Czy wtyczki Wordpress są niezbędne?

19

Jestem nowy w WordPress. Niedawno przeczytałem artykuł o tym, jak hakerzy mogą wykorzystać luki we wtyczkach. Różne źródła, takie jak Google Pagespeed, również odradzają mi korzystanie z wtyczek lub przynajmniej ograniczają je do minimum. Osobiście staram się również unikać wtyczek, ponieważ mam większą kontrolę nad tym, co dzieje się na mojej stronie, a pobranie jednego z nich wydaje się prawie „Świetne, kolejna rzecz, której muszę nauczyć się używać”.

Rozumiem, że „Zalecenia dotyczące wtyczek” są nie na temat, ale w rzeczywistości szukam wyjaśnienia, dlaczego / jeśli niektóre wtyczki są niezbędne w WordPress.

Weźmy na przykład:

Bezpieczeństwo - kilka najlepszych wtyczek ma związek z bezpieczeństwem. Ale czy witryny WordPress są ogólnie wrażliwe? Dlaczego potrzebuję dodatkowej wtyczki, aby uniknąć wykorzystania?

Kopia zapasowa - jestem nowy w świecie blogów, ale czy większość hostów nie zapewnia usług tworzenia kopii zapasowych? A może potrzebuję specjalnych wtyczek do WordPress?

Monitorowanie oszustw związanych z kliknięciami AdSense - ma blokować bomby klikające, aby uniknąć wyrzucenia z Google. Ale nie rozumiem, czy jest kilka fałszywych kliknięć, które wszyscy ludzie muszą zrobić, aby zamknąć twoje dochody, chyba że pobierzesz wtyczkę?

Edycja: Lepiej zapytać o to w dziale pomocy Google, zignoruj ​​to, jeśli tak

Tony Fire
źródło
2
Witamy w WPSE! Jeśli tego nie zrobiłeś, może chcesz mieć odczytu za pośrednictwem witryny trasy . Jeśli zajrzysz do Centrum pomocy , znajdziesz sekcję na temat jakich tematów mogę zapytać? Powiedziałbym, że twoje pytanie dotyczy najlepszych praktyk zarządzania WP, a zatem jest dobrym pytaniem.
Pat J
1
To dobre pytanie. Z mojego doświadczenia wynika, że ​​pierwszą rzeczą, którą robię, gdy przejmuję czyjąś witrynę jako webmaster, jest audyt wtyczek i usunięcie wszystkiego, co nie jest w 100% niezbędne. Dziewięć razy na dziesięć nikt nie zauważa różnicy, z wyjątkiem tego, że strona działa szybciej i jest mniej błędów.
Dan Gayle

Odpowiedzi:

26

Konieczność wtyczki

Potrzeba wtyczek naprawdę sprowadza się do pytania: „ Czy jestem zadowolony, że podstawowa funkcjonalność WordPressa jest wszystkim, czego potrzebuję?

Jeśli wszystko, czego potrzebujesz, to prosty blog z niektórymi kategoriami i pewnymi ustawionymi stronami. Ale jeśli chcesz rozpocząć integrację interaktywnych map, kalendarzy ze zdarzeniami, być może zewnętrznego interfejsu API REST, zmusić użytkowników do używania silnych haseł lub nawet przekształcić witrynę w sieć społecznościową, potrzebujesz wtyczek. Odpowiedź Granta Palina zapewnia lepszy wgląd w to, dlaczego ktoś może chcieć wtyczek. Odpowiedź Dana Gayle'a wskazuje, że wiele motywów zapewnia wszelkiego rodzaju funkcje wtyczek bez jawnego używania wtyczek WordPress.



Podstawowe bezpieczeństwo

Sam rdzeń WordPress jest w znacznym stopniu bezpieczny, a główna społeczność programistów wykonuje przyzwoitą pracę izolując i usuwając luki w zabezpieczeniach, gdy tylko zostaną zidentyfikowane - jedna z korzyści posiadania setek milionów użytkowników i średnio około 200 głównych autorów na wydanie . Ryzyko, które występowało przez okres między identyfikacją podatności a wydaniem poprawki, jest szybko eliminowane dzięki dodaniu automatycznych aktualizacji rdzenia .

