Mioweb je rozšíření WordPressu doplňující do něj možnosti prodeje infoproduktů (on-line kurzy, školení, e-booky,…) a snadné tvoření propracovaných stránek „skládáním“ mnoha rozmanitých prvků (nadpisy, obrázky, videa, formuláře, …) v tzv. „builderu“. Nechci rozepisovat, co Mioweb umí – už proto, že jej jako programátor nemám rád 😀 Proč to? Protože na Miowebem poháněném webu je spousta úkonů snadných v tradiční instalaci WordPressu najednou extrémně komplikovaná až nemožná, a klienti to obtížně chápou.
Obrátil se na mě klient s požadavkem: „Mám na webu členskou sekci rozdělenou do sedmi kapitol, a registrační formulář. Chci, aby se každý registrovaný uživatel mohl na 15 minut podívat do každé kapitoly (obsahují videa a články), ale pak mu bylo toto oprávnění zrušeno. Po 15 minutách by se mu již zobrazil pouze objednávkový formulář a za přístup do všech kapitol by musel zaplatit.“
V pondělí ráno jsem usedl s kávou k počítači a přemýšlel, do které práce se pustím nejdříve, když mi přišel e-mail s prosbou o vyřešení „hacku“ WP webu mého několikaletého klienta (kterému jsem původně implementoval platební bránu). Provozovatel hostingu web vypnul, protože rozesílal tisíce spamových e-mailů denně – jasná známka napadení webu a jeho zneužití k nekalým účelům. Tyto problémy „mám rád“, protože je to vždy něco nového, souboj s neviditelným nepřítelem, zákopový boj digitální války 🙂
Nedávno jsem se dostal ke dvěma různým webům na WordPressu, které napadli neznámí útočníci. Každý z hacků byl naprosto odlišný, a obsa se mi povedlo – zdá se – zdárně vyřešit.
Pokud vám společnost Energomonitor nic neříká, pak jde o českou firmu vyvíjející „chytré“ měřiče spotřeby energií, vody a plynu pro domácnosti a firmy. Nemusí se to zdát převratné, ale třeba za pár let bude taková krabička v každém domě – a tato firma bude špičkou ve svém oboru 🙂 Sleduji je, znám je, fandím jim.
Proto když mi v pátek o čtvrt na pět večer volalo cizí číslo a představil se mi kdosi „z firmy energomonitor“, tak jsem si nejdříve myslel, že jsem se přeslechl. Nakonec z rozhovoru vyplynulo, že mají na svém webu nasazený WooCommerce e-shop, koupili si plugin pro GoPay platební bránu od mé „konkurence“ :-), a ten nefunguje – objednávka skončí chybou. Autor pluginu nebyl schopný zjistit chybu, a vzdal její hledání. Odpovědný pracovník tedy hledal jiný WooCommerce GoPay plugin, a našel můj web … a tak vědom si ne právě ideálního času, přesto tento problém potřeboval do pondělní porady vyřešit. Poslal jsem mu svůj plugin, ale ani ten nefungoval. To mě přesvědčilo, že problém bude v nějaké chybějící technologii na straně serveru, kterou komunikace s GoPay bránou vyžaduje. Šel jsem po jednotlivých blocích kódu … navázání spojení technologií Soap? Na serveru podporováno. Co tam je dál? Sestavení zakódovaného podpisu komunikace … funkcemi z modulu Mcrypt. Hm, a vida, na serveru tento modul není nainstalován. Oznámil jsem své zjištění, a po úpravě konfigurace serveru se platební brána úspěšně rozjela. Pracovník vrátil zpět původní plugin, který již měl zakoupen, a objednávky měřičů spotřeby již můžete platit i kartou 🙂
Odmítl jsem jakoukoli odměnu, byl jsem rád, že jsem mohl Energomonitoru pomoci … nakonec, třeba ode mě jako od „WordPress profíka“ (jejich slova) budou časem potřebovat něco jiného 🙂 Přesto jsem dostal slevový poukaz na objednávku některého z jejich produktů, tak jej třeba využiji v plánovaném novém domově. Inu, proč ne?
Nedávno jsem dokončil integraci GoPay platební brány pro WordPress e-shopový plugin WooCommerce. Na cílovém webu je eshop zakomponován téměř „tajně“, vůbec tam nenarazíte na tradiční kategorie a přehledy produktů … klientka si pouze přála vkládat do stránek samostatná tlačítka „Vložit do košíku“ k libovolnému obsahu – nabízí výukové kurzy a výukové materiály. Přehled produktů a kategorie tedy vůbec nepotřebovala, na druhou stranu chtěla zachovat funkčnost nákupního košíku, tedy aby si zákazník mohl vložit do nákupního košíku více kurzů, a pak vše zaplatit najednou. Tedy takový e-shop bez e-shopu 🙂
Při implementaci jsem narazil na několik zajímavých úskalí. Především v nastavení WooCommerce zůstalo chybně nastaveno „hlídání skladových zásob“, ač to u klientky prodávající e-book nebo výukové kurzy nemělo smysl, a zdánlivě to ničemu nevadilo. Aniž bych to tušil, tak toto nastavení způsobovalo, že WooCommerce automaticky stornoval objednávky, které nebyly do hodiny dokončené (= zaplacené). A protože klienta využívala i GoPay bankovní převod, který z logiky věci den dva trvá, tak na to záhy narazila. I když zákazník druhý den objednávku uhradil, a platební brána peníze přijala, tak WooCommerce již objednávku dávno vedl jako stornovanou, a nehodlal odeslat žádný e-mail s ebookem (…). Inu, už vím, na co si příště dávat pozor 🙂
Budete-li mít zájem o implementaci platební brány GoPay do WooCommerce e-shopu, můžete se na mě obrátit, už vím, jak na to.
Nedávno jsem opět vytvářel GoPay platební bránu pro web běžící na WordPressu. Tentokrát je jádrem podnikání klienta zásilková služba, kdy si zájemce (platební kartou) přeplatí „předplatné“, na jehož základě mu bude každý měsíc doručen balíček. Dodatečně byla po spuštění doplněna i možnost platby bankovním převodem, který část předplatitelů preferovala před platbou kartou. Již jsem zmiňoval, že GoPay nabízí i tuto metodu platby, a tak jsou všechny transakce pěkně sloučeny. Není třeba sledovat i vlastní bankovní účet, jestli někdo neposlal peníze tam – vše vidíte pěkně přehledně v administraci svého WordPress webu (dokončené i zamítnuté transakce).
Nyní mám pro dalšího klienta rozpracované propojení platební brány s e-shopovým pluginem WooCommerce.
Co dělat, když máte web pronajatý od služby Webnode, a chcete si jej provozovat sám na redakčním systému WordPress? Pokud máte na webu za ty roky hodně článků, pak máte problém … budete jej jeden po druhém ručně kopírovat, a nebo prostě starý Webnode web opustíte a začnete na úplně čisté louce. Ale to by byla škoda.
S podobným problémem se na mě obrátil majitel Webnode webu, jehož magazín se stal hojně navštěvovaný, a Webnode jej začal omezovat. Hned zkraje měsíce se vždy vyčerpal limit pro přenesená data, a nebylo možné se přihlásit do administrace, přidávat nové články, atd. Agresivní snaha Webnode donutit co nejvíce lidí zaplatit si prémiové služby (tisíce ročně).
Nedávno jsem dokončil tvorbu WordPress pluginu platební brány pro web zdravotního centra v Praze. Díky němu si návštěvníci webových stránek mohou (pro sebe i své blízké) objednávat poukazy na různá vyšetření moderními lékařskými přístroji a metodami. Klient měl vyjednanou smlouvu s platební bránou GoPay, a tak bylo zadání jasné – vytvořit plugin, který přijme objednávku návštěvníka, přesune ho na platební bránu GoPay, tam bude objednávka uhrazena, a poté návštěvník přejde zpět na webové stránky, a na jeho e-mail bude odeslán PDF voucher s unikátním kódem opravňujícím ho k využití daného vyšetření.
Toto není vyčerpávající návod, jak si web zabezpečit vlastními silami, i pokud nejste programátoři. Chcete-li svůj WordPress web podobně zabezpečit, kontaktujte mě.
WordPress je úžasný redakční systém, a používá jej celý svět. To má ale také jednu nevýhodu – webové stránky, které pohání, jsou často cílem automatizovaných útoků různých robotů. To proto, že jich je tolik, a je tak větší šance, že některá z nich bude hůře zabezpečená. Roboti se snaží uhodnout vaše přihlašovací jméno a heslo, „jakože“ se přihlásit do administrace, a pak do webových stránek vložit škodlivý kód. Nesnaží se vás tedy nijak okrást, ale váš web využijí k dalšímu šíření neplechy, a vy to ani nemusíte vědět.
V tomto článku vám chci popsat, jak své weby chráním já.
1. Plugin Limit Login Attempts
Toto rozšíření WordPressu doslova „omezuje přihlašovací pokusy“, protože WordPress samotný nijak nehlídá, jestli někdo nezkouší heslo za heslem. Po instalaci pluginu máte ve výchozím nastavení na přihlášení do administrace pouze 4 pokusy. Pokud se 4x spletete, budete na dvacet minut zablokován. Nebo kdokoli jiný, kdo se o to pokusí. A proč se držet při zemi? Já se nebojím si nastavit dva pokusy a dobu blokování na 9999 hodin 🙂
Plugin také umí poslat e-mail, pokud někoho zablokoval. Jenže když ráno vstanete, a v poště najdete 50 emailů o padesáti pokusech o vloupání se do vaší administrace, tak vám to na klidu nepřidá.
Platba kartou za různé služby či zboží v e-shopech již není nic neznámého. Existuje pro to několik prostředníků – AGMO, GoPay nebo GP Webpay. Oni připraví jednoduché technické rozhraní, se kterým web komunikuje, a „to složité“, faktickou realizaci plateb mezi bankami, již zařizují oni. Za malý poplatek. Nyní jsem naprogramoval plugin pro WordPress, který na webu umožní platit kartou za libovolné služby (realizováno přes platební bránu GP Webpay).
Jde o ideální řešení, pokud chcete mít část webu se zajímavými informacemi zpřístupněnou třeba jen pro návštěníky, kteří si za to zaplatí. Mohou sice poslat bankovní převod, ale to je zdlouhavé a pracné. S mým pluginem jim stačí jednou kliknout, a opsat údaje ze své platební karty. A za pár desítek sekund již mohou vstoupit do placené sekce, a vy máte peníze na účtu 🙂
A co je ještě zajímavější? Většinou tato řešení umožňují pouze objednávku jedné služby. Já ale svůj plugin připravil tak, aby bylo možné založit libovolné množství platebních tlačítek! Majitel webu tak má neomezené možnosti, jak různé části webových stránek zpoplatnit? Přístup k článkům z této kategorie za 100 Kč, přístup k článkům z tamté kategorie za 499 Kč, doživotní členství s přístupem ke všem článkům za 999 Kč bez dalších plateb … atd. Vše krásně jednoduše spravovatelné.
Plugin pro platební bránu je samozřejmě možné libovolně upravit pro potřeby jakéhokoli webu.