WordPress'te yeniyim. Son zamanlarda bilgisayar korsanlarının eklentilerdeki güvenlik açıklarından nasıl yararlanabileceği hakkında bir makale okudum. Google Pagespeed gibi çeşitli kaynaklar da eklentileri kullanmamı ya da en azından minimumda tutmamı sağladı. Şahsen, eklentilerden kaçınmaya çalışıyorum çünkü sitemde neler olduğunu daha fazla kontrol ediyorum ve birini indirmek neredeyse 'Harika, nasıl kullanılacağını öğrenmek zorunda olduğum başka bir şey' gibi geliyor.

'Eklentiler-öneri'nin konu dışı olduğunu anlıyorum, ancak peşimde olduğum şey aslında bazı eklentilerin neden / WordPress'de gerekli olup olmadığının açıklaması.

Bunları ele alalım örneğin:

Güvenlik - En iyi birkaç eklenti güvenlikle ilgilidir. Ancak WordPress siteleri genel olarak savunmasız mı? Sömürüyü önlemek için neden ek bir eklentiye ihtiyacım var?

Yedekleme - Blog dünyasında yeniyim, ancak çoğu ana bilgisayar yedekleme hizmeti sunmuyor mu? Veya WordPress ile bunun için özel eklentilere ihtiyacım var mı?

AdSense Tıklama Sahtekarlığı İzleme - Google'ın yasaklanmasını önlemek için tıklama bombalarını engellemesi gerekiyordu. Ama anlamıyorum, bir eklenti indirmedikçe gelirinizi kapatmak için tüm insanların yapması gereken birkaç sahte tıklama var mı?

Düzenleme: Google desteğinde bunu sormak daha iyi olabilir, öyleyse yoksay

Eklenti Gerekliliği

Eklentilerin gerekliliği gerçekten kaygılanıyor, " WordPress'in temel işlevselliğinin ihtiyacım olan tek şey olduğundan memnun muyum? "

Tüm istediğiniz bazı kategoriler ve ayarladığınız bir dizi statik sayfa içeren basit bir blog. Ancak etkileşimli haritaları, takvimleri etkinliklerle, belki de 3. taraf REST API'sini entegre etmeye başlamak istiyorsanız, kullanıcıları güçlü şifreler kullanmaya zorlayın, hatta siteyi bir sosyal ağa dönüştürün. Grant Palin'in cevabı , bir kişinin neden eklentiler isteyebileceğine dair daha fazla fikir veriyor. Dan Gayle'ın cevabı , birçok temanın WordPress eklentilerini açıkça kullanmadan her türlü eklenti işlevselliğini sağladığına dikkat çekiyor.

Çekirdek Güvenlik

WordPress çekirdeğinin kendisi oldukça güvenlidir ve çekirdek geliştirici topluluğu, güvenlik açıklarını belirlendikleri anda izole etmek ve yamalamak için saygın bir iş yapar - yüz milyonlarca kullanıcıya sahip olmanın avantajlarından biri ve sürüm başına ortalama yaklaşık 200 çekirdek katılımcı . Ve bir güvenlik açığının tanımlanması ile düzeltmenin yayımlanması arasındaki süre boyunca mevcut olan risk, Otomatik Çekirdek Güncelleştirmeleri'nin eklenmesi ile hızla ortadan kaldırılmaktadır .

_{^{Pagely'den WordPress güvenlik Infographic (Adil miktarda katı bilgi - tamamını görüntülemek için tıklayın)}}

Evet, WordPress'in kendine özgü güvenlik açıkları vardır . Ama aynı zamanda Drupal , CakePHP, Ruby on Rails , Symfony, Zend, vb. Herhangi bir web sitesinin , özellikle dikkate değer benimseme oranlarına sahip herhangi bir çerçevenin ön güvenliği için yalnızca CMS veya çerçeveye güvenmenin kötü bir fikir olduğunu düşünüyorum .

Eklenti Güvenliği

Eklentiler kesin olarak güvensiz değildir. Sorun, eklentilerinin yazarlarının iyi güvenlik uygulamalarını takip etmesini sağlamak için denetlenmemesidir. WordPress, yazarların izlemesi gereken bir dizi standart ortaya koymuştur , ancak birçok eklenti acemiler veya standartları görmezden gelen diğerleri tarafından yazılmıştır. Ancak var olan tüm kod tabanlarında olduğu gibi, bir sisteme ne kadar çok kod eklerseniz, hatalar ve güvenlik açıkları ekleme olasılığı da o kadar artar . Kurulumunuza ne kadar eklenti eklerseniz, alma riski o kadar artar. Aynı şekilde, WordPress temalarının da eşit derecede kötü niyetli bir tehdit oluşturduğunu bilin - özellikle birçoğu sitenizi doğrudan sömürmeye çalışan belirsiz tema sitelerinde bulunan "ücretsiz temalar"cehalet veya kaza nedeniyle güvenlik açıklarını masum bir şekilde ortaya koymak yerine. Yalnızca güvenilir kaynaklardan ve güvenilir yazarlardan tema ve eklenti edinin.

Genel kural, yaygın olarak bilinmeyen yazarların veya sahnede nispeten yeni olan eklentilerin yüklenmemesidir. Yapabiliyorsanız, yazarın güvenilirliğini belirlemek için zaman ayırın. İdeal olarak, iyi güvenli eklenti gitmek faktörleri öğrenmek ( sayılar kullanılan-once [aka "Nonce" ler] istek ve URL kimlik doğrulaması için giriş sanitasyon , çıkış kaçan , dosyaları eklentisi doğrudan erişim önlenmesi , uygun erişim WordPress yöntemleri ve işlevleri aracılığıyla veritabanı , hata ayıklama etkinleştirildiğinde hataların yoksunluğu ve kullanımdan kaldırma bildirimleri [üretim ortamlarında etkinleştirmekten kaçının], vb.) ve kendi yüklediğiniz her eklentiyi veteriner.Güvenli eklenti komut dosyasına neyin girdiğini anlamak için bir alternatif veya crappy eklentilerinden daha iyi bir savunma yoktur.

Güvensiz eklentiler ve temalar sizi korkutuyorsa veya PHP'ye aşina değilseniz veya PHP'ye aşina olmak istemiyorsanız, WordPress.com'un hizmetlerini eklentileri ve temaları denetleme sorumluluğunu üstlendikleri için daha fazla çay olarak bulabilirsiniz. güvenli olduğu belirlenenlerin yalnızca kullanıcıların sitelerine yüklenmesine izin verin. İsterseniz WordPress.com ile özel bir alan adı kullanmaya devam edebilirsiniz.

Yedekle

Bazı ana bilgisayarlar bu tür hizmetleri sağlar, diğerleri sağlamaz. Tıpkı herhangi bir platformun kendi başına durmasına güvenmediğim gibi, yedeklerimle ilgilenmesi için hiçbir ana bilgisayara güvenmiyorum. Bunun yerine, yedeklerimin Dropbox'ımda birikmesini ve farklı sunucularla senkronize edilmesini tercih ediyorum, böylece yedeklerime her zaman birkaç farklı sistemde kopyalarla doğrudan erişebileceğimden emin olabilirim. Sunucum çökerse veya daha büyük bir şirket veya başka bir barındırma talihsizliği tarafından satın alınırsa, sitelerim, ev sahibimin desteğiyle uğraşma riski bile olmadan birkaç tıklama uzaklıktadır.

Son Notlar

Daha fazla güvenlik tavsiyesi için WordPress'i Sertleştirme kodeks girişini okumalısınız . Gelecekte çok sayıda eklentiye veya herhangi bir belirsiz eklentiye ihtiyacınız olduğunu düşünmüyorsanız, WordPress.com'a veya Pagely gibi alternatif bir yönetilen WordPress barındırma sağlayıcısına sahip olmak akıllıca olabilir .

WordPress'in yeni "Otomatik Çekirdek Güncelleştirmeleri" özelliğinden bağımsız olarak, yüklemenizin ve tüm eklentilerinizin ve temalarınızın güncel olduğundan emin olmak için el ile çaba göstermelisiniz. Bazıları aşırı düşünebilir, ancak bir güncellemeden sonra hata ayıklamayı etkinleştirmeyi ve hiçbir eklentinin veya temanın uyumluluğu kaybetmediğinden emin olmak istiyorum (bir hata akışı ve kullanımdan kaldırma bildirimleri bunun güçlü bir belirtisidir). Varsa, yazarları güncelleyene kadar devre dışı bırakırım veya resmi bir güncelleme yayınlayana kadar beni tutmak için gerekli değişiklikleri kendim yaparım. Herhangi bir sorunu gidermek için hata ayıklamayı etkinleştirmeden önce web sitenizi çevrimdışına almanız veya web sitenizin çevrimdışı geliştirme kopyasını çalıştırmanız gerektiğini unutmayın.

Ad-sense tıklama bombalama uygulamasının yaygınlığından emin değilim, ancak bu tür tıklama bombalarının etkilerini hafifletmek için sunan bir WordPress eklentisi, Google'ın aldığı önlemlere ek olarak size ek bir güvenlik katmanı sunuyor. WordPress çalıştırmayan web siteleri, tıklama bombardımanı ile aynı tehditle karşı karşıyadır ve ya başka yollarla koruma uygulamalı veya onsuz hayatta kalmalıdır.

Ek kaynaklar

• Kodeks: Eklenti Yazma

  ^{Eklenmiş birkaç güvenlik ipucuyla eklenti yazma için işlevsel olarak odaklanmış bir giriş. Özellikle, sayfanın altındaki Eklenti Geliştirme Önerileri bölümüne dikkat edin.}

• Kodeks: Dezenfekte Etme ve Kullanıcı Verilerinden Kaçınma

  ^{Bu kavramlara ve neden önemli olduğuna kısa bir giriş.}

• Kodeksi: Güvenlik SSS

• El Kitabı: PHP Kodlama Standartları

  ^{WordPress'deki PHP kodu için birkaç güvenlik ipucu karıştırılarak sözdizim odaklı bir standart.}

• El Kitabı: PHP Satır İçi Belgeleme Standartları

  ^{Satır içi dokümantasyonu ihmal eden bir eklenti asla yüklememenizi kesinlikle isterim, ancak gerçekte iyi geliştiriciler bile her zaman bunu yapmaz. Bununla birlikte, PHPDoc etiketleriyle birlikte doyurucu satır içi belgeler , yazarın ne yaptıklarına dair bazı fikirlere sahip olduğunun iyi bir göstergesidir.}

• WPSE: "WordPress Eklentileri ve Temaları için En İyi Güvenlik Uygulamaları Nelerdir?"

  ^{Bu sorunun yanıtları, diğer kaynaklarda listelenmeyen birkaç ek nokta sağlar. Not Bu soru kilitli ve yeni gelişmeleri yansıtacak şekilde güncellenir edilmeyecektir.}

• WPSE: "Eklentiler Veri Doğrulama / Dezenfeksiyondan Hangi Bağlamlardan Sorumlu?"

  ^{Özetle, "Verilerimi ne zaman güvence altına almam gerekiyor ve temel işlevler benim için ne zaman işliyor?"}

• WPSE: "En güvenilir eklenti geliştiricileri kimlerdir?"

  ^{WordPress eklentisi geliştirmedeki en güvenilir ve ünlü isimlerin bazılarının küçük bir listesi. Kesinlikle hiçbir şekilde ayrıntılı değil, ama birkaç hızlı "emin bahis" için iyi bir başlangıç ​​noktası. Not Bu soru kilitli ve yeni gelişmeleri yansıtacak şekilde güncellenir edilmeyecektir.}

• WPSE: Bir tema / eklenti yazarının güvenilirliğini nasıl belirleyebilirim? "

  ^{Eklentilerin gerekliliği ile ilgili bu soruyu temel alan yazar, umarım bu soru güvenilir tema / eklenti yazarlarını seçmek için genel bir süreç getirecektir.}

