WordPress v CZ - velký průzkum

[English version]

• Verze WP
• Šablony
• Pluginy
• Poskytovatelé
• Technologie
• Žebříčky webů
• Fakta
• PageSpeed (aktualizováno)
• Závěr

Automatickými nástroji byl zanalyzován zdrojový kód o velikosti téměř 4GB. Analýza samotných webů probíhala první týden v dubnu 2015, data jsou proto platná k tomuto termínu. Český web definuji buď jako web na doméně .cz nebo web na jiné doméně, který má však nastaven český jazyk (např. ).

Robot se pokoušel především určit verzi WordPressu, používanou šablonu a pluginy, které byly z frontendu stránky detekovatelné. Ze zdrojového kódu dále zkoumal, zda je nasazen Google Analytics, zda web obsahuje Facebook komponenty (like tlačítka atd.) a některé další metriky. Weby byly dále prozkoumány pomocí Majestic SEO na zpětné odkazy a byly prověřeny zmínky na sociálních sítích o hlavní stránce webu. Analýzou IP adres bylo také odhadováno, u jakého poskytovatele web běží.
Verze WP byla určována na základě 3 hlavních kritérií:

1. Z meta hlavičky generator
2. Ze souboru readme.html
3. Z RSS feedu - /feed

Tam, kde tento postup neuspěl, byly prozkoumány md5 hashe některých signifikantních souborů z jádra WP a bylo využito toho, že WordPress často za vložené styly a javascripty vkládá svou verzi jako parametr ?ver=xy – dělá to kvůli tomu, aby se po aktualizaci opětovně načetly tyto soubory do cache prohlížeče. Pokud byl tento parametr použit se stejným číslem verze u více než 60 % skriptů a css, byl považován za verzi WordPressu. I přes použití těchto metod se nepodařilo s určitostí detekovat verzi u zhruba 4000 zkoumaných webů. Důvodem je pravděpodobně použití bezpečnostních pluginů, které verzi umí poměrně dobře schovat, nebo ji nahradit náhodným řetězcem.
Pluginy a šablony byly detekovány podle odkazů na javascripty a css ve složce wp-content, kde lze z cesty k souboru vyčíst jméno pluginu – např. wp-content/themes/twentytwelve/style.css ukazuje na použití defaultní šablony Twenty Twelve.

Nyní se již dostáváme k samotným výstupům průzkumu. Většina uváděných čísel je lehce zaokrouhlena pro lepší čitelnost.

Verze WP

Zásadním bodem výzkumu bylo zjistit, jaké verze WP jsou reálně používané.

Dobrou zprávou je, že díky automatickým aktualizacím používá většina webů nejaktuálnější dostupnou verzi, tedy v době průzkumu 4.1. 8 webů již testovalo beta verzi 4.2 (jež je v době psaní článku již finální a vyšla i první opravná verze 4.2.1). Na druhé straně osy je 7 webů používajících verzi 1.5, která vyšla na začátku roku 2005 – je tedy již více než 10 let neaktualizovaná.

Webů s WordPress verzí řady 2, která vycházela do roku 2009, je již téměř 2500. Jsme přesvědčen, že tyto weby představují nezanedbatelné bezpečnostní riziko.
Pokud bychom označili verze řady 4 za aktuální, verzi 3.9 za lehce neaktuální, zbytek řady 3 za neaktualizované a verze nižší než 3 za archaické, rozložení by vypadalo takto:

Vzhledem k počtu neaktualizovaných verzí řady 3 můžeme opět hovořit o ohromném riziku. Dovoluji si tvrdit, že je v tomto případě mnohem větší než u verzí archaických, protože je pravděpodobné, že tyto verze používají mnoho neaktuálních pluginů s velkým počtem bezpečnostních děr. Toto je mnohem dramatičtější než u starších verzí, kde počet dostupných pluginů nebyl zdaleka tak vysoký a ani jejich funkcionalita nebyla tak složitá (viz třeba komunikace frontendu s backendem).

Nyní se již dostáváme k aktuálnějším verzím a zajímavý může být také přehled stále aktivně vyvíjených minor verzí (opravné verze v rámci řady - probíhá v nich automatická aktualizace např. v řadě 3.9 jsou opravné verze 3.9.1, 3.9.2,...):

Je znát, že automatický update funguje velmi dobře – většina minoritních verzi je ve svém nejaktuálnějším vydání.

Používané šablony

Zatím jsme se podívali pouze do jádra WordPressu. Aby web mohl být zobrazen uživateli, je třeba použít šablonu. Podíváme se tedy na nejpoužívanější šablony.

Mnoho tvůrců webu si tvoří vlastní šablony, ať již založené na jiných šablonách, nebo vytvořených úplně od začátku. Proto se nelze divit velmi vysoké různorodosti šablon – nalezl jsem přes 23 tisíc různých šablon. Ale i přesto lze najít mnoho šablon, které jsou velmi populární a jsou použity na stovkách webů.

Z čísel je vidět, že opravdu velká část šablon byla tvořena pouze pro jeden konkrétní web.

Žebříček 28 nejpoužívanějších šablon, které jsou použity na více než 100 webech (zastupují téměř 20 % zkoumaných webů).

11 % webů používá defaultní šablony WordPressu

Na jednotlivé šablony se podrobněji podíváme v některém z dalších článků.

Pluginy

Dalším krokem při tvorbě WP webu je instalace pluginů pro rozšíření funkcionality a zanesení bezpečnostních děr.

Některé šablony (především ty prémiové) v sobě již nějaké pluginy obsahují, a proto může nastat problém s jejich aktualizací. Častým problémem je, že tvůrce zakoupí prémiovou šablonu, provede v ní úpravy a tím se ztratí možnost její aktualizace. Pokud je v šabloně přibalen děravý plugin, může se jednat o vážný problém. Proto by se co nejvíce měly používat zděděné šablony (child themes) a ta rodičovská by se měla pravidelně aktualizovat. Druhým dobrým způsobem je zpracovat si upravenou funkcionalitu do vlastního pluginu.

Na základě analýzy hlavní stránky jsem nalezl celkem 160 000 pluginů (6500 různých pluginů).

Podíváme se nyní na žebříček 50 nejpoužívanějších pluginů. Tyto pluginy tvoří téměř 50 % všech nalezených.

* značí již velmi zastaralé pluginy

Na první pohled zaujmou první příčky žebříčku, kde jsou první 3 místa daleko před ostatními. Jak je z tabulky patrné, první 3 místa obsadily následující pluginy:

All in One SEO Pack

Tento plugin se stará o nápravu některých SEO fakturů WP webů. Jeho hlavní funkce jsou kanonizace odkazů, úprava tvarů titulků různých typů obsahu, zakázání indexace stránek výpisů (archivu), doplnění meta informací pro sociální sítě a tvorba sitemapy. Plugin lze použít i pro napojení na Google Analytics a ověření webu v dalších nástrojích (např. Google Webmasters Tool). Umí také upravovat soubor robots.txt - zde však pozor, plugin dříve dával do tohoto souboru zákaz procházení složky wp-includes, což se nelíbilo Google, je možné, že to stále tak dělá.

Samozřejmostí je nastavování meta keywords, description a dalších vlastností pro každý příspěvek ručně. Nicméně na klíčová slova dnes snad nic reálně nevyužívá a psát si vlastní description může být někdy spíše na škodu, pokud tomu není věnováno dostatečné úsilí.

V této oblasti však osobně preferuji plugin WordPress SEO by Yoast.

Contact Form 7

CF7 je plugin pro tvorbu kontaktních formulářů. Pomocí jednoduchých kódů si můžete navrhnou vlastní formulář s libovolným počtem políček, který bude po vyplnění zaslán na požadovaný email. K tomuto pluginu často používáme i Contact Form 7 Modules  pro vkládání skrytých políček s různými hodnotami. Hodit se může i další doplněk Contact Form 7 Honeypot, který obstará jednoduchý antispam. Výhodou tohoto pluginu je i to, že je psán pro snadnou rozšiřitelnost, je tak poměrně jednoduché ho napojit na jiný systém, například CRM.

NextGen Gallery

Ve starších verzích byl tento plugin prakticky jedinou rozumnou možností, jak získat hezkou fotogalerii. V aktuálních verzích vám pro vytvoření jednoduché galerie stačí základní funkce WP, pokud však potřebujete sofistikovanější řešení, tak může být tento plugin i přes své lehce neintuitivní ovládání dobrou volbou. Oblíbenost tohoto pluginu je vzhledem k počtu starších verzí WP pochopitelná. Pro NextGen Gallery existuje také velké množství doplňků.

