Saya baru mengenal WordPress. Baru-baru ini saya membaca sebuah artikel tentang bagaimana peretas dapat mengeksploitasi kerentanan dalam plugin. Berbagai sumber seperti Google Pagespeed juga telah mencegah saya menggunakan plugin atau setidaknya membuatnya seminimal mungkin. Secara pribadi, saya juga mencoba menghindari plugin karena saya merasa lebih bisa mengendalikan apa yang terjadi di situs saya, dan mengunduh satu hampir terasa seperti 'Hebat, hal lain yang harus saya pelajari cara menggunakan'.

Saya mengerti bahwa 'Plugin-rekomendasi' adalah di luar topik, tetapi apa yang saya cari sebenarnya adalah penjelasan mengapa / jika beberapa plugin sangat penting di WordPress.

Ambil ini sebagai contoh:

Keamanan - Beberapa plugin teratas berkaitan dengan keamanan. Tetapi apakah situs WordPress rentan secara umum? Mengapa saya memerlukan plugin tambahan untuk menghindari eksploitasi?

Cadangkan - Saya baru mengenal dunia blogging, tetapi tidakkah kebanyakan host menyediakan layanan cadangan? Atau apakah saya perlu plugin khusus untuk itu dengan WordPress?

Pemantauan Penipuan Klik-AdSense - Seharusnya memblokir bom klik untuk menghindari pembuangan dari Google. Tapi saya tidak mengerti, apakah beberapa klik palsu yang harus dilakukan semua orang untuk mematikan pendapatan Anda kecuali Anda mengunduh plugin?

Sunting: Mungkin lebih baik untuk meminta yang satu ini di dukungan Google, abaikan saja

Kebutuhan Plugin

Apa perlunya plugin benar-benar bermuara adalah pertanyaan, " Apakah saya puas bahwa fungsionalitas inti WordPress adalah semua yang saya butuhkan? "

Jika semua yang Anda inginkan adalah blog sederhana dengan beberapa kategori dan sejumlah halaman statis yang Anda atur. Tetapi jika Anda ingin mulai mengintegrasikan peta interaktif, kalender dengan acara, mungkin REST API pihak ketiga, memaksa pengguna untuk menggunakan kata sandi yang kuat, atau bahkan mengubah situs menjadi jejaring sosial maka Anda memerlukan plugin. Jawaban Grant Palin memberikan lebih banyak wawasan tentang mengapa orang mungkin menginginkan plugin. Jawaban Dan Gayle menunjukkan bahwa banyak tema menyediakan segala macam fungsi plugin tanpa secara eksplisit menggunakan plugin WordPress.

Keamanan Inti

Inti WordPress itu sendiri sangat aman, dan komunitas pengembang inti melakukan pekerjaan terhormat mengisolasi dan menambal kerentanan keamanan segera setelah mereka diidentifikasi - salah satu manfaat dari memiliki ratusan juta pengguna dan rata-rata sekitar 200 kontributor inti per rilis . Dan risiko yang dulunya ada selama durasi antara identifikasi kerentanan dan rilis perbaikannya dengan cepat dihilangkan dengan penambahan Pembaruan Inti Otomatis .

_{^{Infografis keamanan WordPress dari Pagely (Cukup banyak info padat - klik untuk melihatnya secara keseluruhan)}}

Ya, WordPress memiliki kerentanan keamanan yang melekat . Tapi begitu juga Drupal , CakePHP, Ruby on Rails , Symfony, Zend, dll .... Tidak ada platform atau sistem yang akan saya gunakan tanpa menerapkan tindakan pencegahan keamanan tambahan selain yang sudah disediakan oleh platform. Saya pikir itu hanya ide yang buruk untuk mengandalkan CMS atau kerangka kerja saja untuk keamanan garis depan situs web apa pun , terutama kerangka kerja dengan tingkat adopsi yang terkenal.

Keamanan Plugin

Plugin tidak pasti tidak aman. Masalahnya adalah bahwa plugin tidak diperiksa untuk memastikan bahwa penulisnya mengikuti praktik keamanan yang baik. WordPress telah menetapkan sejumlah standar yang harus diikuti penulis , tetapi banyak plugin dibuat oleh pemula atau orang lain yang mengabaikan standar. Tetapi seperti semua basis kode yang ada, semakin banyak kode yang Anda tambahkan ke sistem, semakin besar kemungkinan untuk memperkenalkan bug dan kerentanan . Semakin banyak plugin yang Anda tambahkan ke instalasi Anda, semakin besar risiko yang cenderung Anda ambil. Dengan cara yang sama, ketahuilah bahwa tema WordPress menghadirkan ancaman yang sama jahatnya - terutama membunuh "tema gratis" yang tersedia dari situs-situs tema yang tidak dikenal, yang banyak di antaranya berupaya untuk secara langsung mengeksploitasi situs Anda.daripada secara tidak sengaja mengekspos kerentanan keamanan melalui ketidaktahuan atau kecelakaan. Hanya dapatkan tema dan plugin dari sumber tepercaya dan penulis yang kredibel.

Aturan praktisnya adalah untuk tidak memasang plugin dari penulis atau plugin yang tidak dikenal secara luas yang relatif baru di tempat kejadian. Jika Anda bisa, luangkan waktu untuk membangun kredibilitas penulis. Idealnya, pelajari faktor-faktor yang masuk ke plugin yang diamankan dengan baik ( angka-digunakan-sekali [alias "nonce"] untuk permintaan dan otentikasi URL, sanitasi input , pelolosan output , pencegahan akses langsung ke file plugin , akses yang tepat dari database melalui metode dan fungsi WordPress , tidak adanya kesalahan dan pemberitahuan penghentian ketika debugging diaktifkan [tidak mengaktifkannya di lingkungan produksi], dll.) dan memeriksa setiap plugin yang Anda instal sendiri.Tidak ada pengganti untuk memahami apa yang masuk ke skrip plugin yang aman , juga tidak ada pertahanan yang lebih baik dari plugin jelek.

Jika pemikiran tentang plugin dan tema yang tidak aman membuat Anda takut atau Anda tidak terbiasa atau ingin menjadi terbiasa dengan PHP, Anda mungkin menemukan layanan WordPress.com lebih sebagai secangkir teh karena mereka memikul tanggung jawab untuk memeriksa plugin dan tema dan hanya izinkan yang ditentukan untuk aman dipasang di situs pengguna. Anda masih dapat menggunakan domain khusus dengan WordPress.com jika diinginkan.

Kembali ke atas

Beberapa host menyediakan layanan seperti itu, yang lain tidak. Sama seperti saya tidak mempercayai keamanan platform apa pun untuk berdiri sendiri, saya tidak percaya host apa pun untuk mengurus cadangan saya. Sebaliknya, saya lebih memilih untuk membuat cadangan saya di Dropbox dan disinkronkan ke server yang berbeda sehingga saya dapat yakin bahwa saya selalu memiliki akses langsung ke cadangan saya dengan salinan pada beberapa sistem yang berbeda. Jika host saya turun atau dibeli oleh perusahaan yang lebih besar atau kemalangan hosting lain, situs saya hanya berjarak beberapa klik saja tanpa risiko harus berurusan dengan dukungan host saya.

Catatan Akhir

Anda harus membaca entri codex di Hardening WordPress untuk saran keamanan lebih lanjut. Jika Anda tidak berpikir bahwa Anda harus membutuhkan banyak plugin atau plugin yang tidak jelas di masa depan, mungkin lebih bijaksana untuk memiliki WordPress.com atau penyedia hosting WordPress yang dikelola alternatif seperti Pagely menjadi host blog Anda.

Terlepas dari fitur "Pembaruan Inti Otomatis" baru dari WordPress, Anda harus tetap berusaha memastikan secara manual bahwa pemasangan Anda dan semua plugin serta tema Anda mutakhir. Beberapa mungkin berpikir itu berlebihan, tapi saya suka mengaktifkan debug setelah pembaruan dan memastikan bahwa tidak ada plugin atau tema yang kehilangan kompatibilitas (aliran kesalahan dan pemberitahuan penghentian adalah gejala yang kuat dari ini). Jika ada, saya menonaktifkannya sampai penulis memperbaruinya, atau membuat perubahan yang diperlukan untuk menahan saya sampai mereka merilis pembaruan resmi. Perhatikan bahwa Anda harus membuat offline situs web Anda atau menjalankan salinan pengembangan situs web offline Anda sebelum Anda mengaktifkan debugging untuk memecahkan masalah apa pun.

Saya tidak yakin dengan prevalensi praktik pengeboman klik menurut Ad, tetapi plugin WordPress yang menawarkan untuk mengurangi efek bom klik semacam itu menawarkan kepada Anda lapisan keamanan tambahan selain tindakan pencegahan apa pun yang dilakukan Google. Situs-situs web yang tidak menjalankan WordPress menghadapi ancaman yang sama persis mengenai pengeboman klik, dan harus menerapkan perlindungan dengan cara lain atau bertahan tanpa itu.

Sumber daya tambahan

• Codex: Menulis Plugin

  ^{Pengantar yang berfokus secara fungsional pada pengaya plugin dengan beberapa tip keamanan yang dicampurkan. Secara khusus, perhatikan bagian Saran Pengembangan Plugin di dekat bagian bawah halaman.}

• Codex: Memvalidasi Sanitasi dan Lolos Data Pengguna

  ^{Pengantar singkat tentang konsep-konsep ini dan mengapa itu penting.}

• Codex: FAQ Keamanan

• Buku Pegangan: Standar Pengodean PHP

  ^{Standar kode PHP yang berfokus secara sintaksis di WordPress dengan beberapa kiat keamanan yang saling terkait.}

• Buku Pegangan: Standar Dokumentasi Inline PHP

  ^{Saya benar-benar ingin memberitahu Anda untuk tidak pernah menginstal plugin yang mengabaikan dokumentasi in-line, tetapi pada kenyataannya bahkan pengembang yang baik tidak selalu melakukan ini. Meskipun demikian, dokumentasi in-line yang hangat lengkap dengan tag PHPDoc adalah indikasi yang baik bahwa penulis memiliki ide tentang apa yang mereka lakukan.}

• WPSE: "Apa Praktik Keamanan Terbaik untuk Plugin dan Tema WordPress?"

  ^{Jawaban atas pertanyaan ini memberikan beberapa poin tambahan yang tidak tercantum dalam sumber lain. Perhatikan bahwa pertanyaan ini dikunci dan tidak akan diperbarui untuk mencerminkan perkembangan baru.}

• WPSE: "Dalam Konteks Mana Plugin Bertanggung Jawab atas Validasi Data / Sanitasi?"

  ^{Singkatnya, "Kapan saya perlu mengamankan data saya dan kapan fungsi inti menanganinya untuk saya?"}

• WPSE: "Siapa pengembang plugin yang paling tepercaya?"

  ^{Daftar kecil beberapa nama yang paling tepercaya dan terkenal dalam pengembangan plugin WordPress. Tentu saja tidak lengkap dengan cara apa pun, tetapi tempat awal yang baik untuk beberapa "taruhan pasti". Perhatikan bahwa pertanyaan ini dikunci dan tidak akan diperbarui untuk mencerminkan perkembangan baru.}

• WPSE: Bagaimana saya bisa membangun kredibilitas penulis tema / plugin? "

  ^{Ditulis berdasarkan pertanyaan ini mengenai perlunya plugin, mudah-mudahan pertanyaan ini akan menghasilkan proses umum untuk memilih penulis tema / plugin yang dapat dipercaya.}

• " Bahaya Ketidaktahuan Plugin WordPress (Dan Apa Yang Harus Dilakukan Tentang Itu) " - Tom Ewer

  ^{Tinjauan non-teknis yang solid tentang bahaya plugin.}

• " Mengembangkan untuk WordPress? Jaga kebersihan Anda " - Mike Jolley

  ^{Tinjauan teknis singkat yang sangat baik tentang praktik terbaik untuk pengembangan plugin yang aman. Perhatikan bahwa infografis dari wptemplate.com yang ditautkan dalam artikel tersebut berisi beberapa tips tambahan yang bagus untuk keamanan WordPress secara keseluruhan, tetapi dikompilasi dengan buruk dan ditulis dalam bahasa Inggris yang rusak.}

• " 7 Aturan Sederhana: Praktik Terbaik Pengembangan Plugin WordPress " - WP Tuts +

  ^{Artikel pada Tuts + biasanya akurat dan berkualitas tinggi.}

• " Keamanan WordPress - Memotong BS " - Tony Perez

  Tinjauan teknis yang sangat baik tentang kerentanan keamanan dan tindakan pencegahan WordPress berdasarkan presentasi WordCamp Chicago 2012 Perez.

Sederhananya - WordPress melakukan apa yang dilakukannya di luar kotak, tanpa diperlukan plugin.

Namun! Orang yang berbeda memiliki ide yang berbeda tentang apa lagi yang harus ia lakukan. Beberapa dari gagasan itu masuk akal. Beberapa benar-benar gila.

Khususnya pada contoh Anda:

• WP (atau lebih tepatnya versi stabil saat ini untuk saat ini) aman, banyak plugin keamanan fokus pada audit (hal-hal seperti kode plugin lain) dan pemantauan proaktif (tidak ada yang benar- benar aman).

• banyak orang (termasuk saya) tidak mempercayai pihak ketiga untuk menangani backup. Ada banyak cerita horor di sekitar bagaimana mempercayai host dengan cadangan menyebabkan hasil yang agak menyedihkan dan kecuali Anda secara pribadi dapat memantau, mengakses, dan memverifikasi cadangan bahwa host [seharusnya] menganggap lebih aman untuk memperlakukan mereka seolah-olah mereka tidak ada.

WordPress cukup fungsional sendiri. Jika kebutuhan Anda mudah, atau Anda tahu cara menambahkan fungsionalitas khusus, biasanya tidak diperlukan plugin. Namun, ada keuntungan dari model plugin, beberapa yang akan saya sebutkan:

• fungsionalitas modular, plug and play (kebanyakan)
• merangkum fungsi khusus
• hindari menciptakan kembali roda
• manfaat dari pekerjaan penulis plugin berpengalaman

Mengacu pada poin kedua hingga terakhir, jika ada fungsi tertentu yang ingin Anda tambahkan, kemungkinan besar sudah diterapkan dalam bentuk plugin. Tidak salah untuk mendapat manfaat dari pekerjaan yang telah dilakukan.

Per poin terakhir, banyak plugin yang tersedia adalah hasil dari jam dan pengalaman pengembang. Plugin semacam itu cenderung dibangun dengan baik dan didukung, dan memiliki reputasi untuk digunakan. Lihatlah Pippin Williamson, Scott Kingsley Clark, dan Alex King, untuk menyebutkan beberapa saja. Mereka tidak hanya memiliki keterampilan teknis, mereka memiliki kredibilitas . Ini adalah manfaat luar biasa dari plugin pihak ketiga tertentu.

Dalam hal cadangan, saya akan enggan mempercayai web host dengan sesuatu yang sangat penting, terutama jika cadangan disimpan di server yang sama atau di dalam jaringan yang sama. Plugin pihak ketiga atau pendekatan DIY memberi Anda lebih banyak kontrol, serta biasanya menyimpan cadangan di lokasi yang sangat terpisah dari situs web.

Plugin keamanan tidak sepenuhnya diperlukan, jika seseorang memiliki pengetahuan untuk menangani pengaturan keamanan sendiri. Beberapa plugin semacam itu, seperti Better WP Security , menyederhanakan penanganan izin file, .htaccessarahan, dan sejenisnya. Lainnya seperti WordFence menyediakan layanan pemantauan, sementara Limit Login Attempts menyediakan beberapa perlindungan untuk backend situs.

Jika Anda khawatir tentang kualitas plugin, itu bisa menjadi hit atau miss selingkuh. Mereka yang di repo plugin WordPress saya pikir menjalani setidaknya beberapa pemeriksaan oleh orang-orang di belakang WordPress, tetapi kualitas atau nilai cukup variabel - dan sangat tergantung pada kebutuhan dan kemampuan Anda. Jika sebuah plugin ditinjau dengan baik, memiliki dukungan aktif, dan berasal dari penulis atau tim terkenal, Anda mungkin berada di tangan yang tepat.

Cadangan

Cadangan dapat diurus oleh tuan rumah Anda, tetapi biasanya hanya menawarkan pendekatan "semua atau tidak sama sekali". Jika Anda menggunakan plugin, Anda dapat melakukan backup file mingguan dan backup DB harian, jalankan sebelum Anda melakukan perawatan, atau menyimpan file backup ke akun SFTP / S3. Tidak dapat melakukannya di luar kotak tanpa plugin.

Performa

Karena kekhawatiran Anda dalam kinerja (seperti yang dibuktikan oleh referensi Pagespeed Anda), satu-satunya cara saya tahu untuk menggunakan CDN pihak ketiga untuk hosting gambar Anda adalah dengan menggunakan plugin (kecuali jika Anda benar - benar tertarik dalam skrip di server Anda, di kasus mana Anda mungkin tidak akan mengajukan pertanyaan ini di sini).

Perawatan Jangka Panjang

Fungsionalitas apa pun yang berada di luar ruang lingkup WP itu sendiri dan memodifikasi / mengubah konten Anda (seperti kode pendek) harus berada di plugin, karena Anda suatu hari nanti hampir pasti akan mengubah tema Anda dan Anda tidak ingin banyak konten yang rusak pada Anda situs

Input Pengguna

Input pengguna adalah tempat banyak kerentanan keamanan masuk, jadi jika Anda menerima data pengguna dalam bentuk apa pun, saya pasti akan mempertimbangkan untuk menggunakan plugin yang memiliki reputasi baik untuk mengatasinya. Mereka lebih mungkin diperiksa oleh orang lain dan telah diuji daripada beberapa bentuk kode tangan yang mungkin ingin Anda tambahkan.

NAMUN

Terkadang semua yang Anda butuhkan ada di tema Anda. (TERUTAMA jika Anda membelinya di Code Canyon / Envato, dll., Karena mereka tampaknya sangat didorong "fitur".)

Kadang-kadang, itu benar-benar hanya lebih mudah untuk membuat mod untuk tema Anda daripada berurusan dengan plugin, seperti bagian yang baik dari plugin "seo".

Sebenarnya itu tergantung pada kebutuhan Anda. Jika Anda ingin menambahkan lebih banyak fungsi untuk situs Anda tanpa memodifikasi file tema maka tentu saja Anda memerlukan plugin.

Mereka penting jika Anda ingin menambahkan sistem eCommerce atau sepenuhnya menyesuaikan tema anak, jika tidak, Anda perlu menyelesaikan sejumlah besar pengkodean khusus untuk hal-hal seperti eCommerce.

Poin penting lainnya adalah perbedaan antara menggunakan tema yang mencakup sejumlah besar opsi tema dibandingkan dengan tema yang menawarkan sejumlah besar plugin khusus tema.

Ini jelas lebih mudah untuk menyesuaikan WordPress dengan menginstal plugin untuk menambah fungsionalitas daripada menggunakan tema yang mencakup sejumlah besar opsi bawaan karena dengan begitu Anda perlu memfilter fungsi yang ada menggunakan kode daripada menginstal plugin hanya untuk menambahkan fungsi yang Anda butuhkan. menggunakan.

Kode dalam plugin juga diperbarui ketika versi baru WordPress juga dalam Beta dan jika plugin tidak diperbarui, Anda dapat dengan mudah menghapus dan menginstal plugin baru.