• " WordPress Eklentileri Cehaletinin Tehlikeleri (Ve Ne Yapmalı?) - Tom Ewer

  ^{Eklentilerin tehlikeleri hakkında teknik olmayan sağlam bir genel bakış.}

• " WordPress için Geliştirme? Bokunu Güvende Tut " - Mike Jolley

  ^{Güvenli eklenti geliştirme için en iyi uygulamalara mükemmel bir kısa teknik genel bakış. O Not wptemplate.com gelen bilgi grafiğini makalesinde bağlantılı bir bütün olarak WordPress güvenlik için bazı ek iyi ipuçları içerir, ancak oldukça kötü derlenmiş ve kırık İngilizce olarak yazılmıştır.}

• " 7 Basit Kural: WordPress Eklentisi Geliştirme En İyi Uygulamaları " - WP Tuts +

  ^{Tuts + üzerindeki makaleler tipik olarak doğrudur ve oldukça kalitelidir.}

• " WordPress Güvenliği - BS ile Kesmek " - Tony Perez

  Perez'in Chicago 2012 WordCamp sunumuna dayanan WordPress güvenlik açıkları ve önlemlerine mükemmel bir teknik genel bakış.

Basitçe söylemek gerekirse - WordPress, eklentileri gerektirmeden kutudan çıkardığı şeyi yapar.

Ancak! Farklı insanların başka ne yapması gerektiği konusunda farklı fikirleri vardır . Bu fikirlerden bazıları sağlam. Bazıları tamamen çılgın.

Özellikle örneklerinizde:

• WP (veya şu an için daha kesin olarak mevcut kararlı sürümü) güvenlidir, birçok güvenlik eklentisi denetime (diğer eklentilerin kodu gibi şeyler) ve proaktif izlemeye (hiçbir şey kesinlikle kesinlikle güvenli değildir) odaklanır .

• birçok kişi (ben dahil) yedekleri işlemek için üçüncü taraflara güvenmiyor. Yedeklemeye sahip ana bilgisayarlara güvenmenin oldukça üzücü sonuçlara nasıl yol açtığı hakkında birçok korku hikayesi vardır ve ana bilgisayarın yedeklerini kişisel olarak izleyemez, erişemez ve doğrulayamazsanız, var olmadığı gibi bunları ele almayı daha güvenli hale getirir.

WordPress kendi başına oldukça işlevseldir. İhtiyaçlarınız basitse veya nasıl özel işlevsellik ekleyeceğinizi biliyorsanız, genellikle eklentilere gerek yoktur. Ancak, bazı numaralandıracağım eklenti modelinin avantajları var:

• modüler, tak ve çalıştır (çoğunlukla) işlevselliği
• özel işlevselliği kapsüllemek
• tekerleği yeniden icat etmekten kaçının
• deneyimli eklenti yazarlarının çalışmalarından yararlanın

İkinci-son noktaya bakıldığında, eklemek istediğiniz belirli işlevler varsa, olasılıklar zaten eklenti formunda uygulanmış olması iyidir. Daha önce yapılmış olan çalışmalardan faydalanmak yanlış değildir.

Son noktaya göre, çok sayıda eklenti geliştiricilerin çalışma saatlerinin ve deneyimlerinin sonucudur. Bu tür eklentiler iyi inşa edilmiş ve desteklenmektedir ve itibar kazanmaktadır. Pippin Williamson, Scott Kingsley Clark ve Alex King'e sadece birkaç isim vermek için bakın. Sadece teknik yetenekleri değil, güvenilirlikleri de var . Bu, bazı üçüncü taraf eklentilerin muazzam bir yararıdır.

Yedeklemeler durumunda, özellikle yedeklemeler aynı sunucuda veya aynı ağ içinde tutulursa, web sunucularına çok önemli bir şeyle güvenmek konusunda isteksiz olurum. Üçüncü taraf bir eklenti veya DIY yaklaşımı size daha fazla kontrol sağlar ve ayrıca yedeklemeleri genellikle web sitesinden çok farklı bir yerde depolar.

Güvenlik düzenlemeleri, kendi başlarına güvenlik düzenlemeleri hakkında bilgi sahibi ise , kesinlikle güvenlik eklentileri gerekli değildir . Better WP Security gibi bazı eklentiler dosya izinlerinin, .htaccessyönergelerin ve benzerlerinin işlenmesini basitleştirir . WordFence gibi diğerleri izleme hizmetleri sağlarken Limit Login Intempts (Site Giriş Sınırlamaları) , site arka ucu için bir miktar koruma sağlar.

Eklenti kalitesinden endişe ediyorsanız, bu bir hit veya miss miss olay olabilir. WordPress eklenti deposunda olanlar, WordPress'in arkasındaki insanlar tarafından en azından bir miktar veterinerlik geçirdiğini düşünüyorum, ancak kalite veya değer oldukça değişkendir - ve büyük ölçüde ihtiyaçlarınıza ve yeteneklerinize bağlıdır. Bir eklenti iyi incelenmişse, aktif desteğe sahipse ve tanınmış bir yazardan veya ekipten geliyorsa, büyük olasılıkla emin ellerdesiniz.

Yedekler

Yedeklemeler sunucunuz tarafından halledilebilir, ancak genellikle yalnızca "ya hep ya hiç" yaklaşımı sunarlar. Bir eklenti kullanıyorsanız, haftalık dosya yedekleri ve günlük DB yedeklemeleri yapabilir, herhangi bir bakım yapmadan önce bunları çalıştırabilir veya yedek dosyaları bir SFTP / S3 hesabında saklayabilirsiniz. Bir eklenti olmadan kutunun dışında yapamazsınız.

Verim

Endişeniz performansta olduğundan (Pagespeed referansınız tarafından kanıtlandığı gibi), görüntülerinizi barındırmak için üçüncü taraf bir CDN kullanmanın tek yolu bir eklenti kullanmaktır ( sunucunuzda gerçekten komut dosyası kullanmadığınız sürece , hangi durumda muhtemelen bu soruyu burada sormazsınız).

Uzun Süreli Bakım

WP'nin kapsamı dışında kalan ve içeriğinizi değiştiren / değiştiren herhangi bir işlevsellik (bir kısa kod gibi) bir eklentide bulunmalıdır, çünkü neredeyse bir gün temanızı değiştireceksiniz ve sitenizde bir grup kırık içerik istemiyorsunuz bir site.

Kullanıcı Girişi

Kullanıcı girdisi çok sayıda güvenlik açığının geldiği yerdir, bu nedenle herhangi bir türdeki kullanıcı verilerini kabul ediyorsanız, bunu ele almak için kesinlikle saygın bir eklenti kullanmayı düşünürüm. Eklemek isteyebileceğiniz bazı elle kodlanmış formlardan daha fazla başkaları tarafından incelenmiş ve test edilmişlerdir.

ANCAK

Bazen ihtiyacınız olan her şey temanızda olabilir. (Özellikle kod Kanyonu / Envato, vb. Satın aldıysanız, son derece “özellik” güdümlü göründüklerinden.)

Bazen, temanızda bir mod yapmak gerçekten "seo" eklentilerinin iyi bir kısmı gibi bir eklenti ile uğraşmaktan daha kolaydır.

Aslında ihtiyacına bağlıdır. Tema dosyasını değiştirmeden sitenize daha fazla işlevsellik eklemek istiyorsanız, kesinlikle eklentilere ihtiyacınız var.

Bir e-Ticaret sistemi eklemek veya bir alt temayı tamamen özelleştirmek istiyorsanız çok önemlidir, aksi takdirde e-Ticaret gibi şeyler için büyük miktarda özel kodlama yapmanız gerekir.

Bir başka önemli nokta, temaya özel çok çeşitli eklentiler sunan bir temayla karşılaştırıldığında çok sayıda tema seçeneği içeren temaları kullanma arasındaki farktır.

WordPress'i, çok sayıda yerleşik seçenek içeren bir tema kullanmak yerine işlevsellik eklemek için eklentiler yükleyerek özelleştirmek daha kolaydır, çünkü daha sonra yalnızca ihtiyacınız olan işlevleri eklemek için eklentileri yüklemek yerine kodu kullanarak mevcut işlevleri filtrelemeniz gerekir kullanın.

Eklentilerdeki kod, WordPress'in yeni sürümleri Beta sürümündeyken de güncellenir ve eklentiler güncellenmezse, yeni bir eklentiyi kolayca silebilir ve yükleyebilirsiniz.