Soy nuevo en WordPress. Hace poco leí un artículo sobre cómo los hackers pueden explotar vulnerabilidades en los complementos. Varias fuentes, como Google Pagespeed, también me han disuadido de usar complementos o al menos mantenerlo al mínimo. Personalmente, también trato de evitar los complementos porque me siento más en control de lo que sucede en mi sitio, y descargar uno casi se siente como 'Genial, otra cosa que tengo que aprender a usar'.

Entiendo que 'Plugins-recomendación' está fuera de tema, pero lo que busco es en realidad una explicación de por qué / si algunos complementos son esenciales en WordPress.

Tome estos por ejemplo:

Seguridad : algunos complementos principales tienen que ver con la seguridad. ¿Pero los sitios de WordPress son vulnerables en general? ¿Por qué necesito un complemento adicional para evitar la explotación?

Copia de seguridad : soy nuevo en el mundo de los blogs, pero ¿la mayoría de los hosts no ofrecen servicios de copia de seguridad? ¿O necesito complementos especiales para eso con WordPress?

Monitoreo de fraude de clics de AdSense : se supone que bloquea las bombas de clics para evitar el destierro de Google. Pero no entiendo, ¿son algunos clics falsos que todas las personas tienen que hacer para reducir sus ingresos a menos que descargue un complemento?

Editar: podría ser mejor preguntarle a este en el soporte de Google, ignóralo si es así

Necesidad de complemento

Lo que realmente se reduce a la necesidad de complementos es la pregunta: " ¿Estoy satisfecho de que la funcionalidad principal de WordPress es todo lo que necesito? "

Si todo lo que quieres es un blog simple con algunas categorías y una cantidad de páginas estáticas, estás configurado. Pero si desea comenzar a integrar mapas interactivos, calendarios con eventos, tal vez una API REST de terceros, obligar a los usuarios a usar contraseñas seguras o incluso convertir el sitio en una red social, entonces necesita complementos. La respuesta de Grant Palin proporciona más información sobre por qué uno podría desear complementos. La respuesta de Dan Gayle señala que muchos temas proporcionan todo tipo de funcionalidad de complementos sin usar explícitamente complementos de WordPress.

Seguridad central

El núcleo de WordPress en sí mismo es considerablemente seguro, y la comunidad de desarrolladores principales realiza un trabajo respetable al aislar y parchar las vulnerabilidades de seguridad tan pronto como se identifican, uno de los beneficios de tener cientos de millones de usuarios y un promedio de alrededor de 200 contribuyentes principales por versión . Y el riesgo que solía estar presente durante la duración entre la identificación de una vulnerabilidad y el lanzamiento de su corrección se está eliminando rápidamente con la adición de Actualizaciones automáticas del núcleo .

_{^{Infografía de seguridad de WordPress de Pagely ( Buena cantidad de información sólida: haga clic para verla en su totalidad)}}

Sí, WordPress tiene vulnerabilidades de seguridad inherentes . Pero también lo hacen Drupal , CakePHP, Ruby on Rails , Symfony, Zend, etc. No hay una plataforma o sistema que pueda usar sin implementar precauciones de seguridad adicionales además de las que ya proporciona la plataforma. Creo que es simplemente una mala idea confiar solo en el CMS o el marco para la seguridad de primera línea de cualquier sitio web , especialmente cualquier marco con tasas de adopción notables.

Complemento de seguridad

Los complementos no son definitivamente inseguros. El problema es que los complementos no se examinan para garantizar que sus autores sigan las buenas prácticas de seguridad. WordPress ha establecido una serie de estándares que los autores deben seguir, pero muchos complementos son creados por principiantes u otras personas que ignoran los estándares. Pero como con todas las bases de código existentes, cuanto más código agregue a un sistema, mayor será la probabilidad de introducir errores y vulnerabilidades . Cuantos más complementos agregue a su instalación, mayor será el riesgo que tiende a correr. Del mismo modo, sepa que los temas de WordPress presentan una amenaza igualmente maliciosa, en particular la gran cantidad de "temas gratuitos" disponibles en sitios temáticos oscuros, muchos de los cuales intentan explotar directamente su sitioen lugar de exponer inocentemente vulnerabilidades de seguridad por ignorancia o accidente. Solo obtenga temas y complementos de fuentes confiables y autores creíbles.

Una regla general es no instalar complementos de autores ampliamente desconocidos o complementos que son relativamente nuevos en la escena. Si puede, tómese el tiempo para establecer la credibilidad del autor. Idealmente, aprenda los factores que intervienen en un complemento bien protegido ( números utilizados una vez [aka "nonce" s) para solicitud y autenticación de URL, desinfección de entrada , escape de salida , prevención de acceso directo a archivos de complemento , acceso adecuado a base de datos a través de los métodos y funciones de WordPress , la ausencia de errores y avisos de desaprobación cuando se habilita la depuración [abstenerse de habilitarla en entornos de producción], etc.) y verifique cada complemento que instale usted mismo.No hay sustituto para comprender lo que entra en el script de complemento seguro , ni una mejor defensa contra los complementos deficientes.

Si la idea de complementos y temas inseguros te asusta o no estás familiarizado con PHP o quieres familiarizarte con él, es posible que los servicios de WordPress.com sean más tuyos, ya que asumen la responsabilidad de investigar los complementos y temas y solo permita que aquellos que se determinen que sean seguros se instalen en los sitios de los usuarios. Todavía puede usar un dominio personalizado con WordPress.com si lo desea.

Respaldarlo

Algunos anfitriones brindan tales servicios, otros no. Así como no confío en que la seguridad de ninguna plataforma se mantenga por sí misma, no confío en que ningún host se encargue de mis copias de seguridad. Por el contrario, prefiero que mis copias de seguridad se acumulen en mi Dropbox y se sincronicen con diferentes servidores para poder estar seguro de que siempre tengo acceso directo a mis copias de seguridad con copias en varios sistemas diferentes. Si mi host se cae o es comprado por una empresa más grande o alguna otra desgracia de alojamiento, mis sitios están a unos pocos clics de distancia sin siquiera el riesgo de tener que lidiar con el soporte de mi host.

Notas finales

Debe leer la entrada del códice en Endurecimiento de WordPress para obtener más consejos de seguridad. Si no cree que deba necesitar muchos complementos o complementos oscuros en el futuro, puede ser más prudente tener WordPress.com o un proveedor alternativo de alojamiento administrado de WordPress como Pagely alojar su blog.

Independientemente de la nueva característica "Actualizaciones automáticas principales" de WordPress, aún debe esforzarse por asegurarse manualmente de que su instalación y todos sus complementos y temas estén actualizados. Algunos pueden pensar que es excesivo, pero me gusta habilitar la depuración después de una actualización y asegurarme de que ningún complemento o tema haya perdido la compatibilidad (un flujo de errores y avisos de desaprobación es un síntoma fuerte de esto). Si lo han hecho, los desactivo hasta que sus autores los actualicen, o hago los cambios necesarios para detenerme hasta que publiquen una actualización oficial. Tenga en cuenta que debe desconectar su sitio web o ejecutar una copia de desarrollo fuera de línea de su sitio web antes de habilitar la depuración para solucionar cualquier problema.

No estoy seguro de la prevalencia de la práctica de bombardeo con clics de Ad-sense, pero un complemento de WordPress que ofrece mitigar los efectos de tales bombas de clics le ofrece una capa adicional de seguridad además de las precauciones que Google haya implementado. Los sitios web que no ejecutan WordPress enfrentan la misma amenaza exacta con respecto al bombardeo con clics, y deben implementar la protección por otros medios o sobrevivir sin ella.

Recursos adicionales

• Códice: escribir un complemento

  ^{Una introducción funcional a la creación de complementos con algunos consejos de seguridad entremezclados. En particular, preste atención a la sección Sugerencias de desarrollo de complementos cerca de la parte inferior de la página.}

• Codex: Validación de desinfección y escape de datos de usuario

  ^{Una breve introducción a estos conceptos y por qué son importantes.}

• Codex: Preguntas frecuentes sobre seguridad

• Manual: estándares de codificación PHP

  ^{Un estándar centrado sintácticamente para el código PHP en WordPress con algunos consejos de seguridad entremezclados.}

• Manual: Estándares de documentación en línea de PHP

  ^{Me encantaría decirle que nunca instale un complemento que descuide la documentación en línea, pero en realidad incluso los buenos desarrolladores no siempre hacen esto. Sin embargo, una abundante documentación en línea completa con etiquetas PHPDoc es una buena indicación de que el autor tiene alguna idea de lo que están haciendo.}

• WPSE: "¿Cuáles son las mejores prácticas de seguridad para plugins y temas de WordPress?"

  ^{Las respuestas a esta pregunta proporcionan algunos puntos adicionales que no figuran en otros recursos. Tenga en cuenta que esta pregunta está bloqueada y no se actualizará para reflejar los nuevos desarrollos.}

• WPSE: "¿En qué contextos son los complementos responsables de la validación / desinfección de datos?"

  ^{En pocas palabras, "¿Cuándo necesito proteger mis datos y cuándo las manejan las funciones principales por mí?"}

• WPSE: "¿Quiénes son los desarrolladores de complementos más confiables?"

  ^{Una pequeña lista de algunos de los nombres más confiables y reconocidos en el desarrollo de plugins de WordPress. Ciertamente no es exhaustivo de ninguna manera, pero es un buen punto de partida para algunas "apuestas seguras" rápidas. Tenga en cuenta que esta pregunta está bloqueada y no se actualizará para reflejar los nuevos desarrollos.}

• WPSE: ¿Cómo puedo establecer la credibilidad de un autor de tema / complemento? "

  ^{Creado en base a esta misma pregunta con respecto a la necesidad de complementos, es de esperar que esta pregunta produzca un proceso general para seleccionar autores confiables de temas / complementos.}

• " Los peligros de la ignorancia de los complementos de WordPress (y qué hacer al respecto) " - Tom Ewer

  ^{Una sólida descripción no técnica sobre los peligros de los complementos.}

• "¿ Desarrollando para WordPress? Mantenga su mierda segura " - Mike Jolley

  ^{Una excelente descripción técnica breve de las mejores prácticas para el desarrollo seguro de complementos. Tenga en cuenta que la infografía de wptemplate.com vinculada en el artículo contiene algunos buenos consejos adicionales para la seguridad de WordPress en su conjunto, pero está compilada de forma bastante pobre y está escrita en un inglés incorrecto.}

• " 7 reglas simples: prácticas recomendadas para el desarrollo de complementos de WordPress " - WP Tuts +

  ^{Los artículos sobre Tuts + suelen ser precisos y de considerable calidad.}

• " Seguridad de WordPress - Cortando a través de la BS " - Tony Perez

  Una excelente descripción técnica de las vulnerabilidades y precauciones de seguridad de WordPress basadas en la presentación de WordCamp Chicago 2012 de Pérez.

En pocas palabras: WordPress hace lo que hace fuera de la caja, sin necesidad de complementos.

¡Sin embargo! Diferentes personas tienen diferentes ideas sobre qué más debería hacer. Algunas de esas ideas son sólidas. Algunos son completamente locos.

Específicamente en tus ejemplos:

• WP (o la versión estable actual más precisa del mismo por el momento) es seguro, muchos complementos de seguridad se centran en la auditoría (cosas como el código de otros complementos) y la supervisión proactiva (nada es realmente absolutamente seguro).

• muchas personas (incluido yo) no confían en terceros para manejar las copias de seguridad. Hay muchas historias de horror sobre cómo confiar en los hosts con copia de seguridad condujo a resultados bastante tristes y, a menos que pueda monitorear, acceder y verificar personalmente las copias de seguridad que el host está [supuestamente] tomando, es más seguro tratarlas como si no existieran.

WordPress es bastante funcional por sí solo. Si sus necesidades son sencillas, o si sabe cómo agregar una funcionalidad personalizada, generalmente no necesita complementos. Sin embargo, hay ventajas para el modelo de complemento, algunas que enumeraré:

• funcionalidad modular, plug and play (principalmente)
• encapsular funcionalidad especializada
• evitar reinventar la rueda
• beneficiarse del trabajo de autores de plugins experimentados

Refiriéndose al penúltimo punto, si hay cierta funcionalidad que desea agregar, es muy probable que ya se haya implementado en forma de complemento. No está mal beneficiarse del trabajo que ya se ha realizado.

