WordPress 外掛是必不可少的

問題描述

我是 WordPress 的新手。我最近讀了一篇關於駭客如何利用外掛漏洞的文章。 Google Pagespeed 等各種來源也使我無法使用外掛，或者至少將其保持在最低限度。就我個人而言，我也試圖避免外掛，因為我覺得更多的是控制我的網站上發生了什麼，而下載的東西幾乎覺得「好，另一件事我必須學習如何使用」。

我明白’Plugins-recommendation’ 是 off-topic，但是我之後實際上是解釋為什麼/如果一些外掛是必不可少的 WordPress 。

以這些為例：

安全性 – 幾個頂級外掛與安全性有關。但 WordPress 網站一般易受攻擊？為什麼我需要一個額外的外掛來避免剝削？

備份 – 我是部落格世界的新手，但大多數主機不提供備份服務？或者我需要使用 WordPress 的特殊外掛嗎？

AdSense Click-Fraud 監控 – 用於阻止點選炸彈以避免從 Google 流放。但是我不明白，除非你下載外掛，所有人都要做的只是關閉你的收入，

編輯：可能會更好地在 Google 支援中提出這一點，如果是這樣，請忽略它

最佳解決方案

外掛必要性

外掛真正歸結的必要性是一個問題，「我很滿意 WordPress 的核心功能是我需要的嗎？

如果您想要的是一個簡單的部落格，其中包含一些類別和一些靜態頁面。但是，如果要開始整合互動式 Map，壓縮器與事件，也許是 3rd-party REST API，強制使用者使用強密碼，甚至將網站轉變為社交網路，然後您需要外掛。 Grant Palin’s answer 提供了更多的洞察為什麼可能需要外掛。 Dan Gayle’s answer 指出，許多主題提供各種外掛功能，而無需明確使用 WordPress 外掛。

核心安全

WordPress 核心本身是非常安全的，核心開發人員社群在識別安全漏洞時就會分離和修補安全漏洞，這是每個發行版擁有數億使用者和平均約 200 個核心貢獻者的好處之一。而且在新增 Automatic Core Updates 之前，很快就會消除在確定漏洞和釋放其修復程式之間的過程中存在的風險。

Excerpt from a Pagely WordPress security infographic. Click to view it in its entirety. http://mikejolley.com/wp-content/uploads/2013/08/Screen-Shot-2013-08-13-at-18.09.25.png

_{^{WordPress security infographic from Pagely}} _{^{(Fair amount of solid info – click through to view it in its entirety)}}

是的，WordPress has inherent security vulnerabilities 。但是 Drupal，CakePHP，Ruby on Rails，Symfony，Zend 等也是如此。除了平臺已經提供的安全預防措施之外，沒有任何平臺或系統可以使用。我認為只要依靠 CMS 或框架，任何網站的 front-line 安全性，特別是具有顯著的採用率的任何框架，這是一個壞主意。

外掛安全性

外掛不是絕對不安全的。問題是外掛沒有被審查，以確保他們的作者遵循良好的安全措施。 WordPress 已經提出了許多作者應遵循的標準，但許多外掛是由新手或其他忽略標準的人創作的。但是與現有的所有 code-bases 一樣，新增到系統中的程式碼越多，引入錯誤和漏洞的可能性就越大。您新增到安裝中的外掛越多，您傾向於採取的風險越大。同樣的方式，知道 WordPress 主題同樣具有惡意的威脅 – 特別是”free themes” 可以從模糊的 theme-sites，many of which attempt to directly exploit your site 中獲取，而不是透過無知或意外暴露安全漏洞。只能從信任的來源和可靠的作者獲取主題和外掛。

經驗法則是不要從現場的相對較新的廣泛的未知作者或外掛安裝外掛。如果可以的話，花點時間來確定作者的信譽。理想情況下，得知進入一個 well-secured 外掛的因素 (numbers-used-once [又名”nonce”s] 請求和 URL 驗證，input sanitization，output escaping，prevention of direct access to plugin files，proper access of the database 透過 WordPress methods and functions，沒有錯誤和棄用通知的當啟用 debugging [啟用該功能以避免生產環境] 等)，並檢查您自己安裝的每個外掛。沒有什麼可以替代理解什麼進入安全的外掛指令碼，也沒有更好的防禦從笨蛋的外掛。

如果不安全的外掛和主題的想法恐嚇你或者你不熟悉或者不熟悉 PHP，你可能會發現 WordPress.com 的服務是更多的茶，因為他們承擔審查外掛和主題的責任，只允許那些被確定要安全地安裝在使用者的站點上。如果需要，您仍然可以使用 WordPress.com 的自定義域。

把它備份

一些主機提供這樣的服務，其他的則不提供。正如我不相信任何平臺的安全性站在它自己的，我不相信任何主機來照顧我的備份。相反，我更喜歡將我的備份堆放在我的 Dropbox 中，並同步到不同的伺服器，以便我可以確信，我總是可以直接訪問我的備份與副本在幾個不同的系統。如果我的主機掉頭了，或者是由一家大公司或其他一些主機的不幸收購，我的網站幾點點選，甚至不必處理我的主機的支援。

最終註解

您應該閱讀 Hardening WordPress 上的 codex 條目以獲得更多的安全建議。如果您不認為將來需要使用許多外掛或任何晦澀的外掛，可能會讓 WordPress.com 或替代的受管理的 WordPress 主機提供商 (如 Pagely) 託管您的部落格更為明智。

無論 WordPress 的新「自動核心更新」功能如何，您仍然應努力手動確保您的安裝和所有外掛和主題都是最新的。有些人可能認為它過多，但我希望在更新後啟用除錯，並確保沒有外掛或主題丟失相容性 (一串錯誤和棄用通知是一個強大的症狀) 。如果他們有，我停用他們，直到他們的作者更新他們，或自己做必要的更改，以阻止我，直到他們釋出官方更新。請注意，您應該將網站離線或執行您的網站的離線開發副本，然後再啟用除錯以排除任何問題。

我不確定 Ad-sense click-bombing 實踐的流行程度，但是為了減輕這種 click-bombs 的影響，WordPress 外掛提供了額外的安全保護，除了 Google 已經採取的任何預防措施。沒有執行 WordPress 的網站面臨著與 click-bombing 相同的確切威脅，要麼透過其他方式實施保護或沒有保護。

Additional Resources

Codex: Writing a Plugin

^{A functionally-focused introduction to plugin authoring with a few security tips intermixed. In particular, pay attention to the Plugin Development Suggestions section near the bottom of the page.}

Codex: Validating Sanitizing and Escaping User Data

^{A brief introduction to these concepts and why they matter.}

Codex: Security FAQ

Handbook: PHP Coding Standards

^{A syntactically-focused standard for PHP code in WordPress with a few security tips intermixed.}

Handbook: PHP Inline Documentation Standards

^{I would absolutely love to tell you to never install a plugin that neglects in-line documentation, but in reality even good developers don’t always do this. Nonetheless, hearty in-line documentation complete with PHPDoc tags is a good indication that the author has some idea of what they’re doing.}

WPSE: “What Are Security Best Practices for WordPress Plugins and Themes?”

^{The answers to this question provide a few additional points that aren’t listed in other resources. Note that this question is locked and will not be updated to reflect new developments.}

WPSE: “In Which Contexts are Plugins Responsible for Data Validation/Sanitization?”

^{In a nutshell, “When do I need to secure my data and when do the core functions handle it for me?”}

WPSE: “Who are the most trusted plugin developers?”

^{A small list of some of the most trusted and renown names in WordPress plugin development. Certainly not exhaustive by any means, but a good starting place for a few quick “sure-bets.” Note that this question is locked and will not be updated to reflect new developments.}

WPSE: How can I establish the credibility of a theme/plugin author?”

^{Authored based on this very question regarding the necessity of plugins, hopefully this question will yield a general process for selecting trustworthy theme/plugin authors.}

“The Dangers of WordPress Plugins Ignorance (And What To Do About It)” – Tom Ewer

^{A solid non-technical overview regarding the dangers of plugins.}

“Developing for WordPress? Keep your shit secure” – Mike Jolley

^{An excellent brief technical overview of best-practices for secure plugin development. Note that the infographic from wptemplate.com linked in the article contains some additional good tips for WordPress security as a whole, but is compiled rather poorly and authored in broken English.}

“7 Simple Rules: WordPress Plugin Development Best Practices” – WP Tuts+

^{The articles on Tuts+ are typically accurate and of considerable quality.}

“WordPress Security – Cutting Through The BS” – Tony Perez

An excellent technical overview of WordPress security vulnerabilities and precautions based on Perez’s Chicago 2012 WordCamp presentation.

次佳解決方案

簡單地說 – WordPress 做它做的開箱即用，不需要外掛。

然而！不同的人有什麼不同的想法應該做什麼。其中一些想法是健全的。有些是完全笨蛋。

具體在你的例子：

WP(或更準確地說是當前的穩定版本) 是安全的，許多安全外掛專注於審計 (像其他外掛程式碼) 和主動監控 (沒有什麼是真正絕對安全的) 。
許多人 (包括我) 不信任第三方來處理備份。有很多恐怖故事，關於如何信任主機與備份導致相當悲傷的結果，除非你可以親自監控，訪問和驗證備份，主持人 [認為] 採取更安全的對待他們，因為他們不存在。

第三種解決方案

WordPress 本身是功能齊全的。如果您的需求很簡單，或者您知道如何新增自定義功能，則通常不需要外掛。但是，外掛模型有其優點，我將列舉一些：

模組化，即插即用 (大多數) 功能
封裝專門的功能
避免重新發明車輪
受益於經驗豐富的外掛作者的工作

參考 second-to-last 點，如果您要新增某些功能，則可能已經以外掛形式實現了機率。從已經完成的工作中獲益是沒有錯的。

總而言之，許多可用的外掛是開發人員的工作時間和經驗的結果。這樣的外掛往往是 well-built 並且支援，並有聲望。看看 Pippin Williamson，Scott Kingsley Clark 和 Alex King，僅舉幾例。他們不僅擁有技術技能，而且具有信譽。這是某些 third-party 外掛的巨大優勢。

在備份的情況下，我不願意信任那些非常重要的東西，特別是如果備份儲存在同一個伺服器或同一個網路中。 third-party 外掛或 DIY 方法為您提供更多的控制權，通常將備份儲存在與網站非常獨立的位置。

安全外掛不是嚴格必要的，如果有一個 know-how 自己處理安全安排。一些這樣的外掛，例如 Better WP Security，簡化了檔案許可權的處理，.htaccess 指令等。其他如 WordFence 提供監控服務，而限制登入嘗試為站點後端提供一些保護。

如果你擔心外掛質量，可能是一個打擊或錯過的事情。那些 WordPress 外掛回購我認為至少接受 WordPress 背後的人的審查，但質量或價值是相當可變的，而且在很大程度上取決於您的需求和能力。如果一個外掛是 well-reviewed，有一個積極的支援，來自一個 well-known 作者或團隊，你很有可能在手中。

參考文獻

Are WordPress Plugins essential?

注：本文內容整合自 Google/Baidu/Bing 輔助翻譯的英文資料結果。如果您對結果不滿意，可以加入我們改善翻譯效果：薇曉朵技術論壇。