Apakah Plugin Wordpress penting?


19

Saya baru mengenal WordPress. Baru-baru ini saya membaca sebuah artikel tentang bagaimana peretas dapat mengeksploitasi kerentanan dalam plugin. Berbagai sumber seperti Google Pagespeed juga telah mencegah saya menggunakan plugin atau setidaknya membuatnya seminimal mungkin. Secara pribadi, saya juga mencoba menghindari plugin karena saya merasa lebih bisa mengendalikan apa yang terjadi di situs saya, dan mengunduh satu hampir terasa seperti 'Hebat, hal lain yang harus saya pelajari cara menggunakan'.

Saya mengerti bahwa 'Plugin-rekomendasi' adalah di luar topik, tetapi apa yang saya cari sebenarnya adalah penjelasan mengapa / jika beberapa plugin sangat penting di WordPress.

Ambil ini sebagai contoh:

Keamanan - Beberapa plugin teratas berkaitan dengan keamanan. Tetapi apakah situs WordPress rentan secara umum? Mengapa saya memerlukan plugin tambahan untuk menghindari eksploitasi?

Cadangkan - Saya baru mengenal dunia blogging, tetapi tidakkah kebanyakan host menyediakan layanan cadangan? Atau apakah saya perlu plugin khusus untuk itu dengan WordPress?

Pemantauan Penipuan Klik-AdSense - Seharusnya memblokir bom klik untuk menghindari pembuangan dari Google. Tapi saya tidak mengerti, apakah beberapa klik palsu yang harus dilakukan semua orang untuk mematikan pendapatan Anda kecuali Anda mengunduh plugin?

Sunting: Mungkin lebih baik untuk meminta yang satu ini di dukungan Google, abaikan saja


2
Selamat datang di WPSE! Jika Anda belum melakukannya, Anda mungkin ingin membaca tur situs . Jika Anda mengintip di Pusat Bantuan , Anda akan menemukan bagian tentang topik apa yang bisa saya tanyakan? Saya akan mengatakan bahwa pertanyaan Anda berkaitan dengan praktik terbaik manajemen WP, dan dengan demikian merupakan pertanyaan yang bagus.
Pat J

1
Ini pertanyaan yang bagus. Dalam pengalaman saya, hal pertama yang saya lakukan ketika mengambil alih situs seseorang sebagai webmaster adalah mengaudit plugin mereka dan menghapus semua yang tidak 100% penting. Sembilan dari sepuluh, tidak ada yang memperhatikan perbedaan, kecuali situs berjalan lebih cepat dan ada lebih sedikit bug.
Dan Gayle

Jawaban:


26

Kebutuhan Plugin

Apa perlunya plugin benar-benar bermuara adalah pertanyaan, " Apakah saya puas bahwa fungsionalitas inti WordPress adalah semua yang saya butuhkan? "

Jika semua yang Anda inginkan adalah blog sederhana dengan beberapa kategori dan sejumlah halaman statis yang Anda atur. Tetapi jika Anda ingin mulai mengintegrasikan peta interaktif, kalender dengan acara, mungkin REST API pihak ketiga, memaksa pengguna untuk menggunakan kata sandi yang kuat, atau bahkan mengubah situs menjadi jejaring sosial maka Anda memerlukan plugin. Jawaban Grant Palin memberikan lebih banyak wawasan tentang mengapa orang mungkin menginginkan plugin. Jawaban Dan Gayle menunjukkan bahwa banyak tema menyediakan segala macam fungsi plugin tanpa secara eksplisit menggunakan plugin WordPress.



Keamanan Inti

Inti WordPress itu sendiri sangat aman, dan komunitas pengembang inti melakukan pekerjaan terhormat mengisolasi dan menambal kerentanan keamanan segera setelah mereka diidentifikasi - salah satu manfaat dari memiliki ratusan juta pengguna dan rata-rata sekitar 200 kontributor inti per rilis . Dan risiko yang dulunya ada selama durasi antara identifikasi kerentanan dan rilis perbaikannya dengan cepat dihilangkan dengan penambahan Pembaruan Inti Otomatis .

