Я новичок в WordPress. Недавно я прочитал статью о том, как хакеры могут использовать уязвимости в плагинах. Различные источники, такие как Google Pagespeed, также отговаривали меня от использования плагинов или, по крайней мере, сводили его к минимуму. Лично я также стараюсь избегать плагинов, потому что я чувствую больше контроля над тем, что происходит на моем сайте, и загрузка одного из них выглядит как «Отлично, еще одна вещь, которую я должен научиться использовать».

Я понимаю, что «Рекомендации по плагинам» не по теме, но на самом деле я хочу объяснить, почему / если некоторые плагины необходимы в WordPress.

Возьмите это, например:

Безопасность . Несколько лучших плагинов связаны с безопасностью. Но являются ли сайты WordPress уязвимыми в целом? Зачем мне нужен дополнительный плагин, чтобы избежать эксплуатации?

Резервное копирование - я новичок в мире блогов, но разве большинство хостов не предоставляют услуги резервного копирования? Или мне нужны специальные плагины для этого с WordPress?

AdSense Click-Fraud Monitoring - Предполагается блокировать клик-бомбы, чтобы избежать изгнания из Google. Но я не понимаю, нужно ли делать несколько фальшивых кликов, чтобы отключить ваш доход, если вы не загрузите плагин?

Изменить: может быть лучше спросить об этом в службу поддержки Google, игнорируйте его, если так

Необходимость плагина

К чему на самом деле сводится необходимость плагинов, так это к вопросу: « Удовлетворен ли я тем, что основная функциональность WordPress - это все, что мне нужно? »

Если все, что вам нужно, это простой блог с некоторыми категориями и набором статических страниц. Но если вы хотите начать интеграцию интерактивных карт, календарей с событиями, может быть стороннего REST API, заставить пользователей использовать надежные пароли или даже превратить сайт в социальную сеть, тогда вам нужны плагины. Ответ Гранта Пэйлина дает более полное представление о том, почему кто-то может захотеть плагины. Ответ Дэна Гейла указывает на то, что многие темы предоставляют всевозможные функциональные возможности плагинов без явного использования плагинов WordPress.

Основная безопасность

Само ядро ​​WordPress в значительной степени защищено, и сообщество разработчиков ядра выполняет респектабельную работу, изолируя и исправляя уязвимости безопасности, как только они обнаруживаются, - одно из преимуществ наличия сотен миллионов пользователей и в среднем около 200 основных участников на выпуск. , И риск, который имел место в течение периода времени между выявлением уязвимости и выпуском ее исправления, быстро устраняется с помощью автоматического обновления ядра .

_{^{Инфографика WordPress о безопасности от Pagely ( изрядное количество достоверной информации - нажмите, чтобы просмотреть ее полностью)}}

Да, WordPress имеет присущие уязвимости безопасности . Но то же самое можно сказать о Drupal , CakePHP, Ruby on Rails , Symfony, Zend и т. Д. Нет ни одной платформы или системы, которую я бы использовал без применения дополнительных мер безопасности в дополнение к тем, которые уже предусмотрены платформой. Я думаю, что это просто плохая идея - полагаться только на CMS или инфраструктуру для обеспечения безопасности любого веб-сайта , особенно любой платформы с заметным уровнем принятия.

Плагин безопасности

Плагины не являются абсолютно небезопасными. Проблема в том, что плагины не проверяются, чтобы гарантировать, что их авторы следуют надлежащим методам безопасности. WordPress установил ряд стандартов, которым должны следовать авторы , но многие плагины созданы новичками или другими, которые игнорируют стандарты. Но, как и во всех существующих кодовых базах, чем больше кода вы добавляете в систему, тем выше вероятность появления ошибок и уязвимостей . Чем больше плагинов вы добавите к вашей установке, тем больше риск, который вы склонны принять. Таким же образом, знайте, что темы WordPress представляют одинаково вредоносную угрозу - особенно множество «бесплатных тем», доступных на неизвестных тематических сайтах, многие из которых пытаются напрямую использовать ваш сайт.вместо того, чтобы невинно разоблачать уязвимости безопасности из-за невежества или несчастного случая. Получайте темы и плагины только из надежных источников и надежных авторов.

Практическое правило - не устанавливать плагины от широко неизвестных авторов или относительно новые на сцене плагины. Если вы можете, найдите время, чтобы установить авторитет автора. В идеале, изучить факторы , которые идут в хорошо обеспеченный плагин ( номер используемые однократно [ака «нонс» s] для запроса и аутентификации URL, входной обеззараживание , спасаясь выход , предотвращение прямого доступа к плагин файлов , надлежащий доступу из базы данных с помощью методов и функций WordPress , отсутствия ошибок и уведомлений об устаревании при включенной отладке (не включайте ее в производственных средах] и т. д.) и проверяйте каждый плагин, который вы устанавливаете самостоятельно.Ничто не заменит понимание того, что входит в сценарий безопасного плагина , и никакой лучшей защиты от дрянных плагинов.

Если мысль о небезопасных плагинах и темах вас пугает, или вы не знакомы с PHP или не хотите знакомиться с ним, вы можете найти службы WordPress.com более подходящими для вас, поскольку они берут на себя ответственность за проверку плагинов и тем и разрешить установку на сайты пользователей только тех, кто определен как безопасный. При желании вы все равно можете использовать собственный домен с WordPress.com.

Поддержите это

Некоторые хосты предоставляют такие услуги, другие нет. Точно так же, как я не доверяю безопасности любой платформы, чтобы она работала самостоятельно, я не доверяю ни одному хосту, который позаботится о моих резервных копиях. Скорее, я предпочитаю, чтобы мои резервные копии накапливались в моем Dropbox и синхронизировались с разными серверами, так что я могу быть уверен, что у меня всегда есть прямой доступ к моим резервным копиям с копиями в нескольких разных системах. Если мой хост выйдет из строя или будет куплен более крупной компанией или каким-либо другим несчастным случаем, мой сайт находится в нескольких щелчках мыши, даже не рискуя иметь дело с поддержкой моего хоста.

Финальные заметки

Вы должны прочитать запись кодекса по усилению WordPress для получения дополнительной информации о безопасности. Если вы не думаете, что вам понадобится много плагинов или каких-либо непонятных плагинов в будущем, может быть, лучше иметь WordPress.com или альтернативного провайдера управляемого WordPress хостинга, такого как Pagely, для размещения вашего блога.

Независимо от новой функции «автоматического обновления ядра» в WordPress, вы все равно должны стараться вручную убедиться, что ваша установка, а также все ваши плагины и темы обновлены. Некоторые могут подумать, что это чрезмерно, но мне нравится включать отладку после обновления и следить за тем, чтобы плагины или темы не потеряли совместимость (поток ошибок и уведомлений об устаревании является сильным симптомом этого). Если они есть, я отключаю их до тех пор, пока их авторы не обновят их, или сам не внесу необходимые изменения, чтобы удержать меня, пока они не выпустят официальное обновление. Обратите внимание, что вы должны либо перевести свой веб-сайт в автономный режим, либо запустить автономную версию разработки своего веб-сайта, прежде чем включать отладку для устранения неполадок.

Я не уверен в распространенности практики бомбардировки кликами Ad-sense, но плагин WordPress, предлагающий смягчить последствия таких клик-бомб, предлагает вам дополнительный уровень безопасности в дополнение к тем мерам предосторожности, которые имеет Google. Веб-сайты, на которых не работает WordPress, сталкиваются с точно такой же угрозой в отношении бомбардировки кликами, и либо должны реализовать защиту другими способами, либо выжить без нее.

Дополнительные ресурсы

• Кодекс: написание плагина

  ^{Функционально-ориентированное введение в разработку плагинов с несколькими советами по безопасности. В частности, обратите внимание на раздел « Предложения по разработке плагинов » в нижней части страницы.}

• Кодекс: валидация и удаление пользовательских данных

  ^{Краткое введение в эти понятия и почему они имеют значение.}

• Кодекс: FAQ по безопасности

• Справочник: Стандарты кодирования PHP

  ^{Синтаксически-ориентированный стандарт для кода PHP в WordPress с несколькими советами по безопасности.}

• Справочник: Стандарты встроенной документации PHP

  ^{Я бы очень хотел сказать вам, чтобы вы никогда не устанавливали плагин, который игнорирует встроенную документацию, но на самом деле даже хорошие разработчики не всегда делают это. Тем не менее, обширная документация в комплекте с тегами PHPDoc является хорошим свидетельством того, что автор имеет некоторое представление о том, что они делают.}

• WPSE: «Каковы рекомендации по безопасности для плагинов и тем WordPress?»

  ^{Ответы на этот вопрос дают несколько дополнительных моментов, которые не перечислены в других ресурсах. Обратите внимание, что этот вопрос заблокирован и не будет обновляться для отражения новых событий.}

• WPSE: «В каких контекстах плагины отвечают за проверку / санацию данных?»

  ^{В двух словах: «Когда мне нужно защитить свои данные и когда основные функции обрабатывают их для меня?»}

• WPSE: «Кто является самым надежным разработчиком плагинов?»

  ^{Небольшой список некоторых самых надежных и известных имен в разработке плагинов WordPress. Конечно, не исчерпывающий, но хорошая отправная точка для нескольких быстрых "верных ставок". Обратите внимание, что этот вопрос заблокирован и не будет обновляться для отражения новых событий.}

• WPSE: Как я могу установить авторитет автора темы / плагина? "

  ^{Автор, основанный на этом самом вопросе о необходимости плагинов, надеюсь, этот вопрос даст общий процесс выбора заслуживающих доверия авторов тем / плагинов.}

• « Опасность невежества плагинов WordPress (и что с этим делать) » - Том Эвер

  ^{Твердый нетехнический обзор относительно опасностей плагинов.}

• « Разработка для WordPress? Держи свое дерьмо в безопасности » - Майк Джолли

  ^{Отличный краткий технический обзор лучших практик для безопасной разработки плагинов. Обратите внимание, что инфографика от wptemplate.com, ссылка на которую приведена в статье, содержит несколько дополнительных полезных советов по безопасности WordPress в целом, но составлена ​​довольно плохо и написана на ломаном английском.}

• « 7 простых правил: лучшие практики разработки плагинов WordPress » - WP Tuts +

  ^{Статьи на Tuts +, как правило, точные и значительного качества.}

• « Безопасность WordPress - прорезать BS » - Тони Перес

  Отличный технический обзор уязвимостей и мер предосторожности в WordPress на основе презентации Perez's Chicago 2012 WordCamp.

Проще говоря - WordPress делает то, что он делает из коробки, без плагинов.

Тем не мение! У разных людей разные представления о том, что еще нужно делать. Некоторые из этих идей здоровы. Некоторые полностью помешаны.

Конкретно на ваших примерах:

• WP (или, точнее, его текущая стабильная версия на данный момент) безопасен, многие плагины безопасности сосредоточены на аудите (такие вещи, как код других плагинов) и проактивном мониторинге (на самом деле ничто не является абсолютно безопасным).

• многие люди (включая меня) не доверяют третьей стороне в обработке резервных копий. Существует много ужасных историй о том, как доверяющие хосты с резервным копированием приводили к довольно печальным результатам, и если вы не можете лично отслеживать, получать доступ и проверять резервные копии, которые хост [предположительно] принимает, безопаснее обращаться с ними, как будто они не существуют.

WordPress довольно функционален сам по себе. Если ваши потребности просты, или вы знаете, как добавить пользовательские функции, как правило, нет необходимости в плагинах. Однако у модели плагина есть свои преимущества, некоторые из которых я перечислю:

• модульная, подключи и играй (в основном) функциональность
• инкапсулировать специализированную функциональность
• не изобретать велосипед
• извлечь выгоду из работы опытных авторов плагинов

Если обратиться ко второму-последнему пункту, если вы хотите добавить определенную функциональность, есть хорошие шансы, что она уже реализована в форме плагина. Это не неправильно, чтобы извлечь выгоду из работы, которая уже была сделана.