Důvodem silného rozšíření prvních dvou pluginů v žebříčku jsou zcela určitě různé info/PR stránky pro podporu hlavního produktu. V průzkumu jsem například našel síť jedné agentury čítající 1600 WordPress webů.

Nalezené pluginy jsem rozdělil do několika kategorií, abych zjistil, kvůli jakým funkcím uživatelé pluginy nejčastěji používají. Nepřímo to ukazuje i na to, co WordPressu v základní instalaci chybí.

Jsou to především pokročilejší kontaktní formuláře. Uživatelé také často řeší zobrazování fotek v lightboxu. Zde bych věnoval pozornost 27. příčce – pluginu Fancybox for WordPress, ve kterém byla nedávno objevená bezpečnostní chyba, jež umožňuje útočníkovi vložit na web libovolný kód – nejčastěji javascript. Nebezpečnou verzi jsem detekoval na téměř 400 webech!

Téměř 50 % webů využívajících plugin Fancybox for WordPress je zranitelných.

Mnoho uživatelů chce mít také na svém webu nějaký ten slider, které však osobně nemám příliš rád. Zde jednoznačně vede placený Slider Revolution a Layer Slider. V prvním zmíněném se v posledním roce objevila kritická bezpečnostních chyba a bylo napadeno ohromné množství webů. Důvodem byla jeho častá integrace do šablon, o níž jsem psal o několik odstavců dříve, a také to, že jej bohužel mnoho webů používá nelegálně a nemá tak na aktualizace nárok. Jedná se o nejrozšířenější komerční plugin a pokud bychom spočítali cenu licencí tohoto pluginu, dostaneme se na číslo přes milion korun.

Plugin Slider Revolution jsem nalezl na více než 2500 webových stránkách a téměř na 600 z nich je ve zranitelné verzi, která jednoduše umožňuje získat útočníkovi kompletní kontrolu nad webem.

Více než 20 % webů využívajících Slider Revolution stále trpí kritickou zranitelností.

Dalším častým požadavkem je lokalizace webů do více jazyků. Druhým nejrozšířenějším komerčním pluginem je lokalizační plugin WPML, u nějž se nedávno také objevilo několik závažných bezpečnostních chyb. V tomto případě je již složité odhadnout cenu instalací, protože má licenční model pro developery, u kterého cena není závislá na počtu webů, kde je plugin použit. Dalšími oblíbenými pluginy jsou qTranslate, u nějž mi ale nevyhovuje způsob ukládání lokalizací jako komentáře v jednotlivých příspěvcích, a Polylang, který je pro WPML více než důstojným soupeřem. V oblasti lokalizací však začíná být zajímavý i plugin Babble od Automattic.

Problém, který uživatelé často řeší, je nasazení měřících kódů Google Analytics. Spousty moderních šablon má tuto možnost již ve svém nastavení, přesto je používání pluginů pro vložení kódu velmi časté. Oblíbené jsou také pluginy pro zobrazování souvisejících příspěvků, nicméně tyto pluginy jsou často poměrně výkonově náročné. Hned v závěsu jsou tak pluginy pro cachování, které dokážou výkon WP velmi podstatně zvýšit.

Zastoupení 2 hlavních cachovacích (WP Super Cache a W3 Total Cache) pluginů je srovnatelné. Osobně využívám hlavně WP Super Cache, protože je jednoúčelová (dělá pouze stránkovou cache) a svůj účel plní velmi dobře. Pro další optimalizace výkonu vždy používám příslušný Object Cache drop-in, abych snížil počet dotazů do databáze pro transientní položky, a Autoptimize pro slučování CSS a Javascriptů.

Použití Object Cache dropinu je jednoduchý způsob, jak zvýšit výkon tohoto redakčního systému. Jiné redakční systémy mají často cachování v základu vyřešené lépe, protože tvůrci WP dávají na výběr z různých technologií, které server nabízí (APC, Xcache, APCu, Memcached, Redis). Je však požadována od správce aktivita, aby daný drop-in nahrál, proto tato možnost zůstává často nevyužita a ve srovnání s jinými systémy tak WP ve dopadá ve srovnání výkonu často hůře. Pokusil jsem se tedy detekovat, kolik webů používá upravený Object Cache Backend a nalezl jsem jich cca 670. Test spočíval v dotazu na adresu /wp-content/object-cache.php, pokud server odpověděl kódem 200 a velikost odpovědi byla 0, považoval jsem to za přítomnost drop-inu pro WP_Object_Cache.

