WordPresskollen augusti 2016 – Hur mår WordPress i Sverige

Det här är första gången vi sammanställer en rapport över hur svenska installationer av WordPress egentligen mår. Vi har tittat på svenska företag och organisationers hemsidor för att se vilka som använder WordPress och hur de WordPress-installationerna hanteras. Vi tittar framförallt på två saker:

  1. Hur väl WordPress är uppdaterat.
  2. Vilken prestanda varje site har.

Dessa två områden ger oss naturligtvis inte hela sanningen. Men vi vill försöka att få en liten inblick i hur väl  svenska företag tar hand om sina webbsidor och en studie av dessa två områden ger en i alla fall en liten hint om hur det ligger till.

Webhotell

Till att börja med tittar vi på hur svenska företag hostar sina WordPress-siter:

Webhotell 201608

Av undersökningens totalt 4164 hemsidor har vi identifierat vilket webhotell eller annan hostingmiljö som används. I 2485 fall har det gått att avgöra vilket webhotell som används medans resterande 1679 sidor har fallit bort. Bland de 2485 är det åtta leverantörer som är ganska dominerande, dessa åtta stora har totalt 2306 siter eller knappt 93% av alla identifierade webhotell.

GleSys är den enda av dessa åtta som är en renodlad VPS-leverantör, dvs de hyr egentligen ut hela servrar snarare än att erbjuda plats på en delad webbserver. Flera av de övriga 7 erbjuder även VPS som en premiumtjänst. Vi har inte kunnat särskilja vilka sidor som ligger på respektive leverantörs vanliga webbhotell respektive VPS-tjänst.

WordPress versioner

Det finns ganska mycket att säga om vilka versioner av WordPress som är i bruk. Till att börja med tittar vi på totalbilden, frekvensen av respektive version, från 2.3 och framåt:

Versions 201608

Det ser lite spretigt ut. Till att börja med kan vi konstatera att den äldsta versionen som är i bruk hos ett svenskt företag idag är version 2.3, den släpptes i september 2007, för nio år sen. Sedan finns de flesta versioner som har släppts representerade hela vägen upp till 4.6 som är aktuell just nu. Man ser en ganska tydlig koncentration till de senare versionerna. Det är tack och lov ganska få hemsidor som har en riktigt gammal version.

En zoomning på version 4.3 och framåt tydliggör en intressant effekt:

versionsDetails 201608

Från och med version 3.7 av WordPress så uppdaterar WordPress automatiskt till senaste minor version. Det betyder att om man har 3.7 så kommer WordPress automatiskt att uppgradera till 3.7.n i takt med att nya versioner släpps. Från och med samma version 3.7 så patchas också äldre versioner kontinuerligt så att säkerhetsfixar även tar sig in i äldre versioner av WordPress. Men om man har 3.7.n så kommer man inte att automatiskt bli uppdaterad till 3.8 när den kommer osv. Det steget kallas för en major uppdatering och måste sättas igång manuellt.

Det finns alltså alltid en aktuell version av 3.7, 3.8 osv. hela vägen upp till 4.6. Det syns ju ganska tydligt i båda de ovanstående graferna. Den aktuella versionen av WordPress 4.3 heter 4.3.5, den aktuella versionen av WordPress 4.4 är 4.4.4 osv. Eftersom WordPress per default uppdaterar sig till senaste minor version så klumpar det ihop sig på de senaste versionerna inom varje major version. De 201 siter som har WordPress 4.5.2 är exempel på siter där den automatiska uppdateringen inte fungerar. Det kan bero på att den är avslagen eller att siten är felkonfigurerad på något sätt.

Om man har den den senaste minor versionen så kan man i stort sett betrakta grundsystemet som säkert, det finns i alla fall inga kända buggar i WordPress kärna som utgör ett säkerhetsproblem. Vi kan identifiera sådana versioner, t.ex 4.4.4 som säkra och alla andra versioner, t.ex 4.4.1 är osäkra. Totalt fördelar sig andelen säkra och osäkra versioner så här:

secureversions 201608

Två tredjedelar av alla WordPress-siter i undersökningen ligger på en säker version av grundsystemet. Det är på ett sätt uppmuntrande att det ”bara” är 1/3 som har potentiella säkerhetsproblem. Men beaktar man att WordPress är världens och gissningsvis Sveriges populäraste pubiceringssystem så betyder det samtidigt att det i absoluta tal finns väldigt många svenska företagshemsidor som är sårbara.

Prestanda

I nästa del av undersökningen har vi tittat på prestanda för respektive site. Prestandan är mätt med hjälp av Googles verktyg Page Speed Insights. Varje site får en poäng på en skala mellan 0 till 100, där 100 är perfekt och 0 i princip är katastrof.

speed 201608

Fördelningen är ganska intressant. Förutom ett par siter med poängen 0 (gissningsvis ett tekniskt fel i Googles mätning) så är det en ganska jämn kurva uppåt. Vid index=62, som är en relativt låg siffra, så vänder det dock ganska skarpt nedåt igen och ebbar ut strax innan index = 80. Sen finns det några outliers som placerar in sig på 98, 99 och 100. Värt att notera är att det är fler siter som har index = 100 än vad som har 98 eller 99. Vi gissar att det rör sig om siteägare som verkligen har optimerat sina siter med målet att nå index = 100 i Page Speed Insights.