И наконец, множество доступных плагинов - это результат часов и опыта разработчиков. Такие плагины, как правило, хорошо сложены и поддерживаются, и имеют репутацию. Посмотрите на Пиппина Уильямсона, Скотта Кингсли Кларка и Алекса Кинга, и это только некоторые из них. У них есть не только технические навыки, но и доверие . Это огромное преимущество некоторых сторонних плагинов.

В случае резервных копий я бы неохотно доверял веб-хостам что-то столь важное, особенно если резервные копии хранятся на одном сервере или в одной сети. Сторонний плагин или самодельный подход предоставляют вам больше контроля, а также обычно хранят резервные копии в совершенно отдельном месте от веб-сайта.

Плагины безопасности не являются строго необходимыми, если у кого-то есть ноу-хау, чтобы самим управлять средствами безопасности. Некоторые такие плагины, такие как Better WP Security , упрощают обработку прав доступа к файлам, .htaccessдиректив и т.п. Другие, такие как WordFence, предоставляют услуги мониторинга, в то время как попытки ограничить вход в систему обеспечивают некоторую защиту бэкэнда сайта.

Если вы беспокоитесь о качестве плагина, это может быть хитом или промахом. Те, кто работает с репозиторием плагинов WordPress, по-моему, проходят проверку со стороны людей, стоящих за WordPress, но качество или ценность весьма различны - и в значительной степени зависят от ваших потребностей и способностей. Если плагин хорошо проверен, имеет активную поддержку и исходит от известного автора или команды, вы, вероятно, в хороших руках.

Резервные копии

Ваш хост может позаботиться о резервном копировании, но обычно он предлагает только подход «все или ничего». Если вы используете плагин, вы можете делать еженедельное резервное копирование файлов и ежедневное резервное копирование БД, запускать их перед выполнением какого-либо обслуживания или сохранять файлы резервных копий в учетной записи SFTP / S3. Не могу сделать это из коробки без плагина.

Производительность

Поскольку ваше беспокойство в производительности ( о чем свидетельствуют справки PageSpeed), единственный способ , которым я знаю, чтобы использовать сторонний CDN для размещения ваших изображений с помощью плагина (если только вы не на самом деле в сценарий на сервере, в в каком случае вы бы не задавали этот вопрос здесь).

Долгосрочное обслуживание

Любая функциональность, которая находится вне области действия самого WP и изменяет / изменяет ваш контент (например, шорткод), должна размещаться в плагине, потому что вы почти наверняка когда-нибудь измените свою тему, и вы не хотите, чтобы куча битого контента на вашем сайт.

Пользовательский ввод

Пользовательский ввод - это то, где появляется множество уязвимостей безопасности, поэтому, если вы принимаете пользовательские данные любого рода, я бы определенно подумал об использовании авторитетного плагина для обработки этого. Они гораздо чаще проверяются другими и проходят проверку, чем некоторые формы с ручным кодированием, которые вы, возможно, захотите добавить.

ТЕМ НЕ МЕНИЕ

Иногда все, что вам нужно, находится в вашей теме. (ОСОБЕННО, если вы купили его на Code Canyon / Envato и т. Д., Так как они, похоже, чрезвычайно «управляемы».)

Иногда на самом деле проще создать мод для вашей темы, чем иметь дело с плагином, например хорошей частью плагинов "seo".

На самом деле это зависит от вашего требования. Если вы хотите добавить больше функциональности для своего сайта без изменения файла темы, тогда вам наверняка понадобятся плагины.

Они необходимы, если вы хотите добавить систему электронной коммерции или полностью настроить дочернюю тему, в противном случае вам потребуется выполнить огромное количество пользовательских программ для таких вещей, как электронная коммерция.

Другим важным моментом является различие между темами, которые включают в себя огромное количество параметров темы, по сравнению с темой, которая предлагает широкий спектр плагинов для конкретных тем.

Очевидно, проще настроить WordPress, установив плагины для добавления функциональности, а не используя тему, которая включает в себя огромное количество встроенных опций, потому что тогда вам нужно фильтровать существующие функции, используя код, а не устанавливать плагины только для добавления функций, которые вам нужны. использовать.

Код в плагинах также обновляется, когда новые версии WordPress также находятся в бета-версии, и если плагины не обновляются, вы можете легко удалить и установить новый плагин.