Kutipan dari infografis keamanan Pagely WordPress.  Klik untuk melihatnya secara keseluruhan.

Infografis keamanan WordPress dari Pagely (Cukup banyak info padat - klik untuk melihatnya secara keseluruhan)

Ya, WordPress memiliki kerentanan keamanan yang melekat . Tapi begitu juga Drupal , CakePHP, Ruby on Rails , Symfony, Zend, dll .... Tidak ada platform atau sistem yang akan saya gunakan tanpa menerapkan tindakan pencegahan keamanan tambahan selain yang sudah disediakan oleh platform. Saya pikir itu hanya ide yang buruk untuk mengandalkan CMS atau kerangka kerja saja untuk keamanan garis depan situs web apa pun , terutama kerangka kerja dengan tingkat adopsi yang terkenal.



Keamanan Plugin

Plugin tidak pasti tidak aman. Masalahnya adalah bahwa plugin tidak diperiksa untuk memastikan bahwa penulisnya mengikuti praktik keamanan yang baik. WordPress telah menetapkan sejumlah standar yang harus diikuti penulis , tetapi banyak plugin dibuat oleh pemula atau orang lain yang mengabaikan standar. Tetapi seperti semua basis kode yang ada, semakin banyak kode yang Anda tambahkan ke sistem, semakin besar kemungkinan untuk memperkenalkan bug dan kerentanan . Semakin banyak plugin yang Anda tambahkan ke instalasi Anda, semakin besar risiko yang cenderung Anda ambil. Dengan cara yang sama, ketahuilah bahwa tema WordPress menghadirkan ancaman yang sama jahatnya - terutama membunuh "tema gratis" yang tersedia dari situs-situs tema yang tidak dikenal, yang banyak di antaranya berupaya untuk secara langsung mengeksploitasi situs Anda.daripada secara tidak sengaja mengekspos kerentanan keamanan melalui ketidaktahuan atau kecelakaan. Hanya dapatkan tema dan plugin dari sumber tepercaya dan penulis yang kredibel.

Aturan praktisnya adalah untuk tidak memasang plugin dari penulis atau plugin yang tidak dikenal secara luas yang relatif baru di tempat kejadian. Jika Anda bisa, luangkan waktu untuk membangun kredibilitas penulis. Idealnya, pelajari faktor-faktor yang masuk ke plugin yang diamankan dengan baik ( angka-digunakan-sekali [alias "nonce"] untuk permintaan dan otentikasi URL, sanitasi input , pelolosan output , pencegahan akses langsung ke file plugin , akses yang tepat dari database melalui metode dan fungsi WordPress , tidak adanya kesalahan dan pemberitahuan penghentian ketika debugging diaktifkan [tidak mengaktifkannya di lingkungan produksi], dll.) dan memeriksa setiap plugin yang Anda instal sendiri.Tidak ada pengganti untuk memahami apa yang masuk ke skrip plugin yang aman , juga tidak ada pertahanan yang lebih baik dari plugin jelek.

Jika pemikiran tentang plugin dan tema yang tidak aman membuat Anda takut atau Anda tidak terbiasa atau ingin menjadi terbiasa dengan PHP, Anda mungkin menemukan layanan WordPress.com lebih sebagai secangkir teh karena mereka memikul tanggung jawab untuk memeriksa plugin dan tema dan hanya izinkan yang ditentukan untuk aman dipasang di situs pengguna. Anda masih dapat menggunakan domain khusus dengan WordPress.com jika diinginkan.



Kembali ke atas

Beberapa host menyediakan layanan seperti itu, yang lain tidak. Sama seperti saya tidak mempercayai keamanan platform apa pun untuk berdiri sendiri, saya tidak percaya host apa pun untuk mengurus cadangan saya. Sebaliknya, saya lebih memilih untuk membuat cadangan saya di Dropbox dan disinkronkan ke server yang berbeda sehingga saya dapat yakin bahwa saya selalu memiliki akses langsung ke cadangan saya dengan salinan pada beberapa sistem yang berbeda. Jika host saya turun atau dibeli oleh perusahaan yang lebih besar atau kemalangan hosting lain, situs saya hanya berjarak beberapa klik saja tanpa risiko harus berurusan dengan dukungan host saya.



Catatan Akhir

Anda harus membaca entri codex di Hardening WordPress untuk saran keamanan lebih lanjut. Jika Anda tidak berpikir bahwa Anda harus membutuhkan banyak plugin atau plugin yang tidak jelas di masa depan, mungkin lebih bijaksana untuk memiliki WordPress.com atau penyedia hosting WordPress yang dikelola alternatif seperti Pagely menjadi host blog Anda.

Terlepas dari fitur "Pembaruan Inti Otomatis" baru dari WordPress, Anda harus tetap berusaha memastikan secara manual bahwa pemasangan Anda dan semua plugin serta tema Anda mutakhir. Beberapa mungkin berpikir itu berlebihan, tapi saya suka mengaktifkan debug setelah pembaruan dan memastikan bahwa tidak ada plugin atau tema yang kehilangan kompatibilitas (aliran kesalahan dan pemberitahuan penghentian adalah gejala yang kuat dari ini). Jika ada, saya menonaktifkannya sampai penulis memperbaruinya, atau membuat perubahan yang diperlukan untuk menahan saya sampai mereka merilis pembaruan resmi. Perhatikan bahwa Anda harus membuat offline situs web Anda atau menjalankan salinan pengembangan situs web offline Anda sebelum Anda mengaktifkan debugging untuk memecahkan masalah apa pun.

Saya tidak yakin dengan prevalensi praktik pengeboman klik menurut Ad, tetapi plugin WordPress yang menawarkan untuk mengurangi efek bom klik semacam itu menawarkan kepada Anda lapisan keamanan tambahan selain tindakan pencegahan apa pun yang dilakukan Google. Situs-situs web yang tidak menjalankan WordPress menghadapi ancaman yang sama persis mengenai pengeboman klik, dan harus menerapkan perlindungan dengan cara lain atau bertahan tanpa itu.


Sumber daya tambahan


hebat, jawaban terperinci!
Will the Mechanic Web

2
Video YouTube tidak membutuhkan plugin. Mereka tertanam di instalasi WP default. Sudah sejak lama.
Dan Gayle

Tangkapan yang bagus, Dan! Saya mengedit jawaban saya untuk akun ini. Saya juga telah kembali dan memformat ulang respons saya untuk mudah dibaca dan menambahkan sejumlah sumber daya terkait yang tidak bertuhan untuk memberikan informasi yang lebih terperinci.
bosco

Saya telah berpikir bahwa pernah ada halaman Codex yang sepenuhnya ditujukan untuk praktik terbaik keamanan plugin tapi sepertinya saya tidak dapat menemukannya sekarang. Harusnya ada ...
bosco

1
bosco: Membuatku cemburu pada gambar. Saya mungkin kembali dan membuat infografik sendiri: p
Dan Gayle

7

Sederhananya - WordPress melakukan apa yang dilakukannya di luar kotak, tanpa diperlukan plugin.

Namun! Orang yang berbeda memiliki ide yang berbeda tentang apa lagi yang harus ia lakukan. Beberapa dari gagasan itu masuk akal. Beberapa benar-benar gila.

Khususnya pada contoh Anda:

  • WP (atau lebih tepatnya versi stabil saat ini untuk saat ini) aman, banyak plugin keamanan fokus pada audit (hal-hal seperti kode plugin lain) dan pemantauan proaktif (tidak ada yang benar- benar aman).

  • banyak orang (termasuk saya) tidak mempercayai pihak ketiga untuk menangani backup. Ada banyak cerita horor di sekitar bagaimana mempercayai host dengan cadangan menyebabkan hasil yang agak menyedihkan dan kecuali Anda secara pribadi dapat memantau, mengakses, dan memverifikasi cadangan bahwa host [seharusnya] menganggap lebih aman untuk memperlakukan mereka seolah-olah mereka tidak ada.


Inilah bukti tentang apa yang dapat terjadi dengan membuat cadangan host Anda atau tidak membuat smh.com.au/technology/security/…
Brad Dalton

3

WordPress cukup fungsional sendiri. Jika kebutuhan Anda mudah, atau Anda tahu cara menambahkan fungsionalitas khusus, biasanya tidak diperlukan plugin. Namun, ada keuntungan dari model plugin, beberapa yang akan saya sebutkan:

  • fungsionalitas modular, plug and play (kebanyakan)
  • merangkum fungsi khusus
  • hindari menciptakan kembali roda
  • manfaat dari pekerjaan penulis plugin berpengalaman

Mengacu pada poin kedua hingga terakhir, jika ada fungsi tertentu yang ingin Anda tambahkan, kemungkinan besar sudah diterapkan dalam bentuk plugin. Tidak salah untuk mendapat manfaat dari pekerjaan yang telah dilakukan.

Per poin terakhir, banyak plugin yang tersedia adalah hasil dari jam dan pengalaman pengembang. Plugin semacam itu cenderung dibangun dengan baik dan didukung, dan memiliki reputasi untuk digunakan. Lihatlah Pippin Williamson, Scott Kingsley Clark, dan Alex King, untuk menyebutkan beberapa saja. Mereka tidak hanya memiliki keterampilan teknis, mereka memiliki kredibilitas . Ini adalah manfaat luar biasa dari plugin pihak ketiga tertentu.

Dalam hal cadangan, saya akan enggan mempercayai web host dengan sesuatu yang sangat penting, terutama jika cadangan disimpan di server yang sama atau di dalam jaringan yang sama. Plugin pihak ketiga atau pendekatan DIY memberi Anda lebih banyak kontrol, serta biasanya menyimpan cadangan di lokasi yang sangat terpisah dari situs web.

Plugin keamanan tidak sepenuhnya diperlukan, jika seseorang memiliki pengetahuan untuk menangani pengaturan keamanan sendiri. Beberapa plugin semacam itu, seperti Better WP Security , menyederhanakan penanganan izin file, .htaccessarahan, dan sejenisnya. Lainnya seperti WordFence menyediakan layanan pemantauan, sementara Limit Login Attempts menyediakan beberapa perlindungan untuk backend situs.

Jika Anda khawatir tentang kualitas plugin, itu bisa menjadi hit atau miss selingkuh. Mereka yang di repo plugin WordPress saya pikir menjalani setidaknya beberapa pemeriksaan oleh orang-orang di belakang WordPress, tetapi kualitas atau nilai cukup variabel - dan sangat tergantung pada kebutuhan dan kemampuan Anda. Jika sebuah plugin ditinjau dengan baik, memiliki dukungan aktif, dan berasal dari penulis atau tim terkenal, Anda mungkin berada di tangan yang tepat.


2

Cadangan

Cadangan dapat diurus oleh tuan rumah Anda, tetapi biasanya hanya menawarkan pendekatan "semua atau tidak sama sekali". Jika Anda menggunakan plugin, Anda dapat melakukan backup file mingguan dan backup DB harian, jalankan sebelum Anda melakukan perawatan, atau menyimpan file backup ke akun SFTP / S3. Tidak dapat melakukannya di luar kotak tanpa plugin.

Performa

Karena kekhawatiran Anda dalam kinerja (seperti yang dibuktikan oleh referensi Pagespeed Anda), satu-satunya cara saya tahu untuk menggunakan CDN pihak ketiga untuk hosting gambar Anda adalah dengan menggunakan plugin (kecuali jika Anda benar - benar tertarik dalam skrip di server Anda, di kasus mana Anda mungkin tidak akan mengajukan pertanyaan ini di sini).