Som en sista del av vi även tittat på hur genomsnittspoängen ser ut uppdelat på de åtta dominerande webhotellen:

speedbyhost 201608

Det webhotell/host som har bäst genomsnittspoäng är GleSys. Det är egentligen inte så förvånande eftersom de primärt tillhandahåller virituella servrar (VPS) snarare än traditionella webhotell. Det innebär att en site som ligger på GleSys oftast delar server med få eller inga andra siter. Man kan ocks föreställa sig att de so väljer en dyrare VPS-tjänst framför ett vanligt webbhotell också är en kunningare användare och därför lägger mer tid och energi på prestanda.

Motsatsen är Loopia och Binero där man får räkna med att dela server med ganska många andra websiter. Ett resultat som sticker ut lite är One.com som är ett av de billigare webhotellen och där man kan förvänta sig att varje server har ganska många siter och därmed snålt med resurser per site.

Det är väl värt att notera att den genomsnittliga poängen per webhotell/host beror både på hur respektive siteägare sköter sin WordPress-site och på prestandan hos respektive webhotell/host.

Slutsatser

Vi ser att minst en tredjedel av de undersökta WordPress-siterna har säkerhetsbrister bara genom att titta på vilken version av WordPress som används. Det betyder att det i absoluta tal finns väldigt många WordPress-installationer i Sverige som har någon form av sårbarhet.

Det är dessutom fullt möjligt att många av de siter som har en säker version av WordPress-kärnan bara har det på grund av automatiska uppdateringar, inte på grund av en medveten hantering. Vår slutsats av att så många siter ligger kvar på äldre, men säkra, versioner av WordPress är att man förlitar sig (för mycket) på de automatiska uppdateringarna. Därför frågar vi oss hur dessa siter har det med uppdateringar av tillägg och teman som ju inte uppdateras automatiskt.

Vi är både positivt och negativt överraskade av resultaten inom prestandamätningen. Det positiva är att ett prisvärt webhotell som One.com kan konkurrera prestandamässigt. Det negativa är att medelpoängen engligt Google Page Speed Insights ändå är förhållandevis lågt. En website som ligger på en poäng runt 60-65 där de flesta av siterna i undersökningen hamnar har förhållandevis många problem.

Vår subjektiva uppfattning, baserad på erfarenhet, är att siter med index under 75 upplevs som långsamma, inte minst på mobilen. Ingen vet riktigt hur Google använder prestanda för att ranka sidor sin sökmotor, bara att de själva har sagt att de sen ett antal år tillbaka använder det som en av flera faktorer. Vi tror att många svenska företag skulle kunna skaffa sig en fördel i Googles sökmotor bara genom att sikta på ett värde åtminstonde  över 75 i och med att så många andra ligger betydligt lägre.

Om undersökningen

Vi har utgått från ett företagsregister med cirka 25.000 svenska företag med en blandning av företagsform, storlek och branch. För vart och ett av dessa företag har vi tittat på respektive företags hemsida och försökt avgöra om den är byggd på WordPress eller inte genom en enkel analys av sidans HTML-kod. Totalt har vi identifierat 4164 företagshemsidor som använder WordPress.

Bland de sidor som har WordPress har vi tittat vidare på vilken version som är i bruk vilket också görs genom att analysera HTML-koden på de publikt åtkomliga sidorna. Vissa WordPress-installationer har medvetet skyddad sig mot den här typen av analyser vilket medför en del bortfall.

Vi har också använt oss av Googles Page Speed Insights via dess API för att göra en bedömning av varje sidas prestanda i form av en poäng mellan 0 och 100. Google Page Speed Insights tittar på en rad faktorer där sidans laddtid bara är en del av bedömningen, bland annat om man har optimerat bilder, HTML-kod, Javascript-kod mm.

Vi gör inga försök att kartlägga vilka WordPress-tillägg som finns på respektive site eller vilken version dessa har. Vi gör heller inga försök att identifiera säkerhetsbrister med verktyg som aktivt letar efter kända säkerhetshål.

Har du synpunkter eller idéer om hur undersökningen eller rapporten kan göras bättre? Lämna gärna en kommentar har nedan eller kontkata oss via vårt vanliga kontaktforumlär.

Vill du veta mer?

Undrar du om ditt företag finns med i undersökningen? Vill du få hjälp att bedöma hur väl ditt företags WordPress-sida står sig jämfört med resultatet i den här studien? Eller vill du kanske ha hjälp att hantera er WordPress-installation? Vi är experter på att hantera de tekniska aspekterna av WordPress och vi är naurligtvis intresserade av att komma i kontakt med företag som vill förbättra hanteringen av sin webbsite.

Kontakta oss

Om Torgesta Technology AB

Torgesta Technology AB arbetar med webbteknik med WordPress som specialitet. Under hösten 2016 lanseras ett oberoende serviceavtal för WordPress där allt tekniskt underhåll, som t.ex uppdateringar, backup mm. hanteras mot en fast månadskostnad.

(c) Torgesta Technology AB i augusti 2016. Alla rättigheter reserverade.

 

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *