverantör säger sig ha backuper så rekommenderar jag starkt ni också har en egen backup av hela sidan, inklusive design, bilder, databas, innehåll o.s.v..
Det finns många plugins för WordPress så jag har egentligen ingen direkt att rekommendera. BackupWP kanske ?
Oavsett, installera någon som verkar enkel att hantera, sätt upp ett backupschema så det går automatiskt och se till att backuperna hamnar någon annanstans också än bara hos leverantören där ni har er sida.

Kontrollera (och välja själv hur ni vill göra) också att det finns ett fungerande antivirus som scannar din miljö
Det kommer påverka prestanda såklart men kan absolut vara värt det.

Uppdateringar

Hackers älskar dåligt uppdaterade hemsidor t.ex. med gamla WordPress versioner, gamla plugins, gammal PHP o.s.v .
De har färdiga verktyg som scannar av sidor och letar efter sårbarheter och trycker på en knapp som utnyttjar dem på något sätt för att ta över eller förstöra din sida.
Så enkelt är det.

Se till att ALLA aspekter av era sidor är uppdaterade.
Det inkluderar alltså operativsystemet som det rullar på, websservern, PHP, MySQL, era plugins och WordPress version.

Vissa de här sakerna kan automatiseras ganska enkelt (t.ex med “Companion Auto Update” ) MEN, tänk på att automatiska uppdateringar alltid har sina risker. Sidan kan sluta fungera och ingen lägger märker till det i tid. Bara en varning.

Användare och lösenord o.s.v

Eftersom ni naturligvis har satt upp SSL så kan i vart fall inte lösenord och användarnamn avlyssnas enkelt men ni måste också tänka på att ha krångliga lösenord för användare (särskilt administratörer).

Döp om standardanvändare till något annat. Admin behöver ju inte heta admin.
Installera t.ex. Wordfence för att hantera ordboksattacker och andra typer av scanningar mot er sida.
Exportera inställningarna så ni kan återanvända dem i flera installationer

Ha inga “spökanvändare” kvar i systemet dvs gamla konton som inte används.
Minimimera antalet administratörer!
Använd inte samma lösenord för olika sajter!
Om möjligt, slå på tvåvägsautentisering dvs man får t.ex. ett SMS med en extra kod när man loggar in.

GDPR

Ett monster till integritetslag som kanske är skrivet i all välmening men tillför väl egentligen inte så mycket (en högst personlig åsikt såklart) .
Oavsett, er sida måste ha en policy för GDPR och cookie hantering och det finns ett antal enkla plugins att avända för att få upp en enkel policy för det .
Själv använder jag GDPR Cookie Constent.
En smaksak helt enkelt.

I sammanhanget av GDPR / Cloud Act och de frågorna så vill jag också uppmana till att tänka igenom VAR ni vill ha er websida och var data egentligen ligger (lagras).

För en del är det irrelevant men för andra är det en väldigt viktigt fråga om att ha data bara i Sverige av olika skäl.

Övervaka sajten!

Installera övervakning ( i dator, mobiltelefon osv) och leta efter vissa nyckelord/bilder som jämt ska finnas där.
Att bara övervaka t.ex. port 80/443 (dvs de portar som webtrafik går på) ger inget.
Servern kan vara uppe men kanske inte er sida.

Det finns en del gratisverktyg för sån övervakning, t.ex. Uptime Robot.
Med hjälp av det får ni också en historik på hur bra din leverantör sköter sig.
Kontrollera att er sajt inte har några andra onödiga portar (tjänster) öppna t.ex. okrypterad FTP o.s.v.
Det finns många portscanners att ladda ner och de flesta är väldigt enkla att använda.
Skriv in adressen till sidan och klicka på Kör så får ni en enkel rapport om vilka portar den svarar på.

Det var några tips om webboptimering och annat.


Hur man än vrider och vänder på det, att ha gjort allt det där innebär ändå inte att man är säker och skyddad.
Det kommer nya sätt att attackera sajter och servrar hela tiden och nya sätt att tänka.
Att drifta en sajt eller en server är inget engångsjobb.
Det är ett ständigt pågående arbete som bara inte får stanna upp, här kommer också andra saker in som t.ex er kontinuitetsplanering

Vill ni ha hjälp med de här sakerna så finns jag här: