Czy Ta Wtyczka WordPress Jest Bezpieczna? 15 znaków ostrzegawczych, aby pominąć pobieranie

Nawet najmniejsze i najprostsze strony internetowe WordPress potrzebują wtyczek. Akismet jest koniecznością, jeśli strona ma bloga. Wtyczka bezpieczeństwa, taka jak Defender, nie podlega negocjacjom. A solidny formularz kontaktowy jest potrzebny, jeśli zamierzasz zbierać potencjalnych klientów.

W większości jednak wiemy, że te powszechnie używane i powiązane wtyczki WordPress są bezpieczne. Pochodzą one z milionami pobrań, wysokich ocen i programistów wtyczek, którzy ciężko pracowali, aby zbudować pozytywną reputację w społeczności, tworząc bezbłędne wtyczki i zapewniając najwyższej klasy wsparcie.

A co z resztą? Skąd wiesz, czy ta pozornie popularna wtyczka WordPress (która naprawdę zrobiłaby cuda dla Twojej witryny) jest Bezpieczna w użyciu? Z wtyczek, niestety, jest odpowiedzialny za wysoki odsetek naruszeń bezpieczeństwa (Wordfence ostatnio umieścić tę liczbę na 55.9%), to trochę przerażające myśleć, że każda decyzja, aby użyć jednego jest niebezpieczne Hazard.

Co chciałbym teraz zrobić, to porozmawiać o tym, jak możesz powiedzieć, czy wtyczka WordPress jest Bezpieczna. W szczególności zamierzam podzielić się znakami ostrzegawczymi 15, na które powinieneś zwrócić uwagę, aby poinformować Cię, kiedy najlepiej pominąć pobieranie.

15 znaki ostrzegawcze, że wtyczka WordPress jest niebezpieczna

Zawsze czuję się źle, że muszę umieścić to doradztwo na temat wtyczek WordPress, ponieważ, naprawdę, są świetne. Kiedy są dobrze zakodowane i odpowiednio zarządzane, mogą robić wspaniałe rzeczy wewnątrz WordPress. Ale niestety nie zawsze tak jest.

Czasami dostajesz wtyczkę, która została stworzona przez początkującego programistę, który ma nadzieję zarobić trochę pieniędzy, ale który nie włożył odpowiedniej ilości czasu w jej kodowanie. Zdarzają się również sytuacje, gdy natkniesz się na wtyczkę, która is zakodowane dobrze, ale błędna linia kodu koliduje z inną wtyczką i rozrywa całą witrynę w jednej chwili. Oczywiście zawsze istnieje ryzyko, że haker lub fałszywy programista WordPress dostanie go w swoje ręce.

Oznacza to, że musisz być bardzo czujny, które z nich wpuścisz do środka–nawet jeśli intencje oryginalnego dewelopera były dobre.

Aby być sumiennym, powinieneś wiedzieć, jak dostrzec znaki ostrzegawcze złej wtyczki WordPress. Po pierwsze, zacznij od korzystania z systemu kontroli, aby upewnić się, że wtyczka jest odpowiednia dla Twojej witryny. Następnie możesz zacząć kopać głębiej, aby zobaczyć, czy możesz dostrzec jakiekolwiek znaki ostrzegawcze.

1. Repozytorium Wtyczek Wygląda Dziwnie

Zacznijmy od tego, gdzie polujesz na te wtyczki WordPress. Na przykład powiedzmy, że byłeś zainteresowany znalezieniem wtyczki, która dodaje funkcję, która nie jest zbyt powszechna. Wykonujesz wyszukiwanie w Google dla tej funkcji (jak „wtyczka gender reveal”), a najlepsze wyniki wskazują na wiele niezależnych stron internetowych programistów WordPress, które twierdzą, że sprzedają wtyczkę, która właśnie to robi.

W takim razie w twojej głowie powinny wybuchnąć dzwonki ostrzegawcze. Chociaż nie oznacza to, że źródłu wtyczki nie można ufać, jeśli dotrzesz do strony i wygląda na to, że został zbudowany na początku lat 00.i nie ma sposobu, aby skontaktować się z programistą, z wyjątkiem adresu e-mail w AOL… cóż, to ogromna czerwona flaga.

