Я новачок у WordPress. Нещодавно я прочитав статтю про те, як хакери можуть використовувати вразливості плагінів. Різні джерела, такі як Google Pagespeed, також відмовляють мене від використання плагінів або принаймні зводять його до мінімуму. Особисто я також намагаюся уникати плагінів, тому що я більше контролюю те, що відбувається на моєму веб-сайті, і завантаження одного майже відчуває себе як «Чудово, інша річ, яку я повинен навчитися користуватися».

Я розумію, що "Рекомендації щодо плагінів" поза темою, але те, що я хочу, - це фактично пояснення того, чому / якщо деякі плагіни є важливими для WordPress.

Візьмемо для прикладу:

Безпека - кілька основних плагінів стосуються безпеки. Але чи вразливі сайти WordPress взагалі? Чому мені потрібен додатковий плагін, щоб уникнути експлуатації?

Резервне копіювання - Я новачок у світі блогів, але хіба більшість хостів не надають резервні послуги? Або мені потрібні спеціальні плагіни для цього з WordPress?

Моніторинг шахрайства при натисканні AdSense - передбачається блокувати бомби кліків, щоб уникнути вигнання з Google. Але я не розумію, чи є кілька підроблених клацань, які всі люди повинні зробити, щоб вимкнути ваш дохід, якщо ви не завантажуєте плагін?

Редагувати: Можливо, краще запитати цього в службі підтримки Google, якщо це так проігнорувати

Необхідність плагіну

У чому необхідність плагінів зводиться до питання: " Чи я впевнений, що основна функціональність WordPress - це все, що мені потрібно? "

Якщо все, що вам потрібно, це простий блог з деякими категоріями та кількістю статичних сторінок, які ви встановлюєте. Але якщо ви хочете почати інтегрувати інтерактивні карти, календарі з подіями, можливо, стороннім REST API, змушують користувачів використовувати надійні паролі або навіть перетворювати сайт у соціальну мережу, тоді вам потрібні плагіни. Відповідь Гранта Пейліна надає більш детальну інформацію про те, чому можна бажати плагіни. У відповіді Дена Гейла вказується, що багато тем забезпечують всілякі функціональні можливості плагінів без явного використання плагінів WordPress.

Основна безпека

Саме ядро ​​WordPress є значно захищеним, а основна спільнота розробників виконує респектабельну роботу з ізоляції та виправлення вразливих місць безпеки, як тільки вони будуть виявлені - одна з переваг наявності сотень мільйонів користувачів та в середньому близько 200 основних учасників за випуск . А ризик, який існував протягом тривалості між ідентифікацією вразливості та випуском її виправлення, швидко усувається за допомогою додавання автоматичних оновлень Core .

_{^{Інфографіка безпеки WordPress від Pagely ( Невелика кількість суцільної інформації - натисніть, щоб переглянути її в повному обсязі)}}

Так, WordPress має властиві вразливості безпеки . Але так само і з Drupal , CakePHP, Ruby on Rails , Symfony, Zend тощо. Не існує жодної платформи чи системи, яку я б використовував без застосування додаткових запобіжних заходів на додаток до тих, які вже передбачені платформою. Я вважаю, що просто погана ідея покладатися лише на CMS або рамки для забезпечення фронтової безпеки будь-якого веб-сайту , особливо будь-якої структури з помітними рівнями прийняття.

Безпека плагінів

Плагіни не є остаточно небезпечними. Проблема полягає в тому, що плагіни не перевіряються, щоб їх автори дотримувалися належних практик безпеки. WordPress виклав ряд стандартів, яких повинні дотримуватися автори , але багато плагінів є авторами новачків або інших, хто ігнорує стандарти. Але як з усіма існуючими базами кодів, чим більше коду ви додасте до системи, тим більша ймовірність введення помилок та вразливості . Чим більше плагінів ви додасте до своєї установки, тим більший ризик, який ви схильні брати. Тим же шляхом знайте, що теми WordPress представляють настільки ж шкідливу загрозу - зокрема, "безкоштовні теми", доступні на незрозумілих тематичних сайтах, багато з яких намагаються безпосередньо використовувати ваш сайтзамість того, щоб невинно розкривати вразливі місця безпеки через незнання чи аварії. Отримуйте теми та плагіни лише від надійних джерел та надійних авторів.

