Sono nuovo di WordPress. Di recente ho letto un articolo su come gli hacker possono sfruttare le vulnerabilità nei plugin. Varie fonti come Google Pagespeed mi hanno anche dissuaso dall'uso dei plugin o almeno per ridurlo al minimo. Personalmente, cerco anche di evitare i plug-in perché mi sento più in controllo di ciò che accade sul mio sito e il download di uno sembra quasi "Fantastico, un'altra cosa che devo imparare a usare".

Comprendo che i "suggerimenti dei plugin" sono fuori tema, ma quello che sto cercando in realtà è una spiegazione del perché / se alcuni plugin sono essenziali in WordPress.

Prendi questi per esempio:

Sicurezza : alcuni plugin principali hanno a che fare con la sicurezza. Ma i siti WordPress sono vulnerabili in generale? Perché ho bisogno di un plug-in aggiuntivo per evitare lo sfruttamento?

Backup : sono nuovo nel mondo dei blog, ma la maggior parte degli host non fornisce servizi di backup? O ho bisogno di plugin speciali per questo con WordPress?

Monitoraggio delle frodi tramite clic di AdSense : si suppone che blocchi le bombe a clic per evitare il bando da Google. Ma non capisco, sono pochi clic falsi che tutte le persone devono fare per chiudere le entrate a meno che non si scarichi un plug-in?

Modifica: potrebbe essere meglio chiedere questo nel supporto di Google, ignoralo se è così

Necessità del plugin

La necessità dei plug-in si riduce davvero alla domanda: " Sono soddisfatto che la funzionalità principale di WordPress sia tutto ciò di cui ho bisogno? "

Se tutto ciò che desideri è un semplice blog con alcune categorie e un numero di pagine statiche che hai impostato. Ma se vuoi iniziare a integrare mappe interattive, calendari con eventi, forse un'API REST di terze parti, forzare gli utenti a utilizzare password complesse o persino trasformare il sito in un social network, allora hai bisogno di plug-in. La risposta di Grant Palin fornisce ulteriori informazioni sul perché si potrebbero desiderare i plugin. La risposta di Dan Gayle sottolinea che molti temi offrono ogni sorta di funzionalità di plugin senza usare esplicitamente i plugin di WordPress.

Core Security

Il core di WordPress stesso è considerevolmente sicuro e la community di sviluppatori core svolge un lavoro rispettabile isolando e rattoppando le vulnerabilità di sicurezza non appena vengono identificate, uno dei vantaggi di avere centinaia di milioni di utenti e una media di circa 200 collaboratori core per versione . E il rischio che era presente per la durata tra l'identificazione di una vulnerabilità e il rilascio della sua correzione viene rapidamente eliminato con l'aggiunta di Aggiornamenti automatici principali .

_{^{Infografica sulla sicurezza di WordPress da Pagely (discreta quantità di informazioni solide - fai clic per visualizzarla nella sua interezza)}}

Sì, WordPress ha vulnerabilità di sicurezza intrinseche . Ma anche Drupal , CakePHP, Ruby on Rails , Symfony, Zend, ecc ... Non esiste una piattaforma o un sistema che utilizzerei senza implementare ulteriori precauzioni di sicurezza oltre a quelle già fornite dalla piattaforma. Penso che sia semplicemente una cattiva idea fare affidamento sul CMS o sul framework da solo per la sicurezza in prima linea di qualsiasi sito Web , in particolare qualsiasi framework con notevoli tassi di adozione.

Sicurezza dei plugin

I plugin non sono definitivamente insicuri. Il problema è che i plug-in non vengono controllati per garantire che i loro autori abbiano seguito le buone pratiche di sicurezza. WordPress ha stabilito una serie di standard che gli autori dovrebbero seguire, ma molti plugin sono creati da principianti o altri che ignorano gli standard. Ma come per tutte le basi di codice esistenti, più codice aggiungi a un sistema, maggiore è la probabilità di introdurre bug e vulnerabilità . Più plugin aggiungi alla tua installazione, maggiore è il rischio che tendi a correre. Allo stesso modo, sappi che i temi di WordPress rappresentano una minaccia ugualmente dannosa, in particolare la serie di "temi gratuiti" disponibili da siti a tema oscuri, molti dei quali tentano di sfruttare direttamente il tuo sitopiuttosto che esporre innocentemente le vulnerabilità della sicurezza attraverso l'ignoranza o l'incidente. Ottieni temi e plugin solo da fonti attendibili e autori credibili.

Una regola empirica è di non installare plugin di autori o sconosciuti ampiamente sconosciuti che sono relativamente nuovi sulla scena. Se puoi, prenditi il ​​tempo necessario per stabilire la credibilità dell'autore. Idealmente, impara i fattori che entrano in un plugin ben protetto ( numeri usati una volta [aka "nonce" s) per l'autenticazione di richiesta e URL, sanificazione dell'input , escape dell'output , prevenzione dell'accesso diretto ai file del plugin , accesso corretto al database attraverso i metodi e le funzioni di WordPress , l'assenza di errori e avvisi di deprecazione quando il debug è abilitato [astenersi dall'abilitarlo negli ambienti di produzione], ecc.) e controllare ogni plugin installato dall'utente.Non vi è alcun sostituto per comprendere ciò che accade nello script di plugin sicuro , né alcuna migliore difesa dai plugin scadenti.

Se il pensiero di plugin e temi non sicuri ti spaventa o non hai familiarità o non stai cercando di familiarizzare con PHP, potresti trovare i servizi di WordPress.com più la tua tazza di tè in quanto si assumono la responsabilità di esaminare plugin e temi e consentire l'installazione di quelli determinati determinati per essere sicuri sui siti degli utenti. Se lo desideri, puoi comunque utilizzare un dominio personalizzato con WordPress.com.

Eseguire il backup

Alcuni host forniscono tali servizi, altri no. Proprio come non mi fido della sicurezza di una piattaforma indipendente, non mi fido di nessun host che si occupi dei miei backup. Preferisco piuttosto che i miei backup si accumulino nel mio Dropbox e si sincronizzino con server diversi in modo da poter essere sicuro di avere sempre accesso diretto ai miei backup con copie su diversi sistemi. Se il mio host fallisce o viene acquistato da una società più grande o da qualche altra sventura di hosting, i miei siti sono a pochi clic di distanza senza il rischio di dover gestire il supporto del mio host.

Note finali

Dovresti leggere la voce del codice su Hardening WordPress per ulteriori consigli sulla sicurezza. Se in futuro non dovresti aver bisogno di molti plugin o plugin oscuri, potrebbe essere più saggio avere WordPress.com o un provider di hosting WordPress gestito alternativo come Pagely che ospita il tuo blog.

Indipendentemente dalla nuova funzione "Aggiornamenti automatici del core" di WordPress, dovresti comunque cercare di assicurarti che l'installazione e tutti i plugin e i temi siano aggiornati. Alcuni potrebbero ritenerlo eccessivo, ma mi piace abilitare il debug dopo un aggiornamento e garantire che nessun plug-in o tema abbia perso la compatibilità (un flusso di errori e avvisi di deprecazione ne è un sintomo forte). In tal caso, li disabilito fino a quando i loro autori non li aggiornano o apporto personalmente le modifiche necessarie per trattenermi fino a quando non rilasciano un aggiornamento ufficiale. Si noti che è necessario portare offline il sito Web o eseguire una copia di sviluppo offline del sito Web prima di abilitare il debug per risolvere qualsiasi problema.

Non sono sicuro della prevalenza della pratica del bombardamento dei clic Ad-sense, ma un plug-in WordPress che offre di mitigare gli effetti di tali bombe-clic ti offre un ulteriore livello di sicurezza in aggiunta a qualsiasi precauzione adottata da Google. I siti Web che non eseguono WordPress affrontano la stessa esatta minaccia di bombardamento a clic e devono implementare la protezione con altri mezzi o sopravvivere senza di essa.

Risorse addizionali

• Codice: scrivere un plugin

  ^{Un'introduzione funzionale alla creazione di plug-in con alcuni suggerimenti di sicurezza mescolati. In particolare, presta attenzione alla sezione Suggerimenti per lo sviluppo di plugin nella parte inferiore della pagina.}

• Codice: convalida della sanificazione e dell'escape dei dati utente

  ^{Una breve introduzione a questi concetti e perché sono importanti.}

• Codice: FAQ sulla sicurezza

• Manuale: standard di codifica PHP

  ^{Uno standard sintatticamente focalizzato per il codice PHP in WordPress con alcuni suggerimenti di sicurezza mescolati.}

• Manuale: Standard di documentazione in linea PHP

  ^{Mi piacerebbe assolutamente dirti di non installare mai un plugin che trascuri la documentazione in linea, ma in realtà anche i bravi sviluppatori non lo fanno sempre. Tuttavia, una ricca documentazione in linea completa di tag PHPDoc è una buona indicazione del fatto che l'autore abbia qualche idea di cosa stiano facendo.}

• WPSE: "Quali sono le migliori pratiche di sicurezza per i plugin e i temi di WordPress?"

  ^{Le risposte a questa domanda forniscono alcuni punti aggiuntivi che non sono elencati in altre risorse. Si noti che questa domanda è bloccata e non verrà aggiornato per riflettere i nuovi sviluppi.}

• WPSE: "In quali contesti i plugin sono responsabili della convalida / sanificazione dei dati?"

  ^{In breve, "Quando devo proteggere i miei dati e quando le funzioni principali li gestiscono per me?"}

• WPSE: "Chi sono gli sviluppatori di plugin più affidabili?"

  ^{Un piccolo elenco di alcuni dei nomi più affidabili e rinomati nello sviluppo dei plugin di WordPress. Certamente non esaustivo in alcun modo, ma un buon punto di partenza per alcune veloci "scommesse sicure". Si noti che questa domanda è bloccata e non verrà aggiornato per riflettere i nuovi sviluppi.}

• WPSE: Come posso stabilire la credibilità di un autore di temi / plugin? "

  ^{Creato sulla base di questa stessa domanda relativa alla necessità dei plugin, si spera che questa domanda produca un processo generale per la selezione di autori tematici / plugin affidabili.}

• " I pericoli dei plugin WordPress per ignoranza (e cosa fare al riguardo) " - Tom Ewer

  ^{Una solida panoramica non tecnica relativa ai pericoli dei plugin.}

• " Sviluppare per WordPress? Proteggi la tua merda " - Mike Jolley

  ^{Un'eccellente breve panoramica tecnica delle migliori pratiche per lo sviluppo di plugin sicuri. Si noti che l'infografica di wptemplate.com collegata nell'articolo contiene alcuni buoni suggerimenti aggiuntivi per la sicurezza di WordPress nel suo insieme, ma è compilata in modo piuttosto scadente e scritta in inglese non funzionante.}

• " 7 semplici regole: best practice per lo sviluppo di plugin per WordPress " - WP Tuts +

  ^{Gli articoli su Tuts + sono in genere accurati e di notevole qualità.}

• " WordPress Security - Cutting Through The BS " - Tony Perez

  Un'eccellente panoramica tecnica delle vulnerabilità e delle precauzioni di sicurezza di WordPress basate sulla presentazione WordCamp di Chicago 2012 di Perez.

In poche parole: WordPress fa ciò che fa immediatamente, senza plug-in richiesti.

Tuttavia! Diverse persone hanno idee diverse su cos'altro dovrebbe fare. Alcune di queste idee sono valide. Alcuni sono completamente fuori di testa.

In particolare sui tuoi esempi:

• Il WP (o più precisamente l'attuale versione stabile di esso per il momento) è sicuro, molti plug-in di sicurezza si concentrano sull'auditing (cose come il codice di altri plug-in) e sul monitoraggio proattivo (nulla è veramente assolutamente sicuro).

• molte persone (me incluso) non si fidano di terze parti per gestire i backup. Ci sono molte storie dell'orrore su come fidarsi degli host con il backup abbia portato a risultati piuttosto tristi e, a meno che tu non possa monitorare, accedere e verificare personalmente i backup che l'host sta presumibilmente prendendo, è più sicuro trattarli come se non esistessero.

WordPress è abbastanza funzionale da solo. Se le tue esigenze sono chiare o sai come aggiungere funzionalità personalizzate, in genere non è necessario alcun plug-in. Tuttavia, ci sono vantaggi per il modello di plug-in, alcuni dei quali enumererò:

• funzionalità modulare, plug and play (principalmente)
• incapsulare funzionalità specializzate
• evitare di reinventare la ruota
• beneficiare del lavoro di autori esperti di plugin

Facendo riferimento al penultimo punto, se ci sono alcune funzionalità che si desidera aggiungere, le probabilità sono buone che sia già stato implementato in forma di plugin. Non è sbagliato beneficiare del lavoro che è già stato svolto.

Come punto finale, numerosi plugin disponibili sono il risultato delle ore e dell'esperienza degli sviluppatori. Tali plugin tendono ad essere ben costruiti e supportati e hanno la reputazione di andare avanti. Guarda Pipino Williamson, Scott Kingsley Clark e Alex King, solo per citarne alcuni. Non hanno solo competenze tecniche, hanno credibilità . Questo è un enorme vantaggio di alcuni plugin di terze parti.

Nel caso dei backup, sarei riluttante a fidarmi degli host web con qualcosa di così importante, specialmente se i backup sono mantenuti sullo stesso server o all'interno della stessa rete. Un plug-in di terze parti o un approccio fai-da-te offrono un maggiore controllo, oltre a archiviare i backup in una posizione molto separata dal sito Web.

I plug-in di sicurezza non sono strettamente necessari, se si possiede il know-how per gestire autonomamente le disposizioni di sicurezza. Alcuni di questi plug-in, come Better WP Security , semplificano la gestione delle autorizzazioni dei file, delle .htaccessdirettive e simili. Altri come WordFence forniscono servizi di monitoraggio, mentre i tentativi di accesso limitati offrono una certa protezione per il backend del sito.

Se sei preoccupato per la qualità dei plug-in, può trattarsi di un affare a caso. Quelli sul repository di plugin di WordPress penso che subiscano almeno un po 'di controllo da parte delle persone dietro WordPress, ma la qualità o il valore sono abbastanza variabili e dipendono fortemente dalle tue esigenze e capacità. Se un plug-in è ben recensito, ha un supporto attivo e proviene da un noto autore o team, probabilmente sei in buone mani.

I backup

I backup possono essere gestiti dall'host, ma di solito offrono solo un approccio "tutto o niente". Se si utilizza un plug-in, è possibile eseguire backup settimanali di file e backup DB giornalieri, eseguirli prima di eseguire qualsiasi manutenzione o archiviare i file di backup su un account SFTP / S3. Non è possibile farlo senza un plug-in.

Prestazione

Poiché la tua preoccupazione è in termini di prestazioni (come evidenziato dal riferimento di Pagespeed), l'unico modo che conosco per utilizzare un CDN di terze parti per l'hosting delle immagini è utilizzare un plug-in (a meno che non ti piaccia davvero lo scripting sul tuo server, in quale caso probabilmente non faresti questa domanda qui).

Manutenzione a lungo termine

Qualsiasi funzionalità che risiede al di fuori dell'ambito del WP stesso e modifica / modifica i tuoi contenuti (come uno shortcode) dovrebbe risiedere in un plug-in, perché un giorno cambierai quasi sicuramente il tuo tema e non vorrai un sacco di contenuti rotti sul tuo luogo.

Input dell'utente

L'input dell'utente è il punto in cui arrivano molte vulnerabilità di sicurezza, quindi se stai accettando dati utente di qualsiasi tipo, prenderei sicuramente in considerazione l'uso di un plugin affidabile per gestirlo. È molto più probabile che siano stati controllati da altri e messi alla prova rispetto ad alcuni moduli codificati a mano che potresti voler aggiungere.

TUTTAVIA

A volte tutto ciò di cui hai bisogno è nel tuo tema. (Soprattutto se lo hai acquistato su Code Canyon / Envato, ecc., Dal momento che sembrano essere estremamente "guidati".)

A volte, è davvero più semplice apportare una mod al tuo tema piuttosto che gestire un plugin, come una buona parte dei plugin "seo".

In realtà dipende dalle tue esigenze. Se vuoi aggiungere più funzionalità per il tuo sito senza modificare il file del tema, allora sicuramente hai bisogno di plugin.

Sono essenziali se si desidera aggiungere un sistema di eCommerce o personalizzare completamente un tema figlio, altrimenti è necessario completare un'enorme quantità di codice personalizzato per cose come l'eCommerce.

Un altro punto importante è la differenza tra l'utilizzo di temi che includono un'enorme quantità di opzioni di temi rispetto a un tema che offre una vasta gamma di plugin specifici per tema.

È chiaramente più facile personalizzare WordPress installando plug-in per aggiungere funzionalità anziché utilizzare un tema che include un'enorme quantità di opzioni integrate perché è quindi necessario filtrare le funzioni esistenti utilizzando il codice anziché installare plug-in solo per aggiungere le funzioni necessarie uso.

Il codice nei plug-in viene aggiornato anche quando anche le nuove versioni di WordPress sono in Beta e se i plug-in non vengono aggiornati, è possibile eliminare e installare facilmente un nuovo plug-in.