問題描述

我是 WordPress 的新手。我最近讀了一篇關於黑客如何利用插件漏洞的文章。 Google Pagespeed 等各種來源也使我無法使用插件,或者至少將其保持在最低限度。就我個人而言,我也試圖避免插件,因為我覺得更多的是控制我的網站上發生了什麼,而下載的東西幾乎覺得 「好,另一件事我必須學習如何使用」 。

我明白’Plugins-recommendation’ 是 off-topic,但是我之後實際上是解釋為什麼/如果一些插件是必不可少的 WordPress 。

以這些為例:

安全性 – 幾個頂級插件與安全性有關。但 WordPress 網站一般易受攻擊?為什麼我需要一個額外的插件來避免剝削?

備份 – 我是博客世界的新手,但大多數主機不提供備份服務?或者我需要使用 WordPress 的特殊插件嗎?

AdSense Click-Fraud 監控 – 用於阻止點擊炸彈以避免從 Google 流放。但是我不明白,除非你下載插件,所有人都要做的只是關閉你的收入,

編輯:可能會更好地在 Google 支持中提出這一點,如果是這樣,請忽略它

最佳解決方案

插件必要性

插件真正歸結的必要性是一個問題,「我很滿意 WordPress 的核心功能是我需要的嗎?

如果您想要的是一個簡單的博客,其中包含一些類別和一些靜態頁面。但是,如果要開始集成交互式 Map,壓縮器與事件,也許是 3rd-party REST API,強制用户使用強密碼,甚至將網站轉變為社交網絡,然後您需要插件。 Grant Palin’s answer 提供了更多的洞察為什麼可能需要插件。 Dan Gayle’s answer 指出,許多主題提供各種插件功能,而無需明確使用 WordPress 插件。

核心安全

WordPress 核心本身是非常安全的,核心開發人員社區在識別安全漏洞時就會分離和修補安全漏洞,這是每個發行版擁有數億用户和平均約 200 個核心貢獻者的好處之一。而且在添加 Automatic Core Updates 之前,很快就會消除在確定漏洞和釋放其修復程序之間的過程中存在的風險。

Excerpt from a Pagely WordPress security infographic. Click to view it in its entirety. http://mikejolley.com/wp-content/uploads/2013/08/Screen-Shot-2013-08-13-at-18.09.25.png

WordPress security infographic from Pagely (Fair amount of solid info – click through to view it in its entirety)

是的,WordPress has inherent security vulnerabilities 。但是 Drupal,CakePHP,Ruby on Rails,Symfony,Zend 等也是如此。除了平台已經提供的安全預防措施之外,沒有任何平台或系統可以使用。我認為只要依靠 CMS 或框架,任何網站的 front-line 安全性,特別是具有顯著的採用率的任何框架,這是一個壞主意。

插件安全性

插件不是絕對不安全的。問題是插件沒有被審查,以確保他們的作者遵循良好的安全措施。 WordPress 已經提出了許多作者應遵循的標準,但許多插件是由新手或其他忽略標準的人創作的。但是與現有的所有 code-bases 一樣,添加到系統中的代碼越多,引入錯誤和漏洞的可能性就越大。您添加到安裝中的插件越多,您傾向於採取的風險越大。同樣的方式,知道 WordPress 主題同樣具有惡意的威脅 – 特別是”free themes” 可以從模糊的 theme-sites,many of which attempt to directly exploit your site 中獲取,而不是通過無知或意外暴露安全漏洞。只能從信任的來源和可靠的作者獲取主題和插件。

經驗法則是不要從現場的相對較新的廣泛的未知作者或插件安裝插件。如果可以的話,花點時間來確定作者的信譽。理想情況下,得知進入一個 well-secured 插件的因素 (numbers-used-once [又名”nonce”s] 請求和 URL 驗證,input sanitizationoutput escapingprevention of direct access to plugin filesproper access of the database 通過 WordPress methods and functions,沒有錯誤和棄用通知的當啓用 debugging [啓用該功能以避免生產環境] 等),並檢查您自己安裝的每個插件。沒有什麼可以替代理解什麼進入安全的插件腳本,也沒有更好的防禦從笨蛋的插件。

如果不安全的插件和主題的想法恐嚇你或者你不熟悉或者不熟悉 PHP,你可能會發現 WordPress.com 的服務是更多的茶,因為他們承擔審查插件和主題的責任,只允許那些被確定要安全地安裝在用户的站點上。如果需要,您仍然可以使用 WordPress.com 的自定義域。