Основне правило - не встановлювати плагіни від широко відомих авторів або плагінів, які є відносно новими на сцені. Якщо можете, знайдіть час, щоб встановити авторитет автора. В ідеалі вивчіть фактори, які входять у добре захищений плагін ( числа-використані один раз [також "nonce" s) для аутентифікації запитів та URL-адрес, санітарії введення , виходу з екрана , запобігання прямого доступу до файлів плагінів , належного доступу до базу даних за допомогою методів та функцій WordPress , відсутність помилок та повідомлень про депрекацію при включенні налагодження (утримуйтесь від включення її у виробничих умовах] тощо) та перевіряйте кожен плагін, який ви встановите самостійно.Немає ніякої заміни для розуміння того, що входить у захищений сценарій плагінів , ні кращої захисту від шалених плагінів.

Якщо думка про незахищені плагіни та теми лякає вас, або ви не знайомі або прагнете ознайомитись із PHP, ви можете знайти служби WordPress.com для вашої чашки чаю, оскільки вони беруть на себе відповідальність за перевірку плагінів та тем і дозволяють встановлювати лише сайти, визначені як захищені. Ви можете все-таки використовувати користувальницький домен у WordPress.com за бажанням.

Назад

Деякі господарі надають такі послуги, інші - ні. Так само, як я не довіряю безпеці будь-якої платформи, щоб вона була власною, я не довіряю жодному хосту, який би піклувався про моє резервне копіювання. Швидше, я вважаю за краще, щоб мої резервні копії були накопичені в моєму Dropbox та синхронізовані на різних серверах, щоб я міг бути впевненим, що я завжди маю прямий доступ до своїх резервних копій із копіями в декількох різних системах. Якщо мій хост знижується або його викуповує більша компанія або якесь інше нещасливе хостинг, мої сайти за кілька кліків, навіть не ризикуючи мати справу з підтримкою мого хоста.

Заключні ноти

Ви можете прочитати запис кодексу на Загартуванні WordPress для отримання порад щодо безпеки. Якщо ви не вважаєте, що вам потрібно буде багато плагінів або будь-яких незрозумілих плагінів у майбутньому, можливо, було б розумніше мати WordPress.com або альтернативний хостинг-провайдер WordPress, наприклад, Pagely, що розміщує ваш блог.

Незалежно від нової функції "Автоматичні оновлення ядра" WordPress, ви все одно повинні прагнути вручну переконатися, що ваша установка та всі ваші плагіни та теми оновлені. Деякі можуть вважати це надмірним, але мені подобається включати налагодження після оновлення та гарантувати, що жодні плагіни чи теми не втратили сумісність (потік помилок та повідомлення про депресію є сильним симптомом цього). Якщо вони є, я відключаю їх, доки їх автори не оновлюють, або не вносять необхідні зміни, щоб перешкодити мені, поки вони не випустять офіційне оновлення. Зауважте, що вам слід або зняти веб-сайт в автономному режимі, або запустити офлайнову копію розробки свого веб-сайту, перш ніж увімкнути налагодження для усунення неполадок.

Я не впевнений у поширеності практики бомбардування кліків Ad-sense, але плагін WordPress, що пропонує пом’якшити наслідки подібних бомб, надає вам додатковий рівень безпеки на додаток до будь-яких запобіжних заходів Google. Веб-сайти, на яких не працює WordPress, стикаються з такою ж точною загрозою щодо бомбардування кліків, і або повинні впроваджувати захист іншими способами, або виживати без нього.

Додаткові ресурси

• Кодекс: написання плагіна

  ^{Функціонально орієнтоване введення в розробку плагінів з декількома порадами щодо безпеки, змішаними. Зокрема, зверніть увагу на розділ Пропозиції щодо розробки плагінів у нижній частині сторінки.}

• Codex: перевірка даних про дезіннізацію та уникнення даних користувачів

  ^{Короткий вступ до цих понять і чому вони мають значення.}

• Codex: FAQ щодо безпеки

• Довідник: Стандарти кодування PHP

  ^{Синтаксично орієнтований стандарт для PHP-коду в WordPress з декількома порадами щодо безпеки, змішаними.}

• Довідник: Стандарти документації PHP

  ^{Я б дуже хотів сказати вам, щоб ніколи не встановлювати плагін, який нехтує вбудованою документацією, але насправді навіть хороші розробники не завжди роблять це. Тим не менш, сердечна вбудована документація у комплекті з тегами PHPDoc є хорошим свідченням того, що автор має деяке уявлення про те, що вони роблять.}

• WPSE: "Які найкращі практики безпеки для плагінів та тем WordPress?"

  ^{Відповіді на це питання містять кілька додаткових моментів, які не вказані в інших ресурсах. Зауважте, що це запитання заблоковано і не оновлюватиметься для відображення нових подій.}

• WPSE: "У яких контекстах плагіни відповідають за перевірку / санітацію даних?"

  ^{Коротше кажучи, "Коли мені потрібно захистити свої дані та коли основні функції обробляють мене?"}

• WPSE: "Хто є найбільш надійними розробниками плагінів?"

  ^{Невеликий список деяких найбільш надійних і відомих імен у розробці плагінів WordPress. Безумовно, не вичерпним жодним чином, але хорошим початковим місцем для кількох швидких "впевнених ставок". Зауважте, що це запитання заблоковано і не оновлюватиметься для відображення нових подій.}

• WPSE: Як я можу встановити достовірність автора теми / плагіна? "

  ^{На основі цього самого запитання щодо необхідності плагінів, сподіваємось, це питання дасть загальний процес вибору надійних авторів теми / плагінів.}

• " Небезпека невідомості плагінів WordPress (і що з цим робити) " - Том Евер

  ^{Суцільний нетехнічний огляд щодо небезпеки плагінів.}

• " Розвивається для WordPress? Бережіть своє лайно " - Майк Джоллі

  ^{Чудовий короткий технічний огляд найкращих практик безпечної розробки плагінів. Зауважте, що інфографіка з wpredplate.com, пов’язана у статті, містить кілька додаткових корисних порад щодо безпеки WordPress в цілому, але складена досить погано та є автором розбитої англійської мови.}

• " 7 простих правил: кращі практики розробки плагінів WordPress " - WP Tuts +

  ^{Статті на Tuts +, як правило, точні та значної якості.}

• " Безпека WordPress - вирізання BS " - Тоні Перес

  Відмінний технічний огляд вразливості та запобіжних заходів щодо безпеки WordPress на основі презентації Perez's Chicago 2012 WordCamp.

Простіше кажучи - WordPress робить все, що робиться поза коробкою, без плагінів.

Однак! У різних людей різні уявлення про те, що ще слід робити. Деякі з цих ідей є здоровими. Деякі - повністю бонкери.

Зокрема на ваших прикладах:

• WP (або точніше поточна стабільна версія на даний момент) є захищеною, багато плагіни безпеки зосереджені на аудиті (такі речі, як код інших плагінів) та на активному моніторингу (нічого насправді абсолютно не захищено).

• багато людей (включаючи мене) не довіряють сторонній стороні обробляти резервні копії. Існує багато історій жахів, як довіра господарів із резервною копією призводила до досить сумних результатів, і, якщо ви не зможете особисто відстежувати, отримувати доступ та перевіряти резервні копії, які хостинг [нібито] приймає безпечніше ставитися до них так, як їх немає.

WordPress досить функціональний сам по собі. Якщо ваші потреби прості, або ви знаєте, як додати спеціальні функціональні можливості, плагіни, як правило, не потрібні. Однак у моделі плагінів є переваги, деякі з яких я перелічу:

• модульний, функціональний підключення (в основному)
• інкапсулювати спеціалізовану функціональність
• уникайте винаходи колеса
• користь від роботи досвідчених авторів плагінів

Посилаючись на другий-останній пункт, якщо є певна функціональність, яку ви хочете додати, шанси добре, що вона вже була реалізована у формі плагіна. Неправильно користуватися роботою, яка вже була зроблена.

Зрештою, численні доступні плагіни - це результат роботи та досвіду розробників. Такі плагіни, як правило, добре розроблені та підтримуються, і мають репутацію. Подивіться на Піппіна Вільямсона, Скотта Кінгслі Кларка та Алекса Кінга, щоб назвати лише кілька. Вони не тільки мають технічні навички, вони мають надійність . Це величезна користь для деяких сторонніх плагінів.

У випадку створення резервних копій я б не бажав довіряти веб-хостам щось важливе, особливо якщо резервні копії зберігаються на одному сервері або в одній мережі. Сторонній плагін або самостійний підхід забезпечує вам більше контролю, а також зазвичай зберігає резервні копії в дуже окремому місці від веб-сайту.

Плагіни безпеки не є суворо необхідними, якщо хтось має ноу-хау для керування механізмами безпеки. Деякі такі плагіни, такі як Better WP Security , спрощують обробку дозволів на файли, .htaccessдирективи тощо. Інші такі, як WordFence, надають послуги з моніторингу, в той час як Limit Спроби входу надають певний захист для бекенда сайту.

Якщо ви турбуєтесь про якість плагінів, це може бути ударом або пропуском. Тим, хто входить до WordPress плагіну РЕПО, я думаю, проходять хоча б деяку перевірку людей, які стоять за WordPress, але якість або цінність досить мінливі - і сильно залежать від ваших потреб та здібностей. Якщо плагін добре переглядається, має активну підтримку та надходить від відомого автора чи команди, ви, ймовірно, у хороших руках.

Резервні копії

Резервними копіями може опікуватися ваш господар, але вони зазвичай пропонують лише підхід "все або нічого". Якщо ви використовуєте плагін, ви можете робити щотижневі резервні копії файлів та щоденні резервні копії БД, запускати їх до будь-якого технічного обслуговування або зберігати файли резервного копіювання на рахунок SFTP / S3. Неможливо зробити це поза коробкою без плагіна.

Продуктивність

Оскільки ваше занепокоєння викликає ефективність (про що свідчить ваша посилання на Pagespeed), єдиний спосіб, яким я знаю, використовувати сторонній CDN для розміщення ваших зображень, - це використання плагіна (якщо ви справді не розробляєте сценарії на своєму сервері, у такому випадку ви, певно, не задавали б цього питання тут).

Довгострокове обслуговування

Будь-яка функціональність, яка знаходиться за межами самої WP і модифікує / змінює ваш вміст (наприклад, короткий код), має містити плагін, оскільки ви майже впевнено колись змінить свою тему, і ви не хочете купу зламаного вмісту на вашому сайт.

Введення користувача

Користувальницькі дані - це те, де багато вразливих місць безпеки, тому якщо ви приймаєте будь-які дані користувачів будь-якого типу, я б неодмінно розглядав можливість використання надійного плагіна для вирішення цього питання. Вони набагато частіше їх перевіряють інші та перевіряють, ніж деякі форми, кодовані вручну, які ви можете додати.

ЗАРАЗ

Іноді все, що вам потрібно, - у вашій темі. (ОСОБЛИВО, якщо ви купували його у кодексі Code Canyon / Envato тощо), оскільки вони здаються надзвичайно "функціональними".)

Іноді зробити мод на свою тему просто простіше, ніж мати справу з плагіном, як хороша частина плагінів "seo".

Насправді це залежить від вашої вимоги. Якщо ви хочете додати більше функціональних можливостей для свого сайту без зміни файлу теми, тоді вам неодмінно потрібні плагіни.

Вони важливі, якщо ви хочете додати систему електронної комерції або повністю налаштувати дочірню тему, інакше вам потрібно буде виконати величезну кількість спеціального кодування для таких речей, як електронна комерція.

Ще одним важливим моментом є різниця між використанням тем, які включають величезну кількість варіантів тем порівняно з темою, яка пропонує великий діапазон тематичних плагінів.

Очевидно простіше налаштувати WordPress, встановивши плагіни, щоб додати функціональність, а не використовувати тему, яка включає в себе величезну кількість вбудованих опцій, тому що тоді вам потрібно відфільтрувати існуючі функції за допомогою коду на відміну від установки плагінів лише для додавання необхідних функцій використання.

Код у плагінах також оновлюється, коли нові версії WordPress також є в бета-версії, і якщо додатки не оновлюються, ви можете легко видалити та встановити новий плагін.