Eu sou novo no WordPress. Li recentemente um artigo sobre como hackers podem explorar vulnerabilidades em plugins. Várias fontes, como o Google Pagespeed, também me dissuadiram de usar plug-ins ou pelo menos o mantiveram no mínimo. Pessoalmente, também tento evitar plugins porque me sinto mais no controle do que acontece no meu site, e o download de um quase parece 'Ótimo, outra coisa que preciso aprender a usar'.

Eu entendo que 'Recomendação de plug-ins' é fora de tópico, mas o que estou procurando é realmente uma explicação do porquê / se alguns plug-ins são essenciais no WordPress.

Tome estes por exemplo:

Segurança - Alguns plugins principais têm a ver com segurança. Mas os sites WordPress são vulneráveis ​​em geral? Por que preciso de um plug-in adicional para evitar exploração?

Cópia de segurança - Eu sou novo no mundo dos blogs, mas a maioria dos hosts não fornece serviços de backup? Ou preciso de plugins especiais para isso com o WordPress?

Monitoramento de fraude de cliques do AdSense - supostamente bloqueia bombas de cliques para evitar o banimento do Google. Mas eu não entendo, são alguns cliques falsos que todas as pessoas precisam fazer para diminuir sua receita, a menos que você faça o download de um plug-in?

Editar: pode ser melhor pedir este no suporte do Google, ignorá-lo, se for o caso

Necessidade de plug-in

O que a necessidade de plug-ins realmente se resume é a pergunta: " Estou satisfeito que a principal funcionalidade do WordPress é tudo o que eu preciso? "

Se tudo o que você deseja é um blog simples, com algumas categorias e várias páginas estáticas definidas. Mas se você deseja começar a integrar mapas interativos, calendários com eventos, talvez uma API REST de terceiros, forçar os usuários a usar senhas fortes ou até transformar o site em uma rede social, você precisará de plug-ins. A resposta de Grant Palin fornece mais informações sobre por que alguém pode desejar plugins. A resposta de Dan Gayle aponta que muitos temas fornecem todos os tipos de funcionalidade de plugins sem usar explicitamente os plugins do WordPress.

Segurança Central

O núcleo do WordPress em si é consideravelmente seguro e a comunidade de desenvolvedores do núcleo faz um trabalho respeitável isolando e corrigindo vulnerabilidades de segurança assim que são identificadas - um dos benefícios de ter centenas de milhões de usuários e uma média de cerca de 200 colaboradores principais por versão . E o risco que costumava estar presente durante a duração entre a identificação de uma vulnerabilidade e o lançamento de sua correção está sendo rapidamente eliminado com a adição das Atualizações Principais Automáticas .

_{^{Infográfico de segurança do WordPress da Pagely (quantidade razoável de informações sólidas - clique para visualizá-las na íntegra)}}

Sim, o WordPress possui vulnerabilidades de segurança inerentes . Mas Drupal , CakePHP, Ruby on Rails , Symfony, Zend, etc ... Não há plataforma ou sistema que eu usaria sem implementar precauções de segurança adicionais, além das já fornecidas pela plataforma. Acho simplesmente uma má idéia confiar apenas no CMS ou na estrutura para a segurança da linha de frente de qualquer site , especialmente qualquer estrutura com taxas de adoção notáveis.

Segurança de plugins

Plugins não são definitivamente inseguros. O problema é que os plug-ins não são examinados para garantir que seus autores sigam boas práticas de segurança. O WordPress estabeleceu uma série de padrões que os autores devem seguir, mas muitos plugins são de autoria de novatos ou outros que ignoram os padrões. Mas, como todas as bases de código existentes, quanto mais código você adiciona a um sistema, maior a probabilidade de introduzir bugs e vulnerabilidades . Quanto mais plugins você adicionar à sua instalação, maior o risco que você corre. Da mesma forma, saiba que os temas do WordPress apresentam uma ameaça igualmente maliciosa - especialmente a grande quantidade de "temas gratuitos" disponíveis em sites temáticos obscuros, muitos dos quais tentam explorar diretamente o seu siteem vez de expor inocentemente vulnerabilidades de segurança por ignorância ou acidente. Obtenha apenas temas e plugins de fontes confiáveis ​​e autores credíveis.