Object Cache Backend používá pouze 1% webů.

Mezi další potřeby uživatelů patří rozšiřování základní funkcionality – např. číselné stránkování nebo hodnocení příspěvků. Uživatelé také hledají možnosti vkládání Google Map, tlačítek pro sociální sítě a videí. V žebříčku se objevilo i několik pluginů pro tvorbu tabulek v editoru WordPressu, který má tuto funkcionalitu v základu vypnutou, přestože použitý TinyMCE ji obsahuje. Zde je opět znát neaktualizovanost, protože je rozšířenější plugin WP-Table reloaded než TablePress, který je jeho náhradou. Poměrně oblíbené jsou také různé Page Buildery pro tvorbu vlastního blokového layoutu v příspěvcích bez znalosti kódu. Tyto pluginy jsou často součástí komerčních šablon, které se díky nim snaží získat konkurenční výhodu, kdy si i člověk neznalý kódu může sám sestavit layout. Mnoho webů slouží ke komerčním účelům, proto nepřekvapí ani použití eshopových pluginů a pluginů pro rozesílání newsletterů.

Bezpečnostní Pluginy

Samostatnou kapitolou jsou bezpečnostní pluginy. Tyto pluginy nebylo možné předchozí metodou detekovat, protože ve zdrojovém HTML kódu nezanechávají žádné stopy. Používaných pluginů však není mnoho, a tak bylo možné napsat test přímo na míru těmto pluginům, který zjišťoval přítomnost specifických souborů. Bezpečnostní plugin se podařilo detekovat u 6% webových stránek.

Nejoblíbenějším pluginem je iThemes Security, který umožňuje i zákaz přístupu k souborům prozrazující citlivé informace (jako je readme.html). Jako jediný při zapnutí této funkce blokuje i přístup k souborům readme.txt jednotlivých pluginů, které byly užitečným zdrojem informací pro tuto statistiku. Zjišťoval jsem tedy i to, kolik webů používajících iThemes Security má tuto funkcionalitu zapnutou - bylo jich cca 390.

Snad všechny bezpečnostní pluginy mají možnosti jak skrýt použitou verzi systému WordPress a tak předpokládám, že za mnoho neúspěchů při zjišťování verze WP mohou právě tyto pluginy.

Kde weby běží?

Podle IP adresy jsem se dále pokoušel zjistit, u jakého poskytovatele weby běží. Pomocí programu whois (který se ptá Ripe.net) jsem zjišťoval, komu patří adresní rozsah. Metoda to není úplně přesná, protože větší poskytovatelé mají rozsahů několik, mohou být různě pojmenované a z názvu nemusí být patrné, komu opravdu patří. Velcí poskytovatelé také často pronajímají VPS nebo poskytují serverhousing, kterému dávají IP adresu ze svého rozsahu. Menší hostingy mohou jejich služeb využívat a weby, které u nich běží, tak mohly být detekovány jako weby u většího poskytovatele. Vzhledem k metodě vyhledávání jsem mohl nalézt pouze ty weby, které jsou dohledatelné - vedou na ně zpětné odkazy/mají zmínky na sociálních sítích. Reálná čísla budou o několik procent vyšší.

Pokud akceptujeme tyto nepřesnosti a fakt, že v některých případech nebylo možné rozpoznat, komu subnet patří, vyšel následující žebříček (počty webů jsou zaokrouhleny na desítky):

Je vidět, že Wedos má ohromný náskok. Je to jistě způsobeno jeho cenovou politikou, která je pro weby na redakčním systému „zdarma“ velmi přívětivá, a silným marketingem. Wedos také sponzoroval několik prvních WordPress konferencí, což jistě neuškodilo spojení jeho jména s tímto redakčním systémem.

Zajímavé také může být rozdělení podle samotných datacenter, kde weby běží. Vzhledem k obtížnosti určení toho, kde je samotný IP rozsah provozován, jsou čísla spíše orientační.

Webservery

Dalším zkoumaným faktorem byl používaný webový server. Kvůli univerzálnosti používají hostingy téměř výhradně webserver Apache, takže nepřekvapí jeho mocné zastoupení – slouží 51 tisícům webů. Můj favorit je však webový server Nginx, přes který běží 11,5 tisíce webů. Jiné servery jsou spíše výjimkou.

Osobně jsem například o webserveru OpenResty dosud nikdy neslyšel – zjistil jsem, že se jedná o rozšířený Nginx.

Pokusil jsem se zjišťovat z hlaviček také konkrétní verze webserverů, získaná data však nejsou vypovídající, protože je informace o verzi často skrytá.

Více než 30 tisíc webserverů Apache neprozradilo svou verzi, ve zbytku je ale nejvíce rozšířena verze 2.2 - více než 18 tisíc - a verzi 2.4 prozradilo 1400 webů.
U webserveru Nginx bylo tajení obdobné, 4500 webů svou identitu neprozradilo. Ve zbytku je nejvíce rozšířená verze 1.2.1 (3500), dále verze 1.7.1 (1600) a verze 1.6.2 + 1.6.3 (1400).

Verze PHP

Podobně jako u verze webserveru nechtěla většina webů konkrétní verzi PHP prozradit – téměř 34 tisíc.

Verze PHP je důležitá i ve vztahu k výkonu - nejnovější verze přinášejí znatelný nárůst.

Zastoupení odhalených verzí:

Nalezl jsem i několik jednotek webů, které experimentují s HHVM.

Žebříčky webů

Nyní se podíváme na některé konkrétní weby a zařadíme je do žebříčků dle různých kritérií. V případě sociálních sítí jsou data vztažena pouze k hlavní stránce. Faktory mimo Trust flow jsou také velmi často uměle navyšovány - ať už hromadným nákupem nekvalitních odkazů, tak nákupem fanoušků na sociálních sítí a jejich interakcí.

10 webů s největším Trust flow dle Majestic SEO:

www.radegast.cz
www.pamatnik-terezin.cz
www.mediatel.cz
www.cscope.cz
www.corro.cz
www.mirc.cz
www.ancr.cz
www.neternity.cz
www.bonipueri.cz
www.zdravaprsa.cz

10 webů s největším Citation flow dle Majestic SEO:

www.autoskola-praha-ridicak.cz
web.etronic.cz
www.internetprofi.cz
www.hostivarskaprehrada.cz
new.rampusak-stity.cz
www.czech-production.cz
www.profilamas.cz
sd.kralovstilvi.cz
stepanhon.cz
www.mediatel.cz

10 webů s nějvětším počtem backlinků dle Majestic SEO:

www.geosense.cz
www.profilamas.cz
www.radegast.cz
www.neternity.cz
www.sperky-sw.cz
www.ftonline.cz
www.drosera.cz
www.a2b.cz
www.nsko.cz
www.internetprofi.cz

10 webů s největším počtem like a sdílení na Facebooku:

www.artex-pokladny.cz
www.hubnutihrou.cz
www.milionaremdoroka.cz
www.revolucnimarketing.cz
www.darujvajicko.cz
www.elitevideoacademy.cz
www.akademieretoriky.cz
www.komunikacikuspechu.cz
www.moje-sebeduvera.cz
www.pragulic.cz

V tomto seznamu je podezřelé zastoupení "infoproduktů". Nemyslím si, že by vysoké počty Like vznikly organickou cestou.

10 webů s největším počtem tweetů na Twitteru:

www.luciesvarcova.cz
www.test2014.cz
www.fotoseminar.cz
www.neurra.cz
www.stvanci.cz
www.hubnutihrou.cz
www.companyconsults.cz
www.ceskycmelak.cz
www.cafedu.cz
www.mocslov.cz
 

10 webů s největším počtem zmínek na LinkedIn:

www.tqtest.cz
www.hubnutihrou.cz
www.taichiresort.cz
www.superprijem.cz
blog.emailkampane.cz
www.laserfoto.cz
www.kompetenz.cz
www.navykybohatych.cz
www.mediatel.cz
www.inside.cz

10 webů s nejvíce +1 na GooglePlus:

www.xindlx.cz
www.doperin.cz
www.antelli.cz
www.rodinne-konstelace.cz
www.studiocamo.cz
www.artex-pokladny.cz
www.test2014.cz
www.oezentrum.cz
www.neurra.cz
www.probuzenyslon.cz

Zajímavá fakta

V předposlední části analýzy krátce představím zajímavá fakta, která průzkum ukázal.

