Tôi mới dùng WordPress. Gần đây tôi đã đọc một bài viết về cách tin tặc có thể khai thác lỗ hổng trong plugin. Nhiều nguồn khác nhau như Google Pagespeed cũng không cho phép tôi sử dụng plugin hoặc ít nhất là giữ nó ở mức tối thiểu. Cá nhân, tôi cũng cố gắng tránh các plugin vì tôi cảm thấy kiểm soát nhiều hơn những gì xảy ra trên trang web của mình và tải xuống một thứ gần như cảm thấy như 'Tuyệt vời, một điều khác tôi phải học cách sử dụng'.

Tôi hiểu rằng 'Đề xuất bổ trợ' không có chủ đề, nhưng những gì tôi theo sau thực sự là lời giải thích cho lý do tại sao / nếu một số plugin là thiết yếu trong WordPress.

Lấy những ví dụ này:

Bảo mật - Một vài plugin hàng đầu phải thực hiện với bảo mật. Nhưng nói chung các trang web WordPress có dễ bị tổn thương không? Tại sao tôi cần một plugin bổ sung để tránh khai thác?

Sao lưu - Tôi mới tham gia vào thế giới blog, nhưng hầu hết các máy chủ không cung cấp dịch vụ sao lưu? Hay tôi cần các plugin đặc biệt cho điều đó với WordPress?

Giám sát gian lận nhấp chuột của AdSense - Được cho là chặn bom nhấp để tránh bị trục xuất khỏi Google. Nhưng tôi không hiểu, có phải một vài nhấp chuột giả mà tất cả mọi người phải làm để tắt doanh thu của bạn trừ khi bạn tải xuống một plugin?

Chỉnh sửa: Có thể tốt hơn để yêu cầu điều này trong hỗ trợ của Google, bỏ qua nếu có

Plugin cần thiết

Câu hỏi về sự cần thiết của các plugin thực sự là câu hỏi: " Tôi có hài lòng rằng chức năng cốt lõi của WordPress là tất cả những gì tôi cần không? "

Nếu tất cả những gì bạn muốn là một blog đơn giản với một số danh mục và một số trang tĩnh bạn đã đặt. Nhưng nếu bạn muốn bắt đầu tích hợp các bản đồ tương tác, lịch với các sự kiện, có thể là API REST của bên thứ 3, buộc người dùng sử dụng mật khẩu mạnh hoặc thậm chí biến trang web thành mạng xã hội thì bạn cần có plugin. Câu trả lời của Grant Palin cung cấp cái nhìn sâu sắc hơn về lý do tại sao một người có thể mong muốn các plugin. Câu trả lời của Dan Gayle chỉ ra rằng nhiều chủ đề cung cấp tất cả các loại chức năng của plugin mà không sử dụng rõ ràng các plugin WordPress.

Bảo mật cốt lõi

Bản thân lõi WordPress được bảo mật đáng kể và cộng đồng nhà phát triển lõi thực hiện công việc đáng tin cậy để cô lập và vá các lỗ hổng bảo mật ngay khi được xác định - một trong những lợi ích của việc có hàng trăm triệu người dùng và trung bình khoảng 200 người đóng góp cốt lõi mỗi lần phát hành . Và rủi ro đã từng xuất hiện trong suốt thời gian giữa việc xác định lỗ hổng và phát hành bản sửa lỗi nhanh chóng được loại bỏ khi bổ sung Bản cập nhật lõi tự động .

_{^{Infographic bảo mật WordPress từ Pagely (Lượng thông tin vững chắc - nhấp qua để xem toàn bộ)}}

Vâng, WordPress có lỗ hổng bảo mật cố hữu . Nhưng Drupal , CakePHP, Ruby on Rails , Symfony, Zend, v.v .... Không có nền tảng hoặc hệ thống nào tôi sẽ sử dụng mà không thực hiện các biện pháp phòng ngừa bảo mật bổ sung ngoài các biện pháp đã được cung cấp bởi nền tảng. Tôi nghĩ đơn giản chỉ là một ý tưởng tồi khi chỉ dựa vào CMS hoặc khung để bảo mật tiền tuyến của bất kỳ trang web nào , đặc biệt là bất kỳ khung nào có tỷ lệ chấp nhận đáng chú ý.