Ogólnie rzecz biorąc, zawsze Szukaj wtyczek WordPress, które pochodzą z renomowanych źródeł. Zacznij od:

• Repozytorium wtyczek WordPress
• Plugin marketplaces jak CodeCanyon
• WordPress plugin developer witryn takich jak WPMU DEV

Jeśli zaczniesz tam, znacznie zmniejszysz szanse na wpadnięcie w złe jabłko podczas podróży.

2. Nadszarpnięta Reputacja Dewelopera

Następnie spójrz na reputację twórcy wtyczki. Niekoniecznie musisz wiedzieć, kim jest dana osoba, gdzie mieszka, jakie jest jej wykształcenie lub coś w tym rodzaju (chyba że jesteś ciekawy). To, czego szukasz, to czerwone flagi, które ostrzegają cię przed czymś, co nie jest w porządku.

Oto niektóre znaki ostrzegawcze:

• Są zupełnie nowym właścicielem wtyczki i nie mają wcześniejszej historii jako programista, co może oznaczać, że kupili nieco popularną wtyczkę, aby używać jej jako pojazdu do wstrzykiwania złośliwego kodu na strony internetowe.
• Wyszukiwanie w Google ich nazwy nie daje żadnych wyników. Nawet własnej strony WordPress.
• Albo wyszukiwanie w Google ich nazwy daje wyniki, ale widzisz takie rzeczy jak „nie ufaj [nazwa dewelopera]” lub „[nazwa dewelopera] to oszustwo.”
• Kliknięcie na ich nazwę w repozytorium WordPress lub CodeCanyon marketplace powoduje wyświetlenie strony internetowej, która jest poważnie przestarzała i sama rzuca czerwone flagi.

Miłą rzeczą w CodeCanyon marketplace jest to, że zapewnia statusy i nagrody dla autorów wtyczek w oparciu o sprzedaż, osiągnięcia i oceny. Tak więc, jeśli naprawdę martwisz się, kto jest osobą lub zespołem za wtyczką, możesz tam poszukać walidacji.

3. Wtyczka Jest Uważana Za Niebezpieczną

Oczywiście powinieneś również przyjrzeć się reputacji samej wtyczki WordPress. Jak powiedziałem wcześniej, czasami deweloper nawet nie chciał wprowadzić złego kodu do wtyczki lub byli po prostu zbyt nowi, aby wiedzieć lepiej. Tak więc, nawet jeśli mają piskliwy czysty obraz, wtyczka może nie.

Istnieje wiele elementów, które możesz sprawdzić, które pomogą Ci zweryfikować bezpieczeństwo wtyczki WordPress, ale w tym przypadku chcę skupić się na wyraźnych wzmiankach, że wtyczka nie jest Bezpieczna w użyciu. Oznacza to przejście do Google i wyszukiwanie słów takich jak” niebezpieczne”,” zhakowany „i” skompromitowany ” w połączeniu z nazwą wtyczki. Jeśli zobaczysz jakieś wyniki, które dowodzą obaw o bezpieczeństwo, odejdź.

4. Kod Wygląda Podejrzanie

Ten może nie być najłatwiejszy do zweryfikowania, ponieważ nie każdy wie, jak napisać kod dla wtyczki. Jeśli jednak jesteś wystarczająco zaznajomiony z strukturą plików i dyrektywami, możesz przynajmniej sprawdzić, czy wszystkie podstawowe elementy są na miejscu.

Możesz użyć WordPress Codex guide do pisania wtyczki, aby to zrobić. Usuń wymagany kod z pliku i skup się tylko na tym, co pozostało. Jeśli coś wygląda podejrzanie, wyjdź stamtąd i znajdź nową wtyczkę.

5. Za Mało Pobrań

W WordPress, będzie można zobaczyć liczbę aktywnych instalacji:

Jest to świetne, ponieważ nie tylko widzisz, ile osób mogło pobrać, a później usunąć wtyczkę. Jest to liczba stron internetowych, które mają obecnie zainstalowane, co jest dobrym wskaźnikiem wiarygodności.

Plugin marketplaces zawierają liczby takie jak całkowita sprzedaż, które są również dobre, chociaż będziesz musiał polegać na innych danych, aby potwierdzić, że naprawdę coś znaczą:

Ogólnie rzecz biorąc, sugerowałbym unikanie wtyczek WordPress z mniej niż pobraniem 1,000. Naprawdę powinieneś chcieć większej liczby niż ta (prawdopodobnie bardziej niż 5,000), ale czasami nie jest to możliwe, jeśli jest to zupełnie nowa funkcja, która jeszcze się nie załapała lub wtyczka, która obsługuje coś, co nie jest powszechnie używane.

6. Niezgodna z najnowszą wersją WordPress

Podczas przeglądania wtyczek WordPress w repozytorium istnieją dwie statystyki, na które będziesz chciał spojrzeć, ponieważ dotyczą one wersji WordPress:

„Wymaga wersji WordPress” poinformuje cię, jak daleko wstecz może iść Twoja wersja WordPress, aby poprawnie działać z wtyczką. To powiedziawszy, naprawdę nigdy nie powinieneś pozwolić, aby Twoja witryna działała na starej wersji WordPress.

„Testowane do” to druga dziedzina, na którą warto spojrzeć. Ten powie Ci, czy jest kompatybilny z najnowszą i największą aktualizacją core. Jeśli tak nie jest, ale ostatnia aktualizacja WordPress wyszła niedawno w ciągu ostatnich kilku dni, daj jej jeszcze kilka. Jeśli wtyczka nie zostanie zaktualizowana do najnowszej wersji, pomiń ją.

I, jeśli widzisz ten Komunikat, Uruchom:

7. Nie aktualizowane Ostatnio lub wystarczająco często

To nie tylko ważne, że wtyczka WordPress została niedawno zaktualizowana. Należy go również często aktualizować.

Zarówno WordPress, jak i na rynkach wtyczek, możesz dowiedzieć się, jak długo minęło od ostatniej aktualizacji. Wszystko starsze niż trzy miesiące naprawdę nie powinno być używane. To powiedziawszy, istnieje kilka wtyczek, które mają bardzo uproszczony charakter i mogą nie wymagać wielu zmian z każdym nowym wydaniem rdzenia. Tak więc trzy miesiące są idealne, ale jeden rok powinien być punktem przełomowym.

8. Notowania nie są świetne

Oceny i recenzje są naprawdę ważne w dzisiejszych czasach. Pomyśl o stronach takich jak Yelp lub TripAdvisor, które mogą natychmiast wyłączyć Cię do restauracji, po prostu pokazując coś mniej niż cztery gwiazdki. To samo dzieje się z wtyczkami WordPress i słusznie:

Nie możesz mi powiedzieć, że ta fatalna ocena wtyczki nie sprawia, że natychmiast chcesz nacisnąć przycisk Wstecz. Nawet jeśli słabe oceny pochodzą z czasów, gdy wtyczka była nowa i nadal w toku, to nadal nie jest to bardzo dobre odbicie na programistę lub narzędzie.

Załóżmy jednak, że widzisz słabe oceny, ale po prostu nie możesz uwierzyć, że są one ważnym znakiem ostrzegawczym, ponieważ słyszałeś tak wiele osób mówiących pozytywnie o wtyczce. Wtedy musisz zwrócić się do opinii osób pozostawionych obok ocen.

To, czego szukasz tutaj, w szczególności, To daty, w których pozostawiono złe oceny (a także to, co zostało powiedziane). Jeśli okaże się, że wszystkie złe oceny miały miejsce przed 2015 i wygląda na to, że wszyscy są naprawdę pod wrażeniem najnowszej iteracji, wtyczka może być warta zainstalowania. Może być również tak, że deweloper znalazł też kilka osób, które zasadziły pozytywne recenzje. Więc uważaj na wiele wpisów, które po prostu mówią „dobry” lub „wielki plugin”. Społeczność WordPress jest zwykle bardziej opisowa w swoich opiniach.

Inną rzeczą do rozważenia jest to, jak właściciel wtyczki reaguje na negatywne recenzje. WordPress powoli usuwa negatywne komentarze ,ponieważ wierzą, że ” sposób, w jaki reagujesz na te słabe doświadczenia [komentarze], wpłynie na Twoją reputację, a twoja Wtyczka to o wiele więcej niż ta recenzja.”Dlatego ważne jest, aby nie tylko sprawdzić, co mówi recenzent, ale także odpowiedzi autorów. Czy zaproponowali zbadanie i naprawienie problemu z frędzlami? Czy byli gotowi / w stanie dostarczyć łatkę? Czy zła recenzja była rzeczywiście wynikiem niewłaściwego użycia, błędu użytkownika lub konfliktu poza kontrolą autorów?

Oczywiście, jeśli widzisz jakieś opinie lub komentarze, które wspominają o problemach bezpieczeństwa, odejdź. To nie podlega negocjacjom.

9. Wsparcie Nie Istnieje

Mimo że jesteś programistą WordPress i dobrze radzisz sobie z rozwiązywaniem problemów w CMS, nie powinieneś zastanawiać się, dlaczego wtyczka nie chce się zainstalować, nie działa zgodnie z obietnicą lub spowodowała biały ekran śmierci. Gdy bezpieczeństwo jest głównym problemem, wsparcie musi być tam.

Tak więc, to naprawdę miłe, że mamy te informacje łatwo do naszej dyspozycji, aby przejrzeć w WordPress. Są trzy rzeczy, których bym szukał w tym:

1. Spójrz na procent, z jakim faktycznie odpowiadają na prośby o wsparcie.
2. Przeczytaj niektóre odpowiedzi dewelopera, aby upewnić się, że są one rzeczywiście pomocne.
3. Przeskanuj daty odpowiedzi. Jeśli deweloper nie udzielił żadnych odpowiedzi pomocy technicznej (ani nawet komentarzy) w ciągu ostatnich trzech miesięcy, nie jest to dobry znak.

Jeśli wsparcie ma dla ciebie znaczenie, nie pozwól, aby to pozostało niezauważone.

10. Nie ma dokumentacji

W przypadku niektórych wtyczek WordPress może nie mieć sensu pisanie dokumentacji dotyczącej tego, jak ją zainstalować lub skonfigurować. Zrzuty ekranu mogą nie być potrzebne, jeśli jest to wtyczka typu set-it-and-forget (jak Akismet).

Jednak w przypadku wtyczek, które wymagają trochę pracy, aby je przenieść lub które zajmują się wysoce techniczną funkcją lub funkcją, muszą być przynajmniej zrzuty ekranu, a także dokumentacja na wypadek, gdybyś miał pytania na ten temat. Jeśli żadna nie jest dostępna, sprawdź, czy nie jest ukryta gdzieś na stronie internetowej. A jeśli nadal jesteś zagubiony, nie pobieraj go. To tak samo, jak brak wsparcia od dewelopera.

10. Jest za duży.

Wydajność jest niezwykle ważna w WordPressie, więc powinieneś podejmować świadome decyzje o tym, co w nim umieścisz, które mogłyby negatywnie wpłynąć na jego szybkość, a w konsekwencji bezpieczeństwo. Powolne wtyczki WordPress są problemem, ale czasami jest to tylko z powodu tego, jak duże są nadęte.

Kiedy masz do czynienia z darmowymi wtyczkami WordPress, radzę pobrać je na pulpit (zamiast bezpośrednio do WordPress). Spójrz na rozmiar pliku. Czy twój serwer może to wytrzymać ze wszystkim innym, co już tam jest? Jeśli nie, znajdź coś innego.

11. To nie gra dobrze z innymi

Konflikty wtyczek WordPress mogą wystąpić z różnych powodów. Czasami kłócą się z innymi wtyczkami, a czasami jest to motyw lub sam rdzeń WordPress, z którym po prostu nie grają dobrze.

Ponownie wykonaj badania przed zainstalowaniem wtyczki na swojej stronie. Sprawdź, czy komentarze użytkownika mówią coś o znanych konfliktach w WordPress. Google powinno być w stanie powiedzieć to samo.

Jeśli czujesz się na tyle pewnie, że wtyczka nie spowoduje szkody w Twojej witrynie, nadal polecam zainstalowanie jej na testowej podstronie. Tak na wszelki wypadek. Mając do czynienia z przeniesieniem witryny z powrotem do Internetu lub naprawieniem uszkodzonej funkcji na stronie, nie warto poświęcać czasu, jeśli możesz zweryfikować bezpieczeństwo wtyczki w ten sposób.

12. Strona WPScan mówi, że to Problem

Baza danych luk WPScan przechowuje dziennik wszystkich znanych luk (z odpowiednimi datami) wtyczek WordPress.

Możesz użyć funkcji wyszukiwania, aby zlokalizować konkretną wtyczkę, której chcesz użyć w swojej witrynie. To natychmiast oczyści jego nazwę z wszelkich wykroczeń. Polecam również zapisanie się na powiadomienia e-mail. W ten sposób, jeśli to (lub którykolwiek z twoich innych wtyczek) powinien pojawić się na liście luk, nie będziesz musiał aktywnie kopać w poszukiwaniu tych informacji.

13. Twój Host mówi, że jest zabroniony

Czy wiesz, że Firmy hostingowe czasami przechowują listę niedozwolonych lub zakazanych wtyczek? Zazwyczaj mają one związek z wtyczkami, które pokrywają się z funkcjonalnością, którą zapewniają użytkownikom (jak wtyczki buforujące), ale nie zawsze tak jest. Czasami będą one bezpośrednio zablokować wtyczkę ze znanymi problemami bezpieczeństwa.

Oto kilka przykładów niedozwolonych list wtyczek:

• Koło zamachowe
• GoDaddy
• Kinsta
• Pagely
• WPEngine

14. Twój ulubiony Blog mówi, że nie są dobre

W rzeczywistości z tym nie musi nawet być tak, że Twój ulubiony blog bezpieczeństwa WordPress mówi, że wtyczka WordPress jest niebezpieczna lub nie jest dobra. Jeśli blog flat-out nigdy nie wspomina o nich jako o zaufanej lub bezpiecznej wtyczce, to po co go używać? Ufasz tym facetom na tyle, że regularnie czytasz ich artykuły, więc powinieneś mieć wiarę, że pokierują cię we właściwym kierunku.

15. Narzędzie Do Sprawdzania Wskazuje, Że Występują Problemy

Wreszcie, spójrz na to, co mówi twoje narzędzie do sprawdzania (jeśli nie używasz jeszcze WP Checkup … co się dzieje?) Tak, będzie to wymagało zainstalowania wtyczki na swojej stronie. Jednak poinformuje cię, czy dzieje się z nim coś podejrzanego.

Pamiętaj tylko, aby uruchomić sprawdzanie przed instalacją, aby mieć linię bazową do porównania. Jeśli narzędzie wyświetli nowe ostrzeżenia bezpieczeństwa po instalacji, wiesz, co spowodowało problem. Usuń wtyczkę i wszystkie jej pliki natychmiast. I nigdy nie oglądaj się za siebie.

Wrapping Up

Wtyczka WordPress może się zepsuć na wiele różnych sposobów, więc musisz wykonać należytą staranność, zanim powierzysz którąkolwiek z nich swojej witrynie. Następnie musisz je przeglądać, aby upewnić się, że nie zejdą z torów, gdy nie patrzysz. Jeśli zauważysz którykolwiek z tych znaków ostrzegawczych 15, pomiń pobieranie tej nowej wtyczki.

Tagi:

• wtyczki
• WordPress
• Wtyczki WordPress