Jestem nowy w WordPress. Niedawno przeczytałem artykuł o tym, jak hakerzy mogą wykorzystać luki we wtyczkach. Różne źródła, takie jak Google Pagespeed, również odradzają mi korzystanie z wtyczek lub przynajmniej ograniczają je do minimum. Osobiście staram się również unikać wtyczek, ponieważ mam większą kontrolę nad tym, co dzieje się na mojej stronie, a pobranie jednego z nich wydaje się prawie „Świetne, kolejna rzecz, której muszę nauczyć się używać”.

Rozumiem, że „Zalecenia dotyczące wtyczek” są nie na temat, ale w rzeczywistości szukam wyjaśnienia, dlaczego / jeśli niektóre wtyczki są niezbędne w WordPress.

Weźmy na przykład:

Bezpieczeństwo - kilka najlepszych wtyczek ma związek z bezpieczeństwem. Ale czy witryny WordPress są ogólnie wrażliwe? Dlaczego potrzebuję dodatkowej wtyczki, aby uniknąć wykorzystania?

Kopia zapasowa - jestem nowy w świecie blogów, ale czy większość hostów nie zapewnia usług tworzenia kopii zapasowych? A może potrzebuję specjalnych wtyczek do WordPress?

Monitorowanie oszustw związanych z kliknięciami AdSense - ma blokować bomby klikające, aby uniknąć wyrzucenia z Google. Ale nie rozumiem, czy jest kilka fałszywych kliknięć, które wszyscy ludzie muszą zrobić, aby zamknąć twoje dochody, chyba że pobierzesz wtyczkę?

Edycja: Lepiej zapytać o to w dziale pomocy Google, zignoruj ​​to, jeśli tak

Konieczność wtyczki

Potrzeba wtyczek naprawdę sprowadza się do pytania: „ Czy jestem zadowolony, że podstawowa funkcjonalność WordPressa jest wszystkim, czego potrzebuję? ”

Jeśli wszystko, czego potrzebujesz, to prosty blog z niektórymi kategoriami i pewnymi ustawionymi stronami. Ale jeśli chcesz rozpocząć integrację interaktywnych map, kalendarzy ze zdarzeniami, być może zewnętrznego interfejsu API REST, zmusić użytkowników do używania silnych haseł lub nawet przekształcić witrynę w sieć społecznościową, potrzebujesz wtyczek. Odpowiedź Granta Palina zapewnia lepszy wgląd w to, dlaczego ktoś może chcieć wtyczek. Odpowiedź Dana Gayle'a wskazuje, że wiele motywów zapewnia wszelkiego rodzaju funkcje wtyczek bez jawnego używania wtyczek WordPress.

Podstawowe bezpieczeństwo

Sam rdzeń WordPress jest w znacznym stopniu bezpieczny, a główna społeczność programistów wykonuje przyzwoitą pracę izolując i usuwając luki w zabezpieczeniach, gdy tylko zostaną zidentyfikowane - jedna z korzyści posiadania setek milionów użytkowników i średnio około 200 głównych autorów na wydanie . Ryzyko, które występowało przez okres między identyfikacją podatności a wydaniem poprawki, jest szybko eliminowane dzięki dodaniu automatycznych aktualizacji rdzenia .

_{^{Infografika bezpieczeństwa WordPress od Pagely ( Dobra ilość solidnych informacji - kliknij, aby zobaczyć w całości)}}

Tak, WordPress ma nieodłączne luki w zabezpieczeniach . Ale tak samo jak Drupal , CakePHP, Ruby on Rails , Symfony, Zend itp. Nie ma platformy ani systemu, z których korzystałbym bez wprowadzenia dodatkowych środków bezpieczeństwa oprócz tych, które platforma już zapewnia. Myślę, że po prostu złym pomysłem jest poleganie na samym systemie CMS lub frameworku w celu zapewnienia bezpieczeństwa na pierwszej stronie każdej strony internetowej , szczególnie każdej frameworka o znacznych wskaźnikach adopcji.

Bezpieczeństwo wtyczek

Wtyczki nie są ostatecznie niepewne. Problem polega na tym, że wtyczki nie są sprawdzane, aby upewnić się, że ich autorzy przestrzegali dobrych praktyk bezpieczeństwa. WordPress określił szereg standardów, których autorzy powinni przestrzegać, ale wiele wtyczek jest pisanych przez nowicjuszy lub innych, którzy ignorują te standardy. Ale tak jak w przypadku wszystkich istniejących baz kodu, im więcej kodu dodasz do systemu, tym większe prawdopodobieństwo wprowadzenia błędów i luk w zabezpieczeniach . Im więcej wtyczek dodasz do instalacji, tym większe ryzyko, które podejmujesz. W ten sam sposób wiedz, że motywy WordPress stanowią równie złośliwe zagrożenie - szczególnie mnóstwo „darmowych motywów” dostępnych z nieznanych stron tematycznych, z których wiele próbuje bezpośrednio wykorzystać Twoją stronęzamiast w niewinny sposób ujawniać luki w zabezpieczeniach poprzez ignorancję lub wypadek. Zdobywaj tylko motywy i wtyczki z zaufanych źródeł i wiarygodnych autorów.

Zasadą jest, aby nie instalować wtyczek od nieznanych autorów lub wtyczek, które są stosunkowo nowe na scenie. Jeśli możesz, poświęć trochę czasu na ustalenie wiarygodności autora. Najlepiej poznaj czynniki, które wpływają na dobrze zabezpieczoną wtyczkę ( numery używane raz [aka "nonce") do uwierzytelniania żądań i adresów URL, dezynfekcji danych wejściowych , ucieczki danych wyjściowych , zapobiegania bezpośredniemu dostępowi do plików wtyczek , właściwego dostępu do baza danych za pomocą metod i funkcji WordPress , brak błędów i powiadomień o wycofaniu po włączeniu debugowania [powstrzymaj się od włączania go w środowiskach produkcyjnych] itp.) i sprawdź każdą zainstalowaną wtyczkę.Nic nie zastąpi zrozumienia, co wchodzi w skład bezpiecznego skryptu wtyczek , ani lepszej obrony przed głupimi wtyczkami.

Jeśli przeraża Cię myśl o niezabezpieczonych wtyczkach i motywach lub nie znasz się na PHP lub nie chcesz tego robić, usługi WordPress.com mogą być dla Ciebie bardziej przydatne, ponieważ przyjmują odpowiedzialność za sprawdzanie wtyczek i motywów oraz zezwalaj na instalowanie tylko tych witryn, które są bezpieczne. W razie potrzeby możesz nadal używać niestandardowej domeny w WordPress.com.

Utwórz kopię zapasową

Niektórzy gospodarze zapewniają takie usługi, inni nie. Tak jak nie ufam bezpieczeństwu żadnej platformy, która stoi sama, nie ufam żadnemu hostowi, który zajmie się moimi kopiami zapasowymi. Wolę raczej gromadzić kopie zapasowe w Dropbox i synchronizować je z różnymi serwerami, aby mieć pewność, że zawsze mam bezpośredni dostęp do kopii zapasowych z kopiami na kilku różnych systemach. Jeśli mój host ulegnie awarii lub zostanie wykupiony przez większą firmę lub inne nieszczęście związane z hostingiem, moje witryny są oddalone o kilka kliknięć, nawet bez ryzyka zajmowania się wsparciem mojego hosta.

Uwagi końcowe

Powinieneś przeczytać kodeks w Hardening WordPress, aby uzyskać więcej porad dotyczących bezpieczeństwa. Jeśli nie uważasz, że będziesz potrzebować wielu wtyczek lub jakichkolwiek niejasnych wtyczek w przyszłości, może być mądrzej mieć WordPress.com lub alternatywnego zarządzanego dostawcę hostingu WordPress, takiego jak Pagely, hostuj swojego bloga.

Bez względu na nową funkcję „Automatyczne aktualizacje rdzenia” WordPress, powinieneś nadal starać się ręcznie upewnić, że twoja instalacja oraz wszystkie wtyczki i motywy są aktualne. Niektórzy mogą uważać to za nadmierne, ale lubię włączyć debugowanie po aktualizacji i upewnić się, że żadne wtyczki lub motywy nie straciły kompatybilności (strumień błędów i zawiadomień o wycofaniu jest tego silnym objawem). Jeśli tak, wyłączam je, dopóki ich autorzy nie zaktualizują ich, lub sam dokonam niezbędnych zmian, aby mnie zatrzymać, dopóki nie opublikują oficjalnej aktualizacji. Pamiętaj, że powinieneś albo przełączyć swoją witrynę w tryb offline, albo uruchomić jej wersję deweloperską offline, zanim włączysz debugowanie w celu rozwiązania problemów.

Nie jestem pewien co do rozpowszechnienia praktyki bombardowania kliknięciem typu Ad-sense, ale wtyczka WordPress, która łagodzi skutki takich bomb typu kliknięcie, oferuje dodatkową warstwę bezpieczeństwa oprócz wszelkich środków ostrożności, jakie Google stosuje. Strony internetowe, na których nie działa WordPress, są narażone na to samo dokładne zagrożenie związane z bombardowaniem kliknięciami i muszą albo wdrożyć ochronę w inny sposób, albo przetrwać bez niej.

Dodatkowe zasoby

• Kodeks: Pisanie wtyczki

  ^{Funkcjonalnie ukierunkowane wprowadzenie do tworzenia wtyczek z kilkoma wskazówkami bezpieczeństwa. W szczególności zwróć uwagę na sekcję Sugestie dotyczące rozwoju wtyczek u dołu strony.}

• Codex: Walidacja dezynfekcji i usuwania danych użytkownika

  ^{Krótkie wprowadzenie do tych pojęć i ich znaczenie.}

• Codex: FAQ bezpieczeństwa

• Podręcznik: Standardy kodowania PHP

  ^{Zorientowany syntaktycznie standard kodu PHP w WordPress z kilkoma wskazówkami bezpieczeństwa.}

• Podręcznik: Standardy dokumentacji PHP Inline

  ^{Absolutnie chciałbym powiedzieć, abyś nigdy nie instalował wtyczki, która zaniedbuje wbudowaną dokumentację, ale w rzeczywistości nawet dobrzy programiści nie zawsze to robią. Niemniej jednak obszerna dokumentacja online wraz ze znacznikami PHPDoc dobrze wskazuje, że autor ma pojęcie o tym, co robi.}

• WPSE: „Jakie są najlepsze praktyki bezpieczeństwa dotyczące wtyczek i motywów WordPress?”

  ^{Odpowiedzi na to pytanie zawierają kilka dodatkowych punktów, które nie zostały wymienione w innych zasobach. Pamiętaj, że to pytanie jest zablokowane i nie będzie aktualizowane w celu odzwierciedlenia nowych osiągnięć.}

• WPSE: „W których kontekstach wtyczki są odpowiedzialne za sprawdzanie poprawności / dezynfekcję danych?”

  ^{W skrócie: „Kiedy muszę zabezpieczyć swoje dane i kiedy obsługują je podstawowe funkcje?”}

• WPSE: „Kim są najbardziej zaufani twórcy wtyczek?”

  ^{Mała lista najbardziej zaufanych i renomowanych nazw w rozwoju wtyczek WordPress. Z pewnością nie wyczerpujące pod żadnym względem, ale dobre miejsce do rozpoczęcia kilku szybkich „pewnych zakładów”. Pamiętaj, że to pytanie jest zablokowane i nie będzie aktualizowane w celu odzwierciedlenia nowych osiągnięć.}

• WPSE: Jak mogę ustalić wiarygodność autora motywu / wtyczki? ”

  ^{Opracowane w oparciu o to pytanie dotyczące konieczności wtyczek, mam nadzieję, że to pytanie przyniesie ogólny proces wyboru wiarygodnych autorów motywów / wtyczek.}

• „ Niebezpieczeństwa związane z ignorancją wtyczek WordPress (i co z tym zrobić) ” - Tom Ewer

  ^{Solidny nietechniczny przegląd zagrożeń związanych z wtyczkami.}

• „ Tworzysz dla WordPress? Chroń swoje gówno ” - Mike Jolley

  ^{Doskonały krótki przegląd techniczny najlepszych praktyk w zakresie bezpiecznego opracowywania wtyczek. Zauważ, że infografika z wptemplate.com, do której link znajduje się w artykule, zawiera kilka dodatkowych dobrych wskazówek dotyczących bezpieczeństwa WordPress jako całości, ale jest raczej słabo skompilowana i napisana w łamanym języku angielskim.}

• „ 7 prostych zasad: najlepsze praktyki tworzenia wtyczek WordPress ” - WP Tuts +

  ^{Artykuły na Tuts + są zazwyczaj dokładne i znacznej jakości.}

• „ WordPress Security - Cutting Through the BS ” - Tony Perez

  Doskonały przegląd techniczny luk w zabezpieczeniach WordPress i środków ostrożności w oparciu o prezentację Perez w Chicago 2012 WordCamp.

Mówiąc najprościej - WordPress robi to, co robi po wyjęciu z pudełka, bez wymaganych wtyczek.

Jednak! Różni ludzie mają różne wyobrażenia o tym, co jeszcze należy zrobić. Niektóre z tych pomysłów są solidne. Niektóre są całkowicie szalone.

W szczególności na twoich przykładach:

• WP (a ściślej obecna stabilna wersja na razie) jest bezpieczna, wiele wtyczek bezpieczeństwa koncentruje się na audycie (rzeczy takie jak kod innych wtyczek) i proaktywnym monitorowaniu (nic nie jest naprawdę absolutnie bezpieczne).

• wiele osób (w tym ja) nie ufa stronom trzecim w zakresie obsługi kopii zapasowych. Istnieje wiele opowieści grozy o tym, jak ufanie hostom z kopią zapasową prowadziło do raczej smutnych rezultatów i chyba że możesz osobiście monitorować, uzyskiwać dostęp i weryfikować kopie zapasowe, które host [rzekomo] bezpieczniej traktuje, jakby ich nie było.

WordPress sam w sobie jest dość funkcjonalny. Jeśli Twoje potrzeby są proste lub wiesz, jak dodać niestandardową funkcjonalność, generalnie nie potrzebujesz wtyczek. Istnieją jednak zalety modelu wtyczki, które wymienię:

• funkcjonalność modułowa, plug and play (głównie)
• zawierają wyspecjalizowane funkcje
• unikaj ponownego wynalezienia koła
• skorzystaj z pracy doświadczonych autorów wtyczek

Odnosząc się do ostatniego do ostatniego punktu, jeśli istnieje pewna funkcjonalność, którą chcesz dodać, istnieje duże prawdopodobieństwo, że została już zaimplementowana w formie wtyczki. Nie jest źle korzystać z pracy, która została już wykonana.

W końcowym punkcie liczne dostępne wtyczki są wynikiem godzin pracy i doświadczenia programistów. Takie wtyczki są zwykle dobrze zbudowane i obsługiwane i mają reputację. Spójrz na Pippin Williamson, Scott Kingsley Clark i Alex King, żeby wymienić tylko kilka. Mają nie tylko umiejętności techniczne, ale i wiarygodność . Jest to ogromna zaleta niektórych wtyczek innych firm.

W przypadku kopii zapasowych niechętnie ufam hostom internetowym z czymś tak ważnym, szczególnie jeśli kopie zapasowe są przechowywane na tym samym serwerze lub w tej samej sieci. Wtyczka innej firmy lub podejście do majsterkowania zapewnia większą kontrolę, a także zwykle przechowywanie kopii zapasowych w bardzo innym miejscu niż strona internetowa.

Wtyczki bezpieczeństwa nie są absolutnie konieczne, jeśli ktoś posiada wiedzę na temat samodzielnego zarządzania ustaleniami bezpieczeństwa. Niektóre takie wtyczki, takie jak Better WP Security , upraszczają obsługę uprawnień do plików, .htaccessdyrektyw i tym podobnych. Inne, takie jak WordFence, zapewniają usługi monitorowania, natomiast próby ograniczenia logowania zapewniają pewną ochronę zaplecza witryny.

Jeśli martwisz się jakością wtyczki, może to być trafienie lub przeoczenie. Osoby na repozytorium wtyczek WordPress, jak sądzę, podlegają przynajmniej weryfikacji przez ludzi stojących za WordPress, ale jakość lub wartość jest dość zmienna - i w dużej mierze zależy od twoich potrzeb i umiejętności. Jeśli wtyczka jest dobrze sprawdzona, ma aktywne wsparcie i pochodzi od znanego autora lub zespołu, prawdopodobnie jesteś w dobrych rękach.

Kopie zapasowe

Kopie zapasowe mogą być obsługiwane przez hosta, ale zwykle oferują one podejście „wszystko albo nic”. Jeśli korzystasz z wtyczki, możesz wykonywać cotygodniowe kopie zapasowe plików i codzienne kopie zapasowe bazy danych, uruchamiać je przed konserwacją lub ukrywać pliki kopii zapasowych na koncie SFTP / S3. Nie można tego zrobić od razu bez wtyczki.

Występ

Ponieważ Twoja troska jest wydajna (o czym świadczy odniesienie do Pagespeed), jedynym znanym mi sposobem korzystania z CDN innej firmy do hostowania twoich obrazów jest użycie wtyczki (chyba że naprawdę interesujesz się skryptami na serwerze, w w takim przypadku prawdopodobnie nie zadajesz tutaj tego pytania).

Konserwacja długoterminowa

Wszelkie funkcje, które znajdują się poza zakresem samej WP i modyfikują / zmieniają twoją treść (takie jak krótki kod) powinny znajdować się we wtyczce, ponieważ prawie na pewno pewnego dnia zmienisz motyw i nie chcesz, aby kilka uszkodzonych treści na twoim teren.

Wprowadzane przez użytkownika

W interakcje użytkownika wchodzi wiele luk w zabezpieczeniach, więc jeśli akceptujesz dane użytkownika, zdecydowanie rozważę skorzystanie z renomowanej wtyczki. Są znacznie bardziej prawdopodobne, że zostali sprawdzeni przez innych i zostali wystawieni na próbę niż niektóre ręcznie kodowane formularze, które możesz chcieć dodać.

JEDNAK

Czasami wszystko, czego potrzebujesz, znajduje się w Twoim temacie. (W SZCZEGÓLNOŚCI, jeśli kupiłeś go na Code Canyon / Envato itp., Ponieważ wydają się być wyjątkowo „funkcjonalne”).

Czasami naprawdę łatwiej jest zmodyfikować motyw, niż zajmować się wtyczką, jak dobrą częścią wtyczek „SEO”.

W rzeczywistości zależy to od twoich wymagań. Jeśli chcesz dodać więcej funkcji dla swojej witryny bez modyfikowania pliku motywu, na pewno potrzebujesz wtyczek.

Są one niezbędne, jeśli chcesz dodać system eCommerce lub w pełni dostosować motyw potomny, w przeciwnym razie musisz wykonać ogromną ilość niestandardowego kodowania dla takich rzeczy, jak eCommerce.

Inną ważną kwestią jest różnica między używaniem motywów, które zawierają ogromną liczbę opcji motywu w porównaniu z motywem, który oferuje szeroki zakres wtyczek specyficznych dla motywu.

Wyraźnie łatwiej jest dostosować WordPress, instalując wtyczki w celu dodania funkcjonalności, a nie używając motywu zawierającego ogromną liczbę wbudowanych opcji, ponieważ wtedy trzeba filtrować istniejące funkcje za pomocą kodu, a nie instalować wtyczki tylko w celu dodania funkcji, których potrzebujesz posługiwać się.

Kod we wtyczkach jest również aktualizowany, gdy nowe wersje WordPress są również w wersji Beta, a jeśli wtyczki nie zostaną zaktualizowane, możesz łatwo usunąć i zainstalować nową wtyczkę.