Fragment planszy bezpieczeństwa Pagely WordPress.  Kliknij, aby wyświetlić w całości.

Infografika bezpieczeństwa WordPress od Pagely ( Dobra ilość solidnych informacji - kliknij, aby zobaczyć w całości)

Tak, WordPress ma nieodłączne luki w zabezpieczeniach . Ale tak samo jak Drupal , CakePHP, Ruby on Rails , Symfony, Zend itp. Nie ma platformy ani systemu, z których korzystałbym bez wprowadzenia dodatkowych środków bezpieczeństwa oprócz tych, które platforma już zapewnia. Myślę, że po prostu złym pomysłem jest poleganie na samym systemie CMS lub frameworku w celu zapewnienia bezpieczeństwa na pierwszej stronie każdej strony internetowej , szczególnie każdej frameworka o znacznych wskaźnikach adopcji.



Bezpieczeństwo wtyczek

Wtyczki nie są ostatecznie niepewne. Problem polega na tym, że wtyczki nie są sprawdzane, aby upewnić się, że ich autorzy przestrzegali dobrych praktyk bezpieczeństwa. WordPress określił szereg standardów, których autorzy powinni przestrzegać, ale wiele wtyczek jest pisanych przez nowicjuszy lub innych, którzy ignorują te standardy. Ale tak jak w przypadku wszystkich istniejących baz kodu, im więcej kodu dodasz do systemu, tym większe prawdopodobieństwo wprowadzenia błędów i luk w zabezpieczeniach . Im więcej wtyczek dodasz do instalacji, tym większe ryzyko, które podejmujesz. W ten sam sposób wiedz, że motywy WordPress stanowią równie złośliwe zagrożenie - szczególnie mnóstwo „darmowych motywów” dostępnych z nieznanych stron tematycznych, z których wiele próbuje bezpośrednio wykorzystać Twoją stronęzamiast w niewinny sposób ujawniać luki w zabezpieczeniach poprzez ignorancję lub wypadek. Zdobywaj tylko motywy i wtyczki z zaufanych źródeł i wiarygodnych autorów.

Zasadą jest, aby nie instalować wtyczek od nieznanych autorów lub wtyczek, które są stosunkowo nowe na scenie. Jeśli możesz, poświęć trochę czasu na ustalenie wiarygodności autora. Najlepiej poznaj czynniki, które wpływają na dobrze zabezpieczoną wtyczkę ( numery używane raz [aka "nonce") do uwierzytelniania żądań i adresów URL, dezynfekcji danych wejściowych , ucieczki danych wyjściowych , zapobiegania bezpośredniemu dostępowi do plików wtyczek , właściwego dostępu do baza danych za pomocą metod i funkcji WordPress , brak błędów i powiadomień o wycofaniu po włączeniu debugowania [powstrzymaj się od włączania go w środowiskach produkcyjnych] itp.) i sprawdź każdą zainstalowaną wtyczkę.Nic nie zastąpi zrozumienia, co wchodzi w skład bezpiecznego skryptu wtyczek , ani lepszej obrony przed głupimi wtyczkami.

Jeśli przeraża Cię myśl o niezabezpieczonych wtyczkach i motywach lub nie znasz się na PHP lub nie chcesz tego robić, usługi WordPress.com mogą być dla Ciebie bardziej przydatne, ponieważ przyjmują odpowiedzialność za sprawdzanie wtyczek i motywów oraz zezwalaj na instalowanie tylko tych witryn, które są bezpieczne. W razie potrzeby możesz nadal używać niestandardowej domeny w WordPress.com.



Utwórz kopię zapasową

Niektórzy gospodarze zapewniają takie usługi, inni nie. Tak jak nie ufam bezpieczeństwu żadnej platformy, która stoi sama, nie ufam żadnemu hostowi, który zajmie się moimi kopiami zapasowymi. Wolę raczej gromadzić kopie zapasowe w Dropbox i synchronizować je z różnymi serwerami, aby mieć pewność, że zawsze mam bezpośredni dostęp do kopii zapasowych z kopiami na kilku różnych systemach. Jeśli mój host ulegnie awarii lub zostanie wykupiony przez większą firmę lub inne nieszczęście związane z hostingiem, moje witryny są oddalone o kilka kliknięć, nawet bez ryzyka zajmowania się wsparciem mojego hosta.



Uwagi końcowe

Powinieneś przeczytać kodeks w Hardening WordPress, aby uzyskać więcej porad dotyczących bezpieczeństwa. Jeśli nie uważasz, że będziesz potrzebować wielu wtyczek lub jakichkolwiek niejasnych wtyczek w przyszłości, może być mądrzej mieć WordPress.com lub alternatywnego zarządzanego dostawcę hostingu WordPress, takiego jak Pagely, hostuj swojego bloga.

Bez względu na nową funkcję „Automatyczne aktualizacje rdzenia” WordPress, powinieneś nadal starać się ręcznie upewnić, że twoja instalacja oraz wszystkie wtyczki i motywy są aktualne. Niektórzy mogą uważać to za nadmierne, ale lubię włączyć debugowanie po aktualizacji i upewnić się, że żadne wtyczki lub motywy nie straciły kompatybilności (strumień błędów i zawiadomień o wycofaniu jest tego silnym objawem). Jeśli tak, wyłączam je, dopóki ich autorzy nie zaktualizują ich, lub sam dokonam niezbędnych zmian, aby mnie zatrzymać, dopóki nie opublikują oficjalnej aktualizacji. Pamiętaj, że powinieneś albo przełączyć swoją witrynę w tryb offline, albo uruchomić jej wersję deweloperską offline, zanim włączysz debugowanie w celu rozwiązania problemów.

Nie jestem pewien co do rozpowszechnienia praktyki bombardowania kliknięciem typu Ad-sense, ale wtyczka WordPress, która łagodzi skutki takich bomb typu kliknięcie, oferuje dodatkową warstwę bezpieczeństwa oprócz wszelkich środków ostrożności, jakie Google stosuje. Strony internetowe, na których nie działa WordPress, są narażone na to samo dokładne zagrożenie związane z bombardowaniem kliknięciami i muszą albo wdrożyć ochronę w inny sposób, albo przetrwać bez niej.


Dodatkowe zasoby

bosco
źródło
świetna, szczegółowa odpowiedź!
Czy mechanik sieci
2
Filmy z YouTube nie potrzebują wtyczki. Można je osadzić w domyślnej instalacji WP. Od dawna.
Dan Gayle
Dobry chwyt, Dan! Zedytowałem odpowiedź na to pytanie. Wróciłem też i sformatowałem swoją odpowiedź pod kątem czytelności i dodałem bezbożną liczbę połączonych zasobów, aby dostarczyć bardziej szczegółowych informacji.
bosco
Myślałem, że kiedyś była strona Kodeksu w całości poświęcona najlepszym praktykom bezpieczeństwa wtyczek, ale nie mogę teraz jej znaleźć. Naprawdę powinno być ...
bosco
1
bosco: Zazdroszczę obrazów. Mogę wrócić i sam stworzyć infografikę: p
Dan Gayle
7

Mówiąc najprościej - WordPress robi to, co robi po wyjęciu z pudełka, bez wymaganych wtyczek.

Jednak! Różni ludzie mają różne wyobrażenia o tym, co jeszcze należy zrobić. Niektóre z tych pomysłów są solidne. Niektóre są całkowicie szalone.

W szczególności na twoich przykładach:

  • WP (a ściślej obecna stabilna wersja na razie) jest bezpieczna, wiele wtyczek bezpieczeństwa koncentruje się na audycie (rzeczy takie jak kod innych wtyczek) i proaktywnym monitorowaniu (nic nie jest naprawdę absolutnie bezpieczne).

  • wiele osób (w tym ja) nie ufa stronom trzecim w zakresie obsługi kopii zapasowych. Istnieje wiele opowieści grozy o tym, jak ufanie hostom z kopią zapasową prowadziło do raczej smutnych rezultatów i chyba że możesz osobiście monitorować, uzyskiwać dostęp i weryfikować kopie zapasowe, które host [rzekomo] bezpieczniej traktuje, jakby ich nie było.

Rarst
źródło
Oto dowód tego, co może się zdarzyć, aby kopie zapasowe Twoich sprawia, że gospodarza lub nie czyni smh.com.au/technology/security/...
Brad Dalton
3

WordPress sam w sobie jest dość funkcjonalny. Jeśli Twoje potrzeby są proste lub wiesz, jak dodać niestandardową funkcjonalność, generalnie nie potrzebujesz wtyczek. Istnieją jednak zalety modelu wtyczki, które wymienię:

  • funkcjonalność modułowa, plug and play (głównie)
  • zawierają wyspecjalizowane funkcje
  • unikaj ponownego wynalezienia koła
  • skorzystaj z pracy doświadczonych autorów wtyczek

Odnosząc się do ostatniego do ostatniego punktu, jeśli istnieje pewna funkcjonalność, którą chcesz dodać, istnieje duże prawdopodobieństwo, że została już zaimplementowana w formie wtyczki. Nie jest źle korzystać z pracy, która została już wykonana.

W końcowym punkcie liczne dostępne wtyczki są wynikiem godzin pracy i doświadczenia programistów. Takie wtyczki są zwykle dobrze zbudowane i obsługiwane i mają reputację. Spójrz na Pippin Williamson, Scott Kingsley Clark i Alex King, żeby wymienić tylko kilka. Mają nie tylko umiejętności techniczne, ale i wiarygodność . Jest to ogromna zaleta niektórych wtyczek innych firm.

W przypadku kopii zapasowych niechętnie ufam hostom internetowym z czymś tak ważnym, szczególnie jeśli kopie zapasowe są przechowywane na tym samym serwerze lub w tej samej sieci. Wtyczka innej firmy lub podejście do majsterkowania zapewnia większą kontrolę, a także zwykle przechowywanie kopii zapasowych w bardzo innym miejscu niż strona internetowa.

Wtyczki bezpieczeństwa nie są absolutnie konieczne, jeśli ktoś posiada wiedzę na temat samodzielnego zarządzania ustaleniami bezpieczeństwa. Niektóre takie wtyczki, takie jak Better WP Security , upraszczają obsługę uprawnień do plików, .htaccessdyrektyw i tym podobnych. Inne, takie jak WordFence, zapewniają usługi monitorowania, natomiast próby ograniczenia logowania zapewniają pewną ochronę zaplecza witryny.

Jeśli martwisz się jakością wtyczki, może to być trafienie lub przeoczenie. Osoby na repozytorium wtyczek WordPress, jak sądzę, podlegają przynajmniej weryfikacji przez ludzi stojących za WordPress, ale jakość lub wartość jest dość zmienna - i w dużej mierze zależy od twoich potrzeb i umiejętności. Jeśli wtyczka jest dobrze sprawdzona, ma aktywne wsparcie i pochodzi od znanego autora lub zespołu, prawdopodobnie jesteś w dobrych rękach.

Grant Palin
źródło
2

Kopie zapasowe

Kopie zapasowe mogą być obsługiwane przez hosta, ale zwykle oferują one podejście „wszystko albo nic”. Jeśli korzystasz z wtyczki, możesz wykonywać cotygodniowe kopie zapasowe plików i codzienne kopie zapasowe bazy danych, uruchamiać je przed konserwacją lub ukrywać pliki kopii zapasowych na koncie SFTP / S3. Nie można tego zrobić od razu bez wtyczki.

Występ

Ponieważ Twoja troska jest wydajna (o czym świadczy odniesienie do Pagespeed), jedynym znanym mi sposobem korzystania z CDN innej firmy do hostowania twoich obrazów jest użycie wtyczki (chyba że naprawdę interesujesz się skryptami na serwerze, w w takim przypadku prawdopodobnie nie zadajesz tutaj tego pytania).

Konserwacja długoterminowa

Wszelkie funkcje, które znajdują się poza zakresem samej WP i modyfikują / zmieniają twoją treść (takie jak krótki kod) powinny znajdować się we wtyczce, ponieważ prawie na pewno pewnego dnia zmienisz motyw i nie chcesz, aby kilka uszkodzonych treści na twoim teren.

Wprowadzane przez użytkownika

W interakcje użytkownika wchodzi wiele luk w zabezpieczeniach, więc jeśli akceptujesz dane użytkownika, zdecydowanie rozważę skorzystanie z renomowanej wtyczki. Są znacznie bardziej prawdopodobne, że zostali sprawdzeni przez innych i zostali wystawieni na próbę niż niektóre ręcznie kodowane formularze, które możesz chcieć dodać.


JEDNAK

Czasami wszystko, czego potrzebujesz, znajduje się w Twoim temacie. (W SZCZEGÓLNOŚCI, jeśli kupiłeś go na Code Canyon / Envato itp., Ponieważ wydają się być wyjątkowo „funkcjonalne”).

Czasami naprawdę łatwiej jest zmodyfikować motyw, niż zajmować się wtyczką, jak dobrą częścią wtyczek „SEO”.

Dan Gayle
źródło
Znajdź przykłady bardzo pożądanej funkcjonalności, którą można uzyskać tylko za pomocą wtyczek; to zdecydowanie niektóre z głównych aspektów!
bosco
1
Nie twierdzę, że nie są profesjonalnie wykonane, niektóre są całkiem doskonałe. Mówię, że odbywa się tam wyścig zbrojeń o najbardziej „dodane” funkcje i celowo unikałem kupowania motywu, który chciałem, ponieważ po prostu miał zbyt wiele sprzecznych funkcji z witryną, którą prowadziłem. Chciałbym, aby niektóre z nich miały po prostu podstawowe szablony i arkusze stylów, bez dodatkowych elementów.
Dan Gayle
Uczciwy punkt. Zazwyczaj są one wzdęte „rysami”, które służą nie więcej niż pawie pióra ogona. Z pewnością zdecydowałem się na samodzielną konwersję szablonów HTML zamiast kupowania rozdętego odpowiednika WP w wielu przypadkach.
bosco
0

W rzeczywistości zależy to od twoich wymagań. Jeśli chcesz dodać więcej funkcji dla swojej witryny bez modyfikowania pliku motywu, na pewno potrzebujesz wtyczek.

WpMania.Net
źródło
Możesz dodać funkcje motywu w pliku funkcji motywów potomnych bez wtyczek.
Brad Dalton
Tak, motyw potomny może być rozwiązaniem, ale będzie rozwiązaniem złożonym, gdy będziesz mieć możliwość szybkiego i skutecznego rozwiązania problemu bez modyfikowania pliku motywu.
WpMania.Net,
0

Są one niezbędne, jeśli chcesz dodać system eCommerce lub w pełni dostosować motyw potomny, w przeciwnym razie musisz wykonać ogromną ilość niestandardowego kodowania dla takich rzeczy, jak eCommerce.

Inną ważną kwestią jest różnica między używaniem motywów, które zawierają ogromną liczbę opcji motywu w porównaniu z motywem, który oferuje szeroki zakres wtyczek specyficznych dla motywu.

Wyraźnie łatwiej jest dostosować WordPress, instalując wtyczki w celu dodania funkcjonalności, a nie używając motywu zawierającego ogromną liczbę wbudowanych opcji, ponieważ wtedy trzeba filtrować istniejące funkcje za pomocą kodu, a nie instalować wtyczki tylko w celu dodania funkcji, których potrzebujesz posługiwać się.

Kod we wtyczkach jest również aktualizowany, gdy nowe wersje WordPress są również w wersji Beta, a jeśli wtyczki nie zostaną zaktualizowane, możesz łatwo usunąć i zainstalować nową wtyczkę.

Brad Dalton
źródło