Velikost HTML

Dále jsem zkoumal velikost samotného zdrojového HTML kódu stránek (bez skriptů, stylů a obrázků).

50 % webů má velikost HTML do 28 kB.
80 % webů má velikost HTML do 45 kB.

Nalezl jsem téměř 80 webů, které mají velikost HTML více než 0,5 MB = jsou téměř nepoužitelné.

Google Analytics

Prověřoval jsem využití Google Analytics dle přítomnosti měřícího kódu na stránce. Aktálně se lze setkat se 3 typy měřícího kódu:

1. Starý měřící kód – považován za zastaralý
2. Universal Analytics – nový měřící kód
3. Google Tag Manager – systém pro správu kódů - vkládá kód Universal Analytics a další kódy

Více než polovina webů nepoužívá Google Analytics.
27 % webů používá starý měřící kód GA.
GTM používá pouze 1 % webů (cca 650 webů).

Remarketing se přímo Google Analytics netýká, ale přesto ho sem zařadím. Ukazuje na weby, pro které je online komerce velmi důležitá.

1200 webů používá remarketing (2 %).

Google AdSense je podobný případ. Reklamu z tohoto kanálu se objevuje na téměř 9% zkoumaných webů. 3800 jich používá synchronní variantu kódu a 1800 asynchronní.

Téměř 9 % webů obsahuje reklamu z Google AdSense.

Facebook

Vliv sociálních sítí je stále silnější a tak mě zajímalo, zda webové stránky používají komponenty pro interakci s Facebookem.

Tlačítka pro Like, sdílení, nebo FanBox využívá 38 % webů.

HTTPS

Dalším z testovaných faktorů, tentokrát s vlivem na bezpečnost, bylo používání HTTPS s validním certifikátem. Mnoho webů je sice k dispozici i na zabezpečeném portu 443, ale certifikát pro svou doménu používá pouze zlomek webů.

Tip: SSL certifikát lze levně zakoupit na https://crt.simplia.cz/

Pouze 0,24 % webů používá HTTPS s validním certifikátem.

Co na to Google PageSpeed?

Všechny weby jsem pomocí Google API nechal zkontrolovat službou Google PageSpeed Insights. Tímto testem jsem získal především data o počtu javascriptů, CSS, obrázků a jejich velikosti. Ve výsledném PageSpeed skóre jsou zahrnuty faktory, typu: zda je statický obsah optimalizovaný (zda jsou kódy minifikované a zda je možné obrázky dále bez ztráty kvality zmenšit), správné nastavení cache pro prohlížeč, povolení komprese, zbytečná přesměrování nebo doba odezvy serveru. Nejčastějšími prohřešky byla právě velikost obrázků a nenastavená cache pro prohlížeč.

Polovina webů má v Google PageSpeed skóre 75 a více.

Z dat je patrné, že na tom většina webů není příliš špatně. Některé weby na obou stranách spektra jsem podrobněji ručně zkoumal, abych zjistil pro získaly tak vysoké/nízké skóre. Důvodem pro nízké skóre (skóre 0 dostalo 360 webů) byly především ohromné neoptimalizované obrázky, kdy analyzátor zjistil, že je možné je bez ztráty kvality zmenšit o několik megabytů. Nalezl jsem i 2 weby, kde velikost obrázků na hlavní stránce přesahovala 70 MB! Nejníže hodnocené weby samozřejmě nesplňovaly ani ostatní kritéria. Weby hodnocené vysokým skóre byly především starší a jednoduché weby, kde prostě není moc co zkazit. Kvalitně udělané moderní weby dosahovaly většinou skóre kolem čísla 90. 

Téměř polovina webů má má na hlavní stránce více než 1MB obrázků.

Pokud nahráváte fotografie na web, upravte je nejprve v grafickém editoru - zmenšete rozlišení a nastavení kvality výsledného JPG souboru. Obrázek větší než samotný monitor většinou návštěvníci stejně neocení.

Tip: Osobně pro rychlou práci s obrázky - prohlížení, změna rozměrů a ořez - používám program IrfanView - na webu je dostupná čeština i balík pluginů, který obsahuje i nástroj RIOT na ukládání obrázků pro web (ten lze stáhnout i samostatně a případně nahradit verzi používanou v IrfanView za novější, která má další nástroje pro práci s formátem PNG).