Plugin bảo mật

Plugin không chắc chắn không an toàn. Vấn đề là các plugin không được hiệu đính để đảm bảo rằng các tác giả của chúng tuân theo các thực tiễn bảo mật tốt. WordPress đã đặt ra một số tiêu chuẩn mà các tác giả nên tuân theo, nhưng nhiều plugin được tác giả bởi người mới hoặc những người khác bỏ qua các tiêu chuẩn. Nhưng như với tất cả các cơ sở mã đang tồn tại, bạn càng thêm mã vào hệ thống, khả năng đưa ra các lỗi và lỗ hổng càng lớn . Càng nhiều plugin bạn thêm vào cài đặt, nguy cơ bạn có thể gặp phải càng lớn. Đồng thời, biết rằng các chủ đề WordPress có mối đe dọa độc hại không kém - đặc biệt là hàng loạt "chủ đề miễn phí" có sẵn từ các trang web chủ đề tối nghĩa, nhiều trong số đó cố gắng khai thác trực tiếp trang web của bạnthay vì vô tình phơi bày các lỗ hổng bảo mật thông qua sự thiếu hiểu biết hoặc tai nạn. Chỉ có được các chủ đề và plugin từ các nguồn đáng tin cậy và các tác giả đáng tin cậy.

Một nguyên tắc nhỏ là không cài đặt các plugin từ các tác giả hoặc plugin chưa được biết đến rộng rãi tương đối mới trên hiện trường. Nếu bạn có thể, hãy dành thời gian để thiết lập uy tín của tác giả. Lý tưởng nhất là tìm hiểu các yếu tố đi vào một plugin được bảo mật tốt ( số được sử dụng một lần [aka "nonce" s] để yêu cầu và xác thực URL, khử trùng đầu vào , thoát đầu ra , ngăn truy cập trực tiếp vào các tệp plugin , truy cập đúng vào cơ sở dữ liệu thông qua các phương thức và chức năng của WordPress , không có lỗi và thông báo phản đối khi gỡ lỗi được bật [không bật nó trong môi trường sản xuất], v.v.) và vet mọi plugin bạn tự cài đặt.Không có sự thay thế nào để hiểu những gì đi vào tập lệnh plugin an toàn , cũng như không có sự bảo vệ nào tốt hơn khỏi các plugin nhảm nhí.

Nếu suy nghĩ về các plugin và chủ đề không an toàn khiến bạn sợ hãi hoặc bạn không quen thuộc hoặc tìm cách làm quen với PHP, bạn có thể thấy các dịch vụ của WordPress.com trở thành tách trà của bạn hơn khi họ chịu trách nhiệm về việc kiểm tra các plugin và chủ đề và chỉ cho phép những người được xác định là an toàn được cài đặt trên trang web của người dùng. Bạn vẫn có thể sử dụng tên miền tùy chỉnh với WordPress.com nếu muốn.

Sao lưu nó lên

Một số máy chủ cung cấp dịch vụ như vậy, số khác thì không. Giống như tôi không tin tưởng vào sự bảo mật của bất kỳ nền tảng nào để tự mình đứng vững, tôi không tin tưởng bất kỳ máy chủ nào chăm sóc các bản sao lưu của mình. Thay vào đó, tôi thích sao lưu các bản sao lưu của mình trong Dropbox và được đồng bộ hóa với các máy chủ khác nhau để tôi có thể tự tin rằng tôi luôn có quyền truy cập trực tiếp vào các bản sao lưu của mình bằng các bản sao trên một số hệ thống khác nhau. Nếu máy chủ của tôi gặp sự cố hoặc bị mua bởi một công ty lớn hơn hoặc một số dịch vụ lưu trữ không may khác, các trang web của tôi chỉ cách một vài cú nhấp chuột mà không có nguy cơ phải đối phó với sự hỗ trợ của chủ nhà.

Ghi chú cuối cùng

Bạn nên đọc mục codex trên Hardening WordPress để được tư vấn bảo mật hơn. Nếu bạn không nghĩ rằng bạn sẽ cần nhiều plugin hoặc bất kỳ plugin khó hiểu nào trong tương lai, thì có thể khôn ngoan hơn khi có WordPress.com hoặc nhà cung cấp dịch vụ lưu trữ WordPress được quản lý thay thế như Pagely lưu trữ blog của bạn.

Bất kể tính năng "Cập nhật lõi tự động" mới của WordPress, bạn vẫn nên cố gắng đảm bảo cài đặt thủ công và tất cả các plugin và chủ đề của bạn được cập nhật. Một số người có thể cho rằng nó quá mức, nhưng tôi thích bật gỡ lỗi sau khi cập nhật và đảm bảo rằng không có plugin hoặc chủ đề nào bị mất khả năng tương thích (một luồng lỗi và thông báo phản đối là một triệu chứng mạnh của việc này). Nếu họ có, tôi vô hiệu hóa chúng cho đến khi tác giả của họ cập nhật chúng hoặc tự mình thực hiện các thay đổi cần thiết để giữ tôi cho đến khi họ phát hành bản cập nhật chính thức. Lưu ý rằng bạn nên đưa trang web của mình ngoại tuyến hoặc chạy bản sao phát triển ngoại tuyến của trang web trước khi bạn bật gỡ lỗi để khắc phục sự cố.

Tôi không chắc về mức độ phổ biến của thực tiễn ném bom theo cảm giác Ad, nhưng một plugin WordPress cung cấp để giảm thiểu tác động của những quả bom nhấp chuột đó sẽ cung cấp cho bạn một lớp bảo mật bổ sung ngoài bất kỳ biện pháp phòng ngừa nào mà Google có. Các trang web không chạy WordPress phải đối mặt với mối đe dọa chính xác tương tự liên quan đến ném bom nhấp chuột và phải thực hiện bảo vệ bằng các phương tiện khác hoặc tồn tại mà không có nó.

Tài nguyên bổ sung

• Codex: Viết một Plugin

  ^{Giới thiệu tập trung vào chức năng để soạn thảo plugin với một vài mẹo bảo mật được trộn lẫn. Cụ thể, hãy chú ý đến phần Gợi ý phát triển Plugin gần cuối trang.}

• Codex: Xác thực vệ sinh và thoát dữ liệu người dùng

  ^{Giới thiệu ngắn gọn về các khái niệm này và tại sao chúng quan trọng.}

• Codex: Câu hỏi thường gặp về bảo mật

• Cẩm nang: Tiêu chuẩn mã hóa PHP

  ^{Một tiêu chuẩn tập trung vào cú pháp cho mã PHP trong WordPress với một vài mẹo bảo mật được trộn lẫn.}

• Cẩm nang: Tiêu chuẩn tài liệu nội tuyến PHP

  ^{Tôi hoàn toàn muốn nói với bạn rằng đừng bao giờ cài đặt một plugin mà bỏ qua tài liệu trực tuyến, nhưng trong thực tế, ngay cả các nhà phát triển giỏi cũng không luôn làm điều này. Tuy nhiên, tài liệu trực tuyến đầy đủ với các thẻ PHPDoc là một dấu hiệu tốt cho thấy tác giả có một số ý tưởng về những gì họ đang làm.}

• WPSE: "Thực tiễn bảo mật tốt nhất cho các plugin và chủ đề WordPress là gì?"

  ^{Các câu trả lời cho câu hỏi này cung cấp một vài điểm bổ sung không được liệt kê trong các tài nguyên khác. Lưu ý rằng câu hỏi này đã bị khóa và sẽ không được cập nhật để phản ánh những phát triển mới.}

• WPSE: "Trong bối cảnh nào các Plugins chịu trách nhiệm xác thực / khử trùng dữ liệu?"

  ^{Tóm lại, "Khi nào tôi cần bảo mật dữ liệu của mình và khi nào các chức năng cốt lõi xử lý nó cho tôi?"}

• WPSE: "Ai là nhà phát triển plugin đáng tin cậy nhất?"

  ^{Một danh sách nhỏ của một số tên đáng tin cậy và nổi tiếng nhất trong phát triển plugin WordPress. Chắc chắn không đầy đủ bằng bất kỳ phương tiện nào, nhưng là nơi khởi đầu tốt cho một vài "cược chắc chắn" nhanh chóng. Lưu ý rằng câu hỏi này đã bị khóa và sẽ không được cập nhật để phản ánh những phát triển mới.}

• WPSE: Làm cách nào tôi có thể thiết lập uy tín của một tác giả chủ đề / plugin? "

  ^{Được ủy quyền dựa trên chính câu hỏi này liên quan đến sự cần thiết của plugin, hy vọng câu hỏi này sẽ mang lại một quy trình chung để chọn các tác giả chủ đề / plugin đáng tin cậy.}

• " Các nguy hiểm của WordPress Plugins Dốt nát (và phải làm gì về nó) " - Tom cái bình đựng nước

  ^{Một tổng quan phi kỹ thuật vững chắc liên quan đến sự nguy hiểm của các plugin.}

• " Phát triển cho WordPress? Giữ an toàn cho shit của bạn " - Mike Jumper

  ^{Một tổng quan kỹ thuật ngắn gọn tuyệt vời về các thực tiễn tốt nhất để phát triển plugin an toàn. Lưu ý rằng infographic từ wptemplate.com được liên kết trong bài viết có chứa một số mẹo hay khác về bảo mật WordPress nói chung, nhưng được biên dịch khá kém và bị tác giả bằng tiếng Anh bị hỏng.}

• " 7 quy tắc đơn giản: Thực tiễn tốt nhất về phát triển plugin WordPress " - WP Tuts +

  ^{Các bài viết trên Tuts + thường chính xác và có chất lượng đáng kể.}

• " Bảo mật WordPress - Cắt ngang BS " - Tony Perez

  Một tổng quan kỹ thuật tuyệt vời về các lỗ hổng bảo mật và biện pháp phòng ngừa WordPress dựa trên bản trình bày WordCamp Chicago 2012 của Perez.

Nói một cách đơn giản - WordPress thực hiện những gì nó làm được, không cần plugin.

Tuy nhiên! Những người khác nhau có những ý tưởng khác nhau về những gì khác nó nên làm. Một số trong những ý tưởng là âm thanh. Một số là hoàn toàn bonkers.

Cụ thể về ví dụ của bạn:

• WP (hay chính xác hơn là phiên bản ổn định hiện tại của nó hiện tại) vẫn an toàn, nhiều plugin bảo mật tập trung vào kiểm toán (những thứ như mã của các plugin khác) và giám sát chủ động (không có gì thực sự an toàn tuyệt đối ).

• nhiều người (bao gồm cả tôi) không tin tưởng bên thứ ba để xử lý các bản sao lưu. Có nhiều câu chuyện rùng rợn xung quanh việc các máy chủ tin cậy với sao lưu dẫn đến kết quả khá đáng buồn và trừ khi bạn có thể tự mình theo dõi, truy cập và xác minh các bản sao lưu mà máy chủ đó cho rằng an toàn hơn khi đối xử với chúng như chúng không tồn tại.

WordPress là khá chức năng của riêng mình. Nếu nhu cầu của bạn đơn giản hoặc bạn biết cách thêm chức năng tùy chỉnh, thông thường không cần plugin. Tuy nhiên, có những lợi thế cho mô hình plugin, một số điều tôi sẽ liệt kê:

• chức năng mô-đun, cắm và chơi (chủ yếu)
• đóng gói chức năng chuyên dụng
• tránh phát minh lại bánh xe
• hưởng lợi từ công việc của các tác giả plugin có kinh nghiệm

Đề cập đến điểm thứ hai đến điểm cuối cùng, nếu có chức năng nhất định bạn muốn thêm, tỷ lệ cược là nó đã được triển khai ở dạng plugin rồi. Không có gì sai khi hưởng lợi từ công việc đã được thực hiện.

Theo điểm cuối cùng, nhiều plugin có sẵn là kết quả của giờ và kinh nghiệm của nhà phát triển. Các plugin như vậy có xu hướng được xây dựng và hỗ trợ tốt, và có danh tiếng đi cùng. Hãy nhìn vào Pippin Williamson, Scott Kingsley Clark và Alex King, chỉ kể tên một vài người. Họ không chỉ có kỹ năng kỹ thuật, họ còn có uy tín . Đây là một lợi ích to lớn của các plugin bên thứ ba nhất định.

Trong trường hợp sao lưu, tôi không muốn tin tưởng các máy chủ web với thứ gì đó rất quan trọng, đặc biệt là nếu các bản sao lưu được giữ trên cùng một máy chủ hoặc trong cùng một mạng. Một plugin của bên thứ ba hoặc phương pháp DIY cung cấp cho bạn nhiều quyền kiểm soát hơn, cũng như thường lưu trữ các bản sao lưu ở một vị trí rất riêng biệt khỏi trang web.

Các plugin bảo mật không thực sự cần thiết, nếu ai đó có bí quyết tự xử lý các sắp xếp bảo mật. Một số plugin như vậy, chẳng hạn như Better WP Security , đơn giản hóa việc xử lý các quyền, .htaccesschỉ thị tệp và các thứ tương tự. Những người khác như WordFence cung cấp dịch vụ giám sát, trong khi Giới hạn Đăng nhập Thử cung cấp một số bảo vệ cho phụ trợ trang web.

Nếu bạn lo lắng về chất lượng plugin, nó có thể là một sự cố hoặc bỏ lỡ. Những người trên repo plugin WordPress tôi nghĩ rằng đã trải qua ít nhất một số sự kiểm tra của những người đứng sau WordPress, nhưng chất lượng hoặc giá trị khá thay đổi - và phụ thuộc rất nhiều vào nhu cầu và khả năng của bạn. Nếu một plugin được đánh giá tốt, có hỗ trợ tích cực và đến từ một tác giả hoặc nhóm nổi tiếng, bạn có khả năng sẽ có trong tay tốt.

Sao lưu

Sao lưu có thể được chăm sóc bởi máy chủ của bạn, nhưng chúng thường chỉ cung cấp một cách tiếp cận "tất cả hoặc không có gì". Nếu bạn sử dụng plugin, bạn có thể thực hiện sao lưu tệp hàng tuần và sao lưu DB hàng ngày, chạy chúng trước khi bạn thực hiện bất kỳ bảo trì nào hoặc bỏ các tệp sao lưu vào tài khoản SFTP / S3. Không thể làm điều đó ra khỏi hộp mà không có plugin.

Hiệu suất

Vì mối quan tâm của bạn là về hiệu suất (được chứng minh bằng tham chiếu Pagespeed của bạn), cách duy nhất tôi biết để sử dụng CDN của bên thứ ba để lưu trữ hình ảnh của mình là sử dụng plugin (trừ khi bạn thực sự viết kịch bản trên máy chủ của mình, trong trường hợp nào bạn có thể không hỏi câu hỏi này ở đây).

Bảo trì dài hạn

Bất kỳ chức năng nào nằm ngoài phạm vi của chính WP và sửa đổi / thay đổi nội dung của bạn (chẳng hạn như shortcode) sẽ nằm trong một plugin, bởi vì bạn gần như chắc chắn một ngày nào đó sẽ thay đổi chủ đề của bạn và bạn không muốn một loạt nội dung bị hỏng trên trang web.

Đầu vào của người dùng

Đầu vào của người dùng là nơi có rất nhiều lỗ hổng bảo mật xuất hiện, vì vậy nếu bạn chấp nhận dữ liệu người dùng dưới bất kỳ hình thức nào, tôi chắc chắn sẽ xem xét sử dụng một plugin có uy tín để xử lý việc đó. Họ có nhiều khả năng đã được những người khác xem xét kỹ lưỡng và đã được đưa vào thử nghiệm hơn một số hình thức mã hóa bằng tay mà bạn có thể muốn thêm vào.

TUY NHIÊN

Đôi khi tất cả mọi thứ bạn cần là trong chủ đề của bạn. (ĐẶC BIỆT nếu bạn đã mua nó trên Code Canyon / Envato, v.v., vì chúng dường như cực kỳ "tính năng" được điều khiển.)

Đôi khi, thực sự đơn giản là dễ dàng thực hiện một mod cho chủ đề của bạn hơn là đối phó với một plugin, như một phần tốt của các plugin "seo".

Trên thực tế nó phụ thuộc vào yêu cầu của bạn. Nếu bạn muốn thêm nhiều chức năng hơn cho trang web của mình mà không sửa đổi tệp chủ đề thì chắc chắn bạn cần plugin.

Chúng rất cần thiết nếu bạn muốn thêm hệ thống Thương mại điện tử hoặc tùy chỉnh hoàn toàn chủ đề con nếu không bạn sẽ cần phải hoàn thành một lượng lớn mã hóa tùy chỉnh cho những thứ như Thương mại điện tử.

Một điểm quan trọng khác là sự khác biệt giữa việc sử dụng các chủ đề bao gồm một số lượng lớn các tùy chọn chủ đề so với một chủ đề cung cấp một loạt các plugin cụ thể theo chủ đề.

Rõ ràng dễ dàng hơn để tùy chỉnh WordPress bằng cách cài đặt plugin để thêm chức năng thay vì sử dụng một chủ đề bao gồm một số lượng lớn các tùy chọn được tích hợp bởi vì sau đó bạn cần lọc các chức năng hiện có bằng cách sử dụng mã thay vì chỉ cài đặt các chức năng bạn cần sử dụng.

Mã trong plugin cũng được cập nhật khi các phiên bản mới của WordPress cũng ở bản Beta và nếu các plugin không được cập nhật, bạn có thể dễ dàng xóa và cài đặt một plugin mới.