Perawatan Jangka Panjang

Fungsionalitas apa pun yang berada di luar ruang lingkup WP itu sendiri dan memodifikasi / mengubah konten Anda (seperti kode pendek) harus berada di plugin, karena Anda suatu hari nanti hampir pasti akan mengubah tema Anda dan Anda tidak ingin banyak konten yang rusak pada Anda situs

Input Pengguna

Input pengguna adalah tempat banyak kerentanan keamanan masuk, jadi jika Anda menerima data pengguna dalam bentuk apa pun, saya pasti akan mempertimbangkan untuk menggunakan plugin yang memiliki reputasi baik untuk mengatasinya. Mereka lebih mungkin diperiksa oleh orang lain dan telah diuji daripada beberapa bentuk kode tangan yang mungkin ingin Anda tambahkan.


NAMUN

Terkadang semua yang Anda butuhkan ada di tema Anda. (TERUTAMA jika Anda membelinya di Code Canyon / Envato, dll., Karena mereka tampaknya sangat didorong "fitur".)

Kadang-kadang, itu benar-benar hanya lebih mudah untuk membuat mod untuk tema Anda daripada berurusan dengan plugin, seperti bagian yang baik dari plugin "seo".


Temukan contoh-contoh fungsionalitas yang sangat diinginkan yang hanya dapat diperoleh melalui plugin; ini pasti beberapa aspek utama!
bosco

1
Saya tidak mengatakan bahwa mereka tidak dilakukan secara profesional, beberapa di antaranya sangat bagus. Saya mengatakan bahwa ada perlombaan senjata yang terjadi di sana untuk "fitur" yang paling banyak ditambahkan, dan saya sengaja menghindari membeli tema yang saya inginkan karena itu memiliki terlalu banyak fungsi yang bertentangan dengan situs yang saya jalankan. Saya berharap beberapa dari mereka hanya memiliki template dan stylesheet dasar, tanpa barang tambahan.
Dan Gayle

Titik adil. Mereka cenderung membengkak dengan "ciri-ciri" yang tidak memiliki tujuan lain selain bulu ekor merak. Saya tentu saja memilih untuk mengonversi templat HTML sendiri daripada membeli counter WP yang bengkak dalam beberapa contoh.
bosco

0

Sebenarnya itu tergantung pada kebutuhan Anda. Jika Anda ingin menambahkan lebih banyak fungsi untuk situs Anda tanpa memodifikasi file tema maka tentu saja Anda memerlukan plugin.


Anda dapat menambahkan fungsi tema di file fungsi tema anak Anda tanpa plugin.
Brad Dalton

Ya, tema anak dapat menjadi solusi tetapi itu akan menjadi solusi yang rumit ketika Anda memiliki pilihan untuk menyelesaikan masalah Anda dengan cara yang cepat dan efektif tanpa mengubah file tema Anda.
WpMania.Net

0

Mereka penting jika Anda ingin menambahkan sistem eCommerce atau sepenuhnya menyesuaikan tema anak, jika tidak, Anda perlu menyelesaikan sejumlah besar pengkodean khusus untuk hal-hal seperti eCommerce.

Poin penting lainnya adalah perbedaan antara menggunakan tema yang mencakup sejumlah besar opsi tema dibandingkan dengan tema yang menawarkan sejumlah besar plugin khusus tema.

Ini jelas lebih mudah untuk menyesuaikan WordPress dengan menginstal plugin untuk menambah fungsionalitas daripada menggunakan tema yang mencakup sejumlah besar opsi bawaan karena dengan begitu Anda perlu memfilter fungsi yang ada menggunakan kode daripada menginstal plugin hanya untuk menambahkan fungsi yang Anda butuhkan. menggunakan.

Kode dalam plugin juga diperbarui ketika versi baru WordPress juga dalam Beta dan jika plugin tidak diperbarui, Anda dapat dengan mudah menghapus dan menginstal plugin baru.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.