Uma regra prática é não instalar plug-ins de autores amplamente desconhecidos ou plug-ins relativamente novos em cena. Se puder, reserve um tempo para estabelecer a credibilidade do autor. Idealmente, aprenda os fatores que entram em um plug-in bem protegido ( números usados ​​uma vez [aka "nonce" s] para solicitação e autenticação de URL, limpeza de entrada , saída de saída , prevenção de acesso direto aos arquivos de plug-in , acesso adequado ao banco de dados através de métodos e funções do WordPress , ausência de erros e avisos de depreciação durante a depuração ativar a [evite ativá-lo em ambientes de produção] etc.) e verifique todos os plug-ins que você instalar.Não há substituto para entender o que se passa no plug-in seguro script, nem qualquer melhor defesa contra plugins ruins.

Se o pensamento de plug-ins e temas inseguros o assusta ou você não está familiarizado ou quer se familiarizar com o PHP, você pode achar que os serviços do WordPress.com são mais uma xícara de chá, pois eles assumem a responsabilidade de verificar plug-ins e temas e permite apenas que aqueles determinados como seguros sejam instalados nos sites dos usuários. Você ainda pode usar um domínio personalizado com o WordPress.com, se desejar.

Apoia-la

Alguns hosts fornecem esses serviços, outros não. Assim como não confio na segurança de qualquer plataforma, não confio em nenhum host para cuidar de meus backups. Em vez disso, prefiro que meus backups sejam empilhados no Dropbox e sincronizados com servidores diferentes, para ter certeza de que sempre tenho acesso direto aos meus backups com cópias em vários sistemas diferentes. Se o meu host for desativado ou se for comprado por uma empresa maior ou por algum outro problema de hospedagem, meus sites estão a poucos cliques de distância, sem o risco de ter que lidar com o suporte do meu host.

Notas Finais

Você deve ler a entrada do códice no Hardening WordPress para obter mais conselhos de segurança. Se você acha que não precisará de muitos plugins ou plugins obscuros no futuro, pode ser mais sensato ter o WordPress.com ou um provedor de hospedagem gerenciado alternativo, como o Pagely, hospedar seu blog.

Independentemente do novo recurso "Automatic Core Updates" do WordPress, você ainda deve se esforçar para garantir manualmente que sua instalação e todos os seus plugins e temas estejam atualizados. Alguns podem achar excessivo, mas eu gosto de ativar a depuração após uma atualização e garantir que nenhum plug-in ou tema tenha perdido a compatibilidade (um fluxo de erros e avisos de descontinuação é um forte sintoma disso). Se houver, desative-os até que seus autores os atualizem ou faça as alterações necessárias para me impedir até que eles lançem uma atualização oficial. Observe que você deve colocar seu site offline ou executar uma cópia de desenvolvimento offline do site antes de ativar a depuração para solucionar qualquer problema.

Não tenho certeza sobre a prevalência da prática de bombardeio por clique Ad-sense, mas um plug-in do WordPress que oferece mitigação dos efeitos de tais bombas está oferecendo uma camada adicional de segurança, além das precauções adotadas pelo Google. Os sites que não executam o WordPress enfrentam a mesma ameaça exata em relação ao bombardeio por clique e precisam implementar proteção por outros meios ou sobreviver sem ela.

Recursos adicionais

• Codex: Escrevendo um Plugin

  ^{Uma introdução funcionalmente focada à criação de plug-ins com algumas dicas de segurança misturadas. Em particular, preste atenção na seção Sugestões para o desenvolvimento de plug-ins , na parte inferior da página.}

• Codex: validando sanitização e escape de dados do usuário

  ^{Uma breve introdução a esses conceitos e por que eles são importantes.}

• Codex: Perguntas freqüentes sobre segurança

• Manual: Padrões de Codificação PHP

  ^{Um padrão sintaticamente focado para código PHP no WordPress com algumas dicas de segurança misturadas.}

• Manual: Padrões de documentação em linha do PHP

  ^{Eu adoraria dizer para você nunca instalar um plugin que negligencie a documentação em linha, mas, na realidade, mesmo bons desenvolvedores nem sempre fazem isso. No entanto, a documentação em linha completa, completa com as tags PHPDoc, é uma boa indicação de que o autor tem alguma idéia do que está fazendo.}

• WPSE: "Quais são as práticas recomendadas de segurança para plug-ins e temas do WordPress?"

  ^{As respostas a esta pergunta fornecem alguns pontos adicionais que não estão listados em outros recursos. Observe que esta pergunta está bloqueada e não será atualizada para refletir novos desenvolvimentos.}

• WPSE: "Em quais contextos os plug-ins são responsáveis ​​pela validação / higienização de dados?"

  ^{Em poucas palavras, "quando preciso proteger meus dados e quando as funções principais tratam disso para mim?"}

• WPSE: "Quem são os desenvolvedores de plug-ins mais confiáveis?"

  ^{Uma pequena lista de alguns dos nomes mais confiáveis ​​e de renome no desenvolvimento de plugins do WordPress. Certamente não é exaustivo, mas é um bom ponto de partida para algumas rápidas "apostas seguras". Observe que esta pergunta está bloqueada e não será atualizada para refletir novos desenvolvimentos.}

• WPSE: Como posso estabelecer a credibilidade de um autor de tema / plugin? "

  ^{Criada com base nessa própria pergunta sobre a necessidade de plug-ins, espero que essa pergunta traga um processo geral para a seleção de autores confiáveis ​​de temas / plug-ins.}

• " Os perigos do plug-in WordPress Ignorância (e o que fazer sobre isso) " - Tom Ewer

  ^{Uma sólida visão geral não técnica sobre os perigos dos plugins.}

• " Desenvolvendo para WordPress? Mantenha suas coisas seguras " - Mike Jolley

  ^{Uma excelente e breve visão geral técnica das melhores práticas para o desenvolvimento seguro de plug-ins. Observe que o infográfico do wptemplate.com, vinculado no artigo, contém algumas boas dicas adicionais para a segurança do WordPress como um todo, mas é compilado de maneira inadequada e criado em inglês incorreto.}

• " 7 regras simples: práticas recomendadas para o desenvolvimento de plugins WordPress " - WP Tuts +

  ^{Os artigos no Tuts + são tipicamente precisos e de qualidade considerável.}

• " Segurança do WordPress - abrindo caminho para o BS " - Tony Perez

  Uma excelente visão geral técnica das vulnerabilidades e precauções de segurança do WordPress com base na apresentação do Chicago 2012 WordCamp de Perez.

Simplificando - o WordPress faz o que faz imediatamente, sem a necessidade de plugins.

Contudo! Pessoas diferentes têm idéias diferentes sobre o que mais deve fazer. Algumas dessas idéias são sólidas. Alguns são completamente loucos.

Especificamente em seus exemplos:

• O WP (ou, mais precisamente, a versão estável atual do momento) é seguro, muitos plug-ins de segurança se concentram na auditoria (coisas como o código de outros plug-ins) e no monitoramento proativo (nada é realmente absolutamente seguro).

• muitas pessoas (inclusive eu) não confiam em terceiros para gerenciar backups. Há muitas histórias de horror sobre como confiar em hosts com backup levou a resultados bastante tristes e, a menos que você possa monitorar, acessar e verificar pessoalmente os backups que o host está [supostamente] levando em consideração, é mais seguro tratá-los como se eles não existissem.

O WordPress é bastante funcional por si só. Se suas necessidades são diretas ou você sabe como adicionar funcionalidades personalizadas, geralmente não há necessidade de plug-ins. No entanto, existem vantagens no modelo de plug-in, algumas das quais enumerarei:

• funcionalidade modular, plug and play (principalmente)
• encapsular funcionalidade especializada
• evite reinventar a roda
• se beneficiar do trabalho de autores experientes

Referindo-se ao penúltimo ponto, se houver alguma funcionalidade que você deseja adicionar, é provável que ela já tenha sido implementada no formato de plug-in. Não é errado se beneficiar do trabalho que já foi feito.

Pelo ponto final, vários plugins disponíveis são o resultado das horas e da experiência dos desenvolvedores. Esses plug-ins tendem a ser bem construídos e com suporte e têm a reputação de acompanhá-lo. Veja Pippin Williamson, Scott Kingsley Clark e Alex King, para citar apenas alguns. Eles não apenas possuem habilidades técnicas, mas também credibilidade . Este é um benefício tremendo de determinados plugins de terceiros.

No caso de backups, eu relutaria em confiar em hosts da Web algo tão importante, especialmente se os backups forem mantidos no mesmo servidor ou na mesma rede. Um plug-in de terceiros ou uma abordagem de bricolage fornece mais controle, além de geralmente armazenar backups em um local muito separado do site.

Os plug-ins de segurança não são estritamente necessários, se você tiver o know-how para lidar com os arranjos de segurança. Alguns desses plug-ins, como o Better WP Security , simplificam o manuseio de permissões, .htaccessdiretivas e similares de arquivos . Outros, como o WordFence, fornecem serviços de monitoramento, enquanto as Limitações de Tentativas de Login fornecem alguma proteção para o back-end do site.

Se você está preocupado com a qualidade do plug-in, pode ser um caso de acerto ou falha. Aqueles que estão no repositório de plug-ins do WordPress, acho que passam por alguma verificação pelas pessoas por trás do WordPress, mas a qualidade ou o valor são bastante variáveis ​​- e depende muito de suas necessidades e habilidades. Se um plug-in for bem revisado, tiver suporte ativo e for de um autor ou equipe conhecido, você provavelmente estará em boas mãos.

Backups

Os backups podem ser resolvidos pelo host, mas geralmente oferecem apenas uma abordagem "tudo ou nada". Se você usar um plug-in, poderá fazer backups semanais de arquivos e backups diários de banco de dados, executá-los antes de fazer qualquer manutenção ou guardar os arquivos de backup em uma conta SFTP / S3. Não é possível fazer isso imediatamente sem um plug-in.

atuação

Como sua preocupação está no desempenho (como evidenciado pela referência do Pagespeed), a única maneira que conheço de usar uma CDN de terceiros para hospedar suas imagens é usando um plug-in (a menos que você realmente goste de scripts no servidor, em Nesse caso, você provavelmente não faria essa pergunta aqui).

Manutenção a longo prazo

Qualquer funcionalidade que resida fora do escopo do próprio WP e modifique / altere seu conteúdo (como um código de acesso) deve residir em um plug-in, porque você quase certamente algum dia mudará seu tema e não deseja um monte de conteúdo corrompido em seu plugin. local.

Entrada do Usuário

A entrada do usuário é o local onde muitas vulnerabilidades de segurança ocorrem, portanto, se você estiver aceitando dados de qualquer tipo, definitivamente consideraria usar um plug-in respeitável para lidar com isso. É muito mais provável que tenham sido examinadas por outras pessoas e postas à prova do que alguns formulários codificados à mão que você pode querer adicionar.

CONTUDO

Às vezes, tudo o que você precisa está no seu tema. (ESPECIALMENTE se você o comprou no Code Canyon / Envato, etc., pois eles parecem ser extremamente orientados a "recursos".)

Às vezes, é realmente mais fácil fazer um mod ao seu tema do que lidar com um plugin, como uma boa parte dos plugins "seo".

Na verdade, depende da sua exigência. Se você deseja adicionar mais funcionalidades ao seu site sem modificar o arquivo do tema, certamente precisará de plugins.

Eles são essenciais se você deseja adicionar um sistema de comércio eletrônico ou personalizar totalmente um tema filho, caso contrário, seria necessário concluir uma enorme quantidade de codificação personalizada para coisas como comércio eletrônico.

Outro ponto importante é a diferença entre o uso de temas que incluem uma enorme quantidade de opções de temas em comparação com um tema que oferece uma grande variedade de plugins específicos de temas.

É claramente mais fácil personalizar o WordPress instalando plug-ins para adicionar funcionalidade ao invés de usar um tema que inclui uma enorme quantidade de opções integradas, porque você precisa filtrar as funções existentes usando o código, em vez de instalar plug-ins apenas para adicionar as funções necessárias. usar.

O código nos plug-ins também é atualizado quando novas versões do WordPress também estão na versão beta e, se os plug-ins não forem atualizados, você poderá excluir e instalar facilmente um novo plug-in.