把它備份

一些主機提供這樣的服務,其他的則不提供。正如我不相信任何平台的安全性站在它自己的,我不相信任何主機來照顧我的備份。相反,我更喜歡將我的備份堆放在我的 Dropbox 中,並同步到不同的服務器,以便我可以確信,我總是可以直接訪問我的備份與副本在幾個不同的系統。如果我的主機掉頭了,或者是由一家大公司或其他一些主機的不幸收購,我的網站幾點點擊,甚至不必處理我的主機的支持。

最終註解

您應該閲讀 Hardening WordPress 上的 codex 條目以獲得更多的安全建議。如果您不認為將來需要使用許多插件或任何晦澀的插件,可能會讓 WordPress.com 或替代的受管理的 WordPress 主機提供商 (如 Pagely) 託管您的博客更為明智。

無論 WordPress 的新 「自動核心更新」 功能如何,您仍然應努力手動確保您的安裝和所有插件和主題都是最新的。有些人可能認為它過多,但我希望在更新後啓用調試,並確保沒有插件或主題丟失兼容性 (一串錯誤和棄用通知是一個強大的症狀) 。如果他們有,我禁用他們,直到他們的作者更新他們,或自己做必要的更改,以阻止我,直到他們發佈官方更新。請注意,您應該將網站脱機或運行您的網站的脱機開發副本,然後再啓用調試以排除任何問題。

我不確定 Ad-sense click-bombing 實踐的流行程度,但是為了減輕這種 click-bombs 的影響,WordPress 插件提供了額外的安全保護,除了 Google 已經採取的任何預防措施。沒有運行 WordPress 的網站面臨着與 click-bombing 相同的確切威脅,要麼通過其他方式實施保護或沒有保護。

Additional Resources

次佳解決方案

簡單地説 – WordPress 做它做的開箱即用,不需要插件。

然而!不同的人有什麼不同的想法應該做什麼。其中一些想法是健全的。有些是完全笨蛋。

具體在你的例子:

  • WP(或更準確地説是當前的穩定版本) 是安全的,許多安全插件專注於審計 (像其他插件代碼) 和主動監控 (沒有什麼是真正絕對安全的) 。

  • 許多人 (包括我) 不信任第三方來處理備份。有很多恐怖故事,關於如何信任主機與備份導致相當悲傷的結果,除非你可以親自監控,訪問和驗證備份,主持人 [認為] 採取更安全的對待他們,因為他們不存在。

第三種解決方案

WordPress 本身是功能齊全的。如果您的需求很簡單,或者您知道如何添加自定義功能,則通常不需要插件。但是,插件模型有其優點,我將列舉一些:

  • 模塊化,即插即用 (大多數) 功能

  • 封裝專門的功能

  • 避免重新發明車輪

  • 受益於經驗豐富的插件作者的工作

參考 second-to-last 點,如果您要添加某些功能,則可能已經以插件形式實現了幾率。從已經完成的工作中獲益是沒有錯的。

總而言之,許多可用的插件是開發人員的工作時間和經驗的結果。這樣的插件往往是 well-built 並且支持,並有聲望。看看 Pippin Williamson,Scott Kingsley Clark 和 Alex King,僅舉幾例。他們不僅擁有技術技能,而且具有信譽。這是某些 third-party 插件的巨大優勢。

在備份的情況下,我不願意信任那些非常重要的東西,特別是如果備份保存在同一個服務器或同一個網絡中。 third-party 插件或 DIY 方法為您提供更多的控制權,通常將備份存儲在與網站非常獨立的位置。

安全插件不是嚴格必要的,如果有一個 know-how 自己處理安全安排。一些這樣的插件,例如 Better WP Security,簡化了文件權限的處理,.htaccess 指令等。其他如 WordFence 提供監控服務,而限制登錄嘗試為站點後端提供一些保護。

如果你擔心插件質量,可能是一個打擊或錯過的事情。那些 WordPress 插件回購我認為至少接受 WordPress 背後的人的審查,但質量或價值是相當可變的,而且在很大程度上取決於您的需求和能力。如果一個插件是 well-reviewed,有一個積極的支持,來自一個 well-known 作者或團隊,你很有可能在手中。

參考文獻

注:本文內容整合自 Google/Baidu/Bing 輔助翻譯的英文資料結果。如果您對結果不滿意,可以加入我們改善翻譯效果:薇曉朵技術論壇。