Oproti předchozímu testu velikosti HTML kódu hlavní stránky lze z nových dat spočítat celková velikost dat včetně obrázků, skriptů a kaskádových stylů. V součtu byla celková velikost všech hlavních stran webů téměř 120 GB. Podívejme se tedy na rozložení velikostí hlavních stránek:

Téměř polovina testovaných webů se s celkovou velikostí hlavní stránky vejde pod 400 kB

Zajímavé je i rozložení velikosti dle jednotlivých typů statických zdrojů:

To, že největší část zabírají obrázky, není tolik překvapivé jako fakt, že javascriptů je 30 % (je pravda, že mnoho webů používá některé sdílené knihovny uložené na CDN, ale i tak je toto číslo vysoké).

Celkový počet statických zdrojů (CSS, JS a obrázků), které stránka načítá můžete vidět na následujícím grafu:

Zde zaujme především fakt, že velká část webů načítá opravdu velké množství dalších souborů (více než 100). Mohou za to různé fotogalerie, kdy je tento stav pochopitelný, nicméně častým důvodem je také používání až zbytečného množství různých pluginů.

Téměř polovina testovaných  webů má hlavní stránce více než 30 statických zdrojů a více než 2000 webů jich má více než 100.

Počty CSS a JS souborů můžete vidět na následujících grafech:

Stránky s malým počtem souborů jsou často již zmíněné starší jednodušší weby, ale zastoupení zde mají i moderní stránky, které správně využívají kombinování a minifikaci těchto zdrojů (např. pomocí pluginu Autoptimize).

Na počet souborů jsme se již podívali, ale jak je to s jejich celkovou velikostí?

Polovině webů stačí 60 kB kaskádových stylů a 350 kB javascriptů. Nicméně 10% webů používá více než 300 kB CSS a 4% webů více než 2 MB javascriptů.

Z údajů, které mám k dispozici, si troufám tvrdit, že minimálně 25% dat je přenášeno zbytečně (a je možné, že to bude i o mnoho více).

Závěr

Průzkum potvrdil, že velká část českých WordPress webů je neaktualizovaná a obsahuje závažné bezpečnostní chyby. Dalším neřešeným problémem je také výkon webu. WordPress se velmi často uplatňuje na různých "infomarketingových" stránkách, což považuji spíše za nelichotivé. Je to dáno především jeho uživatelskou jednoduchostí - webové stránky si může udělat prakticky každý i bez jakékoliv znalosti webového programování. Bohužel právě tito uživatelé často neakceptují fakt, že je třeba se o svůj web starat.

Data z průzkumu také potvrdila oblíbenost defaultních šablon a také ukázala nejpoužívanější pluginy. Vyšlo najevo také dominantní postavení webhostera Wedos na české WP scéně.

Z těchto údajů by se téměř dalo říci, že "běžný web na WP se zabývá infomarketingem, používá základní WP šablonu , plugin pro "zapnutí SEO" a pro kontaktní formulář, není aktualizován a je hostován s minimálními náklady." Nalezneme však i velké množství profesionálnějších webů, které dbají na bezpečnost, rychlost i kvalitu obsahu. V jednoduchosti je hlavní síla tohoto redakčního systému a s trochou úsilí lze vybudovat kvalitní a reprezentativní web.

Co bude následovat dál?

Jelikož bylo objeveno mnoho webů s bezpečnostními problémy (několik desítek webů mi i přímo zablokoval antivirus), budu se postupně snažit oslovit majitele a tvůrce těchto webů a o problémech je informovat.

Na závěr přidám ještě odkaz na svou přednášku z konference Wordcamp, kde se zabývám právě problematikou aktualizací a bezpečností: http://edu.lynt.cz/course/bezpecnost-wordpressu-tipy-pro-kazdeho.

Pro získání aktuálních informací a novinek nás můžete sledovat na sociálních sítích:

Další naše články na téma WordPress.

Update

Stav z průzkumu 08/2017 (~130 000 instalací):

* koláčový graf major verzí je připraven pro srovnání s https://wordpress.org/about/stats/

Update 11/2018

Nad rozšířeným datasetem byl proveden průzkum využívání WooCommerce a použitých analytických skriptů: