Ich bin neu in WordPress. Ich habe kürzlich einen Artikel darüber gelesen, wie Hacker Schwachstellen in Plugins ausnutzen können. Verschiedene Quellen wie Google Pagespeed haben mich auch davon abgehalten, Plugins zu verwenden oder zumindest auf ein Minimum zu beschränken. Ich persönlich versuche auch, Plugins zu meiden, weil ich mehr Kontrolle darüber habe, was auf meiner Website passiert, und wenn ich eines herunterlade, fühlt es sich fast so an, als wäre es großartig.

Ich verstehe, dass die 'Plugins-Empfehlung' nicht zum Thema gehört, aber ich möchte erklären, warum / ob einige Plugins in WordPress unverzichtbar sind.

Nehmen Sie diese zum Beispiel:

Sicherheit - Ein paar Top-Plugins haben mit Sicherheit zu tun. Aber sind WordPress-Sites im Allgemeinen anfällig? Warum brauche ich ein zusätzliches Plugin, um eine Ausbeutung zu vermeiden?

Back Up - Ich bin neu in der Blogging - Welt, aber nicht die meisten Wirte bieten Backup - Dienste? Oder brauche ich dafür spezielle Plugins bei WordPress?

AdSense- Klickbetrugsüberwachung - Dient zum Blockieren von Klickbomben, um eine Verbannung durch Google zu vermeiden. Aber ich verstehe nicht, gibt es ein paar gefälschte Klicks, die alle Leute machen müssen, um Ihre Einnahmen abzuschalten, es sei denn, Sie laden ein Plugin herunter?

Bearbeiten: Könnte besser sein, dies im Google-Support zu erfragen, ignorieren Sie es, wenn dies der Fall ist

Plugin-Notwendigkeit

Worauf die Notwendigkeit von Plugins wirklich hinausläuft, ist die Frage: " Bin ich zufrieden, dass die Kernfunktionalität von WordPress alles ist, was ich brauche? "

Wenn Sie nur ein einfaches Blog mit einigen Kategorien und einer Reihe von statischen Seiten wünschen, sind Sie eingestellt. Wenn Sie jedoch mit der Integration interaktiver Karten, Kalender mit Ereignissen oder einer REST-API eines Drittanbieters beginnen, Benutzer zur Verwendung sicherer Kennwörter zwingen oder die Site sogar in ein soziales Netzwerk verwandeln möchten, benötigen Sie Plug-ins. Die Antwort von Grant Palin gibt einen tieferen Einblick in die Gründe, warum man Plugins haben möchte. Dan Gayles Antwort weist darauf hin, dass viele Themes alle Arten von Plugin-Funktionen bieten, ohne explizit WordPress-Plugins zu verwenden.

Kernsicherheit

Der WordPress-Kern selbst ist sehr sicher, und die Entwicklergemeinde leistet beachtliche Arbeit, um Sicherheitslücken zu isolieren und zu reparieren, sobald sie identifiziert wurden. Dies ist einer der Vorteile, wenn Hunderte von Millionen Benutzern und durchschnittlich etwa 200 Hauptverantwortliche pro Release zur Verfügung stehen . Das Risiko, das früher zwischen dem Erkennen einer Sicherheitsanfälligkeit und der Veröffentlichung des Fixes bestand, wird durch die Hinzufügung automatischer Kernupdates schnell beseitigt .

_{^{WordPress-Sicherheitsinfografik von Pagely ( ziemlich viele solide Informationen - klicken Sie sich durch, um sie in ihrer Gesamtheit anzuzeigen)}}

Ja, WordPress weist inhärente Sicherheitslücken auf . Aber auch Drupal , CakePHP, Ruby on Rails , Symfony, Zend usw. ... Es gibt keine Plattform oder kein System, das ich ohne zusätzliche Sicherheitsvorkehrungen zusätzlich zu den bereits von der Plattform bereitgestellten verwenden würde. Ich halte es einfach für eine schlechte Idee, sich auf das CMS oder Framework alleine zu verlassen, um die Sicherheit einer Website an vorderster Front zu gewährleisten , insbesondere auf ein Framework mit beachtlichen Akzeptanzraten.

Plugin-Sicherheit

Plugins sind nicht definitiv unsicher. Das Problem ist, dass Plugins nicht überprüft werden, um sicherzustellen, dass ihre Autoren gute Sicherheitspraktiken befolgen. WordPress hat eine Reihe von Standards festgelegt, denen Autoren folgen sollten , aber viele Plugins werden von Anfängern oder anderen Entwicklern erstellt, die diese Standards ignorieren. Wie bei allen vorhandenen Codebasen ist jedoch die Wahrscheinlichkeit, dass Fehler und Schwachstellen auftreten , umso größer , je mehr Code Sie einem System hinzufügen . Je mehr Plugins Sie zu Ihrer Installation hinzufügen, desto größer ist das Risiko, das Sie eingehen. Auf die gleiche Weise sollten Sie wissen, dass WordPress-Themes eine ebenso böswillige Bedrohung darstellen - insbesondere die Vielzahl von "kostenlosen Themes", die auf unbekannten Themesites verfügbar sind, von denen viele versuchen, Ihre Site direkt auszunutzenanstatt Sicherheitslücken durch Unwissenheit oder Unfälle unschuldig zu entlarven. Beziehen Sie Themen und Plugins nur von vertrauenswürdigen Quellen und glaubwürdigen Autoren.

Als Faustregel gilt, keine Plugins von weithin unbekannten Autoren oder Plugins zu installieren, die in der Szene relativ neu sind. Wenn Sie können, nehmen Sie sich Zeit, um die Glaubwürdigkeit des Autors zu überprüfen. Idealerweise der Faktoren erfahren, die in eine gut gesicherte Plugin gehen ( Zahlen-used-einmal [aka „Nonce“ s] für Anforderungs- und URL - Authentifizierung, Eingang sanitization , Ausgang zu entkommen , Verhinderung von direktem Zugriff auf Dateien Plugin , einen angemessenen Zugang der Datenbank durch WordPress-Methoden und -Funktionen , die Abwesenheit von Fehlern und Verfallserklärungen bei aktiviertem Debugging (unterlassen Sie die Aktivierung in Produktionsumgebungen) usw.) und überprüfen Sie jedes Plugin, das Sie selbst installieren.Es gibt keinen Ersatz dafür, zu verstehen, was in einem sicheren Plugin- Skript steckt , oder sich besser vor beschissenen Plugins zu schützen.

Wenn der Gedanke an unsichere Plugins und Themes Sie beunruhigt oder Sie nicht mit PHP vertraut sind oder sich mit PHP vertraut machen möchten, sind die Dienste von WordPress.com möglicherweise eher Ihre Sache, da sie die Verantwortung für die Überprüfung von Plugins und Themes und übernehmen Lassen Sie nur diejenigen, die als sicher eingestuft wurden, auf den Websites der Benutzer installieren. Falls gewünscht, können Sie weiterhin eine benutzerdefinierte Domain mit WordPress.com verwenden.

Sichern Sie sie

Einige Hosts bieten solche Dienste an, andere nicht. So wie ich nicht darauf vertraue, dass die Sicherheit einer Plattform für sich alleine steht, vertraue ich keinem Host, der sich um meine Backups kümmert. Eher bevorzuge ich es, meine Backups in meiner Dropbox zu stapeln und mit verschiedenen Servern zu synchronisieren, damit ich sicher sein kann, dass ich immer direkten Zugriff auf meine Backups mit Kopien auf mehreren verschiedenen Systemen habe. Wenn mein Host ausfällt oder von einem größeren Unternehmen oder einem anderen Hosting-Unglück aufgekauft wird, sind meine Websites nur ein paar Klicks entfernt, ohne dass ich mich um den Support meines Hosts kümmern muss.

Schlussbemerkungen

Sie sollten den Codex-Eintrag zu Hardening WordPress lesen, um weitere Sicherheitshinweise zu erhalten. Wenn Sie nicht der Meinung sind, dass Sie in Zukunft viele Plugins oder obskure Plugins benötigen sollten, ist es möglicherweise sinnvoller, WordPress.com oder einen alternativen verwalteten WordPress-Hosting-Anbieter wie Pagely als Host für Ihr Blog zu haben.

Unabhängig von der neuen Funktion "Automatische Kernaktualisierungen" von WordPress sollten Sie sich weiterhin bemühen, manuell sicherzustellen, dass Ihre Installation und alle Ihre Plugins und Designs auf dem neuesten Stand sind. Einige mögen es für übertrieben halten, aber ich möchte das Debuggen nach einem Update aktivieren und sicherstellen, dass keine Plugins oder Themes an Kompatibilität verlieren (ein Strom von Fehlern und Veraltungs- hinweisen ist ein starkes Symptom dafür). Wenn dies der Fall ist, deaktiviere ich sie, bis die Autoren sie aktualisiert haben, oder nehme die erforderlichen Änderungen selbst vor, um mich zu behalten, bis sie ein offizielles Update veröffentlichen. Beachten Sie, dass Sie Ihre Website entweder offline schalten oder eine Offline-Entwicklungskopie Ihrer Website ausführen sollten, bevor Sie das Debuggen aktivieren, um Probleme zu beheben.

Ich bin mir nicht sicher, wie weit das Ad-sense-Klickbombenverfahren verbreitet ist, aber ein WordPress-Plugin, das die Auswirkungen solcher Klickbomben abschwächt, bietet Ihnen zusätzlich zu den von Google getroffenen Vorkehrungen eine zusätzliche Sicherheitsstufe. Websites, auf denen WordPress nicht ausgeführt wird, sind in Bezug auf Click-Bombing genau der gleichen Bedrohung ausgesetzt. Sie müssen den Schutz entweder auf andere Weise implementieren oder ohne ihn überleben.

Zusätzliche Ressourcen

• Codex: Ein Plugin schreiben

  ^{Eine funktionsorientierte Einführung in das Plugin-Authoring mit ein paar vermischten Sicherheitstipps. Beachten Sie insbesondere den Abschnitt mit den Vorschlägen für die Plug-in-Entwicklung am Ende der Seite.}

• Codex: Validierung der Bereinigung und des Escapings von Benutzerdaten

  ^{Eine kurze Einführung in diese Konzepte und warum sie wichtig sind.}

• Codex: Sicherheits-FAQ

• Handbuch: PHP Coding Standards

  ^{Ein syntaktisch fokussierter Standard für PHP-Code in WordPress mit ein paar vermischten Sicherheitstipps.}

• Handbuch: PHP Inline Documentation Standards

  ^{Ich würde Ihnen gerne sagen, dass Sie niemals ein Plugin installieren sollen, das die Inline-Dokumentation vernachlässigt, aber in Wirklichkeit tun dies selbst gute Entwickler nicht immer. Trotzdem ist eine herzhafte Inline-Dokumentation mit PHPDoc-Tags ein gutes Indiz dafür, dass der Autor eine Vorstellung davon hat, was sie tun.}

• WPSE: "Was sind bewährte Sicherheitsmethoden für WordPress-Plugins und -Themen?"

  ^{Die Antworten auf diese Frage enthalten einige zusätzliche Punkte, die in anderen Ressourcen nicht aufgeführt sind. Beachten Sie, dass diese Frage gesperrt ist und nicht aktualisiert wird, um neuen Entwicklungen Rechnung zu tragen.}

• WPSE: "In welchen Kontexten sind Plugins für die Datenvalidierung / -bereinigung verantwortlich?"

  ^{Kurz gesagt: "Wann muss ich meine Daten sichern und wann erledigen die Kernfunktionen dies für mich?"}

• WPSE: "Wer sind die vertrauenswürdigsten Plugin-Entwickler?"

  ^{Eine kleine Liste der vertrauenswürdigsten und bekanntesten Namen in der Entwicklung von WordPress-Plugins. Auf keinen Fall erschöpfend, aber ein guter Ausgangspunkt für ein paar schnelle "sure-bets". Beachten Sie, dass diese Frage gesperrt ist und nicht aktualisiert wird, um neuen Entwicklungen Rechnung zu tragen.}

• WPSE: Wie kann ich die Glaubwürdigkeit eines Theme / Plugin-Autors feststellen? "

  ^{Basierend auf dieser Frage bezüglich der Notwendigkeit von Plugins verfasst, wird diese Frage hoffentlich einen allgemeinen Prozess zur Auswahl vertrauenswürdiger Theme- / Plugin-Autoren ergeben.}

• " Die Gefahren der Ignoranz von WordPress-Plugins (und was man dagegen tun kann) " - Tom Ewer

  ^{Eine solide nicht-technische Übersicht über die Gefahren von Plugins.}

• " Entwickeln für WordPress? Halte deine Scheiße sicher " - Mike Jolley

  ^{Ein ausgezeichneter technischer Kurzüberblick über Best Practices für die Entwicklung sicherer Plugins. Beachten Sie, dass die im Artikel verlinkte Infografik von wptemplate.com einige zusätzliche gute Tipps für die Sicherheit von WordPress insgesamt enthält, jedoch ziemlich schlecht kompiliert und in gebrochenem Englisch verfasst ist.}

• " 7 einfache Regeln: Best Practices für die Entwicklung von WordPress-Plugins " - WP Tuts +

  ^{Die Artikel auf Tuts + sind in der Regel genau und von beachtlicher Qualität.}

• " WordPress Security - Durchschneiden der BS " - Tony Perez

  Ein hervorragender technischer Überblick über Sicherheitslücken und Vorsichtsmaßnahmen in WordPress, basierend auf Perez 'WordCamp-Präsentation in Chicago 2012.

Einfach ausgedrückt - WordPress macht das, was es aus der Box macht, ohne dass Plugins erforderlich sind.

Jedoch! Unterschiedliche Menschen haben unterschiedliche Vorstellungen darüber, was sie sonst noch tun sollten. Einige dieser Ideen sind solide. Einige sind völlig verrückt.

Speziell zu Ihren Beispielen:

• WP (oder genauer gesagt die aktuell stabile Version davon) ist sicher, viele Sicherheits-Plugins konzentrieren sich auf Auditing (Dinge wie der Code anderer Plugins) und proaktive Überwachung (nichts ist wirklich absolut sicher).

• Viele Personen (ich eingeschlossen) vertrauen nicht darauf, dass Dritte Backups durchführen. Es gibt viele Horrorgeschichten darüber, wie vertrauenswürdige Hosts mit Backups zu ziemlich traurigen Ergebnissen geführt haben und es ist sicherer, Backups so zu behandeln, als gäbe es sie nicht, wenn Sie sie nicht persönlich überwachen, darauf zugreifen und überprüfen können.

WordPress ist von sich aus ziemlich funktional. Wenn Ihre Anforderungen einfach sind oder Sie wissen, wie Sie benutzerdefinierte Funktionen hinzufügen können, sind im Allgemeinen keine Plugins erforderlich. Das Plugin-Modell bietet jedoch einige Vorteile, die ich auflisten werde:

• modulare Plug-and-Play-Funktionalität (meistens)
• kapseln spezialisierte Funktionalität
• Vermeiden Sie es, das Rad neu zu erfinden
• Profitieren Sie von der Arbeit erfahrener Plugin-Autoren

Was den vorletzten Punkt betrifft, so stehen die Chancen gut, dass bestimmte Funktionen, die Sie hinzufügen möchten, bereits in Plug-in-Form implementiert wurden. Es ist nicht falsch, von bereits geleisteter Arbeit zu profitieren.

Zahlreiche verfügbare Plugins sind das Ergebnis der Stunden und Erfahrungen der Entwickler. Solche Plugins sind in der Regel gut gebaut und werden von vielen unterstützt und haben den entsprechenden Ruf. Schauen Sie sich Pippin Williamson, Scott Kingsley Clark und Alex King an, um nur einige zu nennen. Sie haben nicht nur technische Fähigkeiten, sie haben auch Glaubwürdigkeit . Dies ist ein enormer Vorteil bestimmter Plugins von Drittanbietern.

Bei Backups würde ich Webhosts nur ungern etwas so Wichtiges anvertrauen, insbesondere wenn Backups auf demselben Server oder im selben Netzwerk aufbewahrt werden. Ein Plugin oder DIY-Ansatz eines Drittanbieters bietet Ihnen mehr Kontrolle und speichert Backups in der Regel an einem anderen Ort als auf der Website.

Sicherheits-Plugins sind nicht zwingend erforderlich, wenn man das Know-how hat, um Sicherheitsvorkehrungen selbst zu treffen. Einige solche Plugins, wie z. B. Better WP Security , vereinfachen den Umgang mit Dateiberechtigungen, .htaccessDirektiven und dergleichen. Andere wie WordFence bieten Überwachungsdienste, während " Anmeldeversuche einschränken" einen gewissen Schutz für das Website-Backend bietet.

Wenn Sie sich Sorgen um die Qualität von Plugins machen, kann dies ein Hit oder Miss werden. Diejenigen, die sich auf dem WordPress-Plugin-Repo befinden, unterliegen meiner Meinung nach zumindest einer gewissen Überprüfung durch die Leute, die hinter WordPress stehen, aber Qualität oder Wert sind sehr unterschiedlich - und hängen stark von Ihren Bedürfnissen und Fähigkeiten ab. Wenn ein Plugin gut überprüft wurde, aktive Unterstützung hat und von einem bekannten Autor oder Team stammt, sind Sie wahrscheinlich in guten Händen.

Backups

Sicherungen können von Ihrem Host durchgeführt werden, bieten jedoch in der Regel nur einen "Alles-oder-Nichts" -Ansatz. Wenn Sie ein Plugin verwenden, können Sie wöchentliche Dateisicherungen und tägliche DB-Sicherungen ausführen, bevor Sie Wartungsarbeiten durchführen, oder die Sicherungsdateien auf einem SFTP / S3-Konto speichern. Ohne Plugin geht das nicht.

Performance

Da Ihr Anliegen die Leistung betrifft (wie aus Ihrer Pagespeed-Referenz hervorgeht), ist die einzige Möglichkeit, ein CDN eines Drittanbieters zum Hosten Ihrer Bilder zu verwenden, die Verwendung eines Plug-ins (es sei denn, Sie möchten wirklich Skripte auf Ihrem Server erstellen) In welchem ​​Fall würden Sie diese Frage hier wahrscheinlich nicht stellen?

Langzeitwartung

Alle Funktionen, die sich außerhalb des Bereichs von WP selbst befinden und Ihren Inhalt ändern (z. B. einen Shortcode), sollten sich in einem Plug-in befinden, da Sie mit ziemlicher Sicherheit eines Tages Ihr Thema ändern werden und nicht möchten, dass ein Haufen fehlerhafter Inhalte auf Ihrem Plug-in angezeigt wird Seite? ˅.

Benutzereingabe

Bei Benutzereingaben treten viele Sicherheitslücken auf. Wenn Sie also Benutzerdaten jeglicher Art akzeptieren, würde ich auf jeden Fall in Betracht ziehen, ein seriöses Plugin zu verwenden, um dies zu beheben. Es ist viel wahrscheinlicher, dass sie von anderen überprüft und auf die Probe gestellt wurden, als einige handcodierte Formulare, die Sie möglicherweise hinzufügen möchten.

JEDOCH

Manchmal ist alles, was Sie brauchen, in Ihrem Thema. (INSBESONDERE, wenn Sie es über Code Canyon / Envato usw. gekauft haben, da sie extrem "funktionsorientiert" zu sein scheinen.)

Manchmal ist es wirklich einfacher, einen Mod an Ihrem Thema zu erstellen, als sich mit einem Plugin zu befassen, wie ein guter Teil der "SEO" -Plugins.

Eigentlich kommt es auf Ihre Anforderung an. Wenn Sie mehr Funktionen für Ihre Site hinzufügen möchten, ohne die Designdatei zu ändern, benötigen Sie sicherlich Plugins.

Sie sind unerlässlich, wenn Sie ein E-Commerce-System hinzufügen oder ein untergeordnetes Thema vollständig anpassen möchten. Andernfalls müssen Sie eine große Menge an benutzerdefiniertem Code für Dinge wie E-Commerce ausführen.

Ein weiterer wichtiger Punkt ist der Unterschied zwischen der Verwendung von Themen, die eine Vielzahl von Themenoptionen enthalten, und einem Thema, das eine große Auswahl an themenspezifischen Plugins bietet.

Es ist eindeutig einfacher, WordPress anzupassen, indem Plugins installiert werden, um Funktionen hinzuzufügen, anstatt ein Thema zu verwenden, das eine Vielzahl integrierter Optionen enthält, da Sie dann die vorhandenen Funktionen mithilfe von Code filtern müssen, anstatt nur Plugins zu installieren, um die Funktionen hinzuzufügen, die Sie benötigen verwenden.

Der Code in Plugins wird auch aktualisiert, wenn neue Versionen von WordPress in der Beta sind. Wenn die Plugins nicht aktualisiert werden, können Sie ein neues Plugin einfach löschen und installieren.