Por último, numerosos complementos disponibles son el resultado de las horas y la experiencia de los desarrolladores. Dichos complementos tienden a estar bien construidos y respaldados, y tienen la reputación de ser compatibles. Mire a Pippin Williamson, Scott Kingsley Clark y Alex King, por nombrar solo algunos. No solo tienen habilidades técnicas, tienen credibilidad . Este es un gran beneficio de ciertos complementos de terceros.

En el caso de las copias de seguridad, sería reacio a confiar en los servidores web con algo tan importante, especialmente si las copias de seguridad se mantienen en el mismo servidor o dentro de la misma red. Un complemento de terceros o un enfoque de bricolaje le brinda más control, así como generalmente almacena copias de seguridad en una ubicación muy separada del sitio web.

Los complementos de seguridad no son estrictamente necesarios, si uno tiene los conocimientos para manejar los arreglos de seguridad. Algunos de estos complementos, como Better WP Security , simplifican el manejo de permisos de archivos, .htaccessdirectivas y similares. Otros, como WordFence, brindan servicios de monitoreo, mientras que los intentos de inicio de sesión limitados brindan cierta protección para el servidor.

Si le preocupa la calidad del complemento, puede ser un asunto impredecible. Aquellos en el repositorio de complementos de WordPress creo que se someten al menos a una investigación por parte de las personas detrás de WordPress, pero la calidad o el valor es bastante variable, y depende en gran medida de sus necesidades y habilidades. Si un complemento está bien revisado, tiene soporte activo y proviene de un autor o equipo conocido, es probable que esté en buenas manos.

Copias de seguridad

Su host puede encargarse de las copias de seguridad, pero generalmente solo ofrecen un enfoque de "todo o nada". Si usa un complemento, puede hacer copias de seguridad de archivos semanales y copias de seguridad de bases de datos diarias, ejecutarlas antes de realizar cualquier mantenimiento o guardar los archivos de copia de seguridad en una cuenta SFTP / S3. No puedo hacer eso fuera de la caja sin un complemento.

Actuación

Dado que su preocupación está en el rendimiento (como lo demuestra su referencia de Pagespeed), la única forma en que sé utilizar un CDN de terceros para alojar sus imágenes es mediante el uso de un complemento (a menos que esté realmente interesado en las secuencias de comandos en su servidor, en en cuyo caso probablemente no estaría haciendo esta pregunta aquí).

Mantenimiento a largo plazo

Cualquier funcionalidad que se encuentre fuera del alcance de WP y que modifique / cambie su contenido (como un shortcode) debe residir en un complemento, porque casi seguro que algún día cambiará su tema y no querrá un montón de contenido roto en su sitio.

Entrada del usuario

La entrada del usuario es donde entran muchas vulnerabilidades de seguridad, por lo que si acepta datos de usuario de cualquier tipo, definitivamente consideraría usar un complemento de buena reputación para manejar eso. Es mucho más probable que hayan sido revisados ​​por otros y puestos a prueba que algunos formularios codificados a mano que desee agregar.

SIN EMBARGO

A veces todo lo que necesitas está en tu tema. (ESPECIALMENTE si lo compró en Code Canyon / Envato, etc., ya que parecen ser extremadamente "características" impulsadas).

A veces, es realmente más fácil hacer un mod en su tema que tratar con un complemento, como una buena parte de los complementos "seo".

En realidad depende de sus requerimientos. Si desea agregar más funcionalidades para su sitio sin modificar el archivo de tema, entonces seguramente necesita complementos.

Son esenciales si desea agregar un sistema de comercio electrónico o personalizar completamente un tema secundario; de lo contrario, necesitaría completar una gran cantidad de codificación personalizada para cosas como el comercio electrónico.

Otro punto importante es la diferencia entre el uso de temas que incluyen una gran cantidad de opciones de tema en comparación con un tema que ofrece una amplia gama de complementos específicos de tema.

Es claramente más fácil personalizar WordPress instalando complementos para agregar funcionalidades en lugar de usar un tema que incluye una gran cantidad de opciones integradas porque entonces necesita filtrar las funciones existentes usando código en lugar de instalar complementos solo para agregar las funciones que necesita utilizar.

El código en los complementos también se actualiza cuando las nuevas versiones de WordPress también están en Beta y si los complementos no se actualizan, puede eliminar e instalar fácilmente un nuevo complemento.