私はWordPressが初めてです。私は最近、ハッカーがプラグインの脆弱性をどのように悪用できるかについての記事を読みました。 Google Pagespeedのような様々な情報源も私にプラグインの使用をやめさせ、あるいは少なくとも最小限に抑えています。個人的には、私は自分のサイトで起きていることをもっとコントロールできるようになっているのでプラグインを避けようとしている。
私は 'Plugins-recommendation'はトピックから外れていることを理解していますが、私が後にしているのは、実際になぜWordPressでプラグインが不可欠なのか/なぜなら説明です。
例を挙げましょう。
セキュリティ - いくつかのトッププラグインはセキュリティと関係があります。しかし、WordPressサイトは一般的に脆弱ですか?悪用を避けるために追加のプラグインが必要なのはなぜですか?
バックアップ - ブログの世界には慣れていないが、ほとんどのホストがバックアップサービスを提供しているのではないか?それともWordPressでそれのための特別なプラグインが必要ですか?
AdSenseクリック詐欺監視 - Googleからの追放を避けるためにクリック爆弾をブロックすることになっている。しかし、私は理解していません、あなたがプラグインをダウンロードしない限りあなたの収入を止めるためにすべての人々がしなければならないいくつかの偽のクリックですか?
編集:グーグルサポートにこれを尋ねる方が良いかもしれません、もしそうなら無視してください
プラグインの必要性は、「WordPressのコア機能だけで十分だと思いますか?」という質問です。
必要なのは、いくつかのカテゴリと設定された多数の静的ページを含むシンプルなブログだけです。しかし、インタラクティブマップ、イベント付きカレンダー、サードパーティREST APIの統合を開始し、ユーザーに強力なパスワードの使用を強制する場合、またはサイトをソーシャルネットワークに変える場合は、プラグインが必要です。 Grant Palin's answer は、プラグインが必要な理由についてより多くの洞察を提供します。 Dan Gayle's answer は、多くのテーマがWordPressプラグインを明示的に使用せずにあらゆる種類のプラグイン機能を提供することを指摘しています。
WordPressコア自体は非常に安全であり、コア開発者コミュニティは、セキュリティの脆弱性が特定されるとすぐにそれを隔離し、パッチを当てて立派な仕事をします。リリースごとに約200の主要な貢献者。また、脆弱性の特定から修正のリリースまでの間に存在していたリスクは、 Automatic Core Updates を追加することで迅速に排除されています。
PagelyのWordPressセキュリティインフォグラフィック
(しっかりした量の情報-クリックして全体を表示します)</ p>
はい、 WordPressには固有のセキュリティ脆弱性があります 。 Drupal 、CakePHP、 Ruby on Rails 、Symfony、Zendなども同様です。追加のセキュリティ対策を実装せずに使用するプラットフォームやシステムはありません。プラットフォームによって既に提供されているものに加えて。 ウェブサイトの最前線のセキュリティをCMSまたはフレームワークのみに依存することは、単に悪い考えだと思います、特に顕著な採用率のあるフレームワーク。
プラグインは完全に安全ではありません。問題は、プラグインが作成者が適切なセキュリティプラクティスに従っていることを確認するために吟味されていないことです。 WordPressは、著者が従うべき多くの標準を定めていますが、多くのプラグインは初心者または標準を無視する他の人によって作成されています。しかし、存在するすべてのコードベースと同様に、システムに追加するコードが多いほど、バグや脆弱性を導入する可能性が高くなります。インストールに追加するプラグインが多いほど、リスクが大きくなります。同じ方法で、WordPressテーマも同様に悪意のある脅威をもたらすことを知ってください-特に、あいまいなテーマサイトから入手できる「無料のテーマ」の数々 その多くはサイトを直接悪用しようとします 無知または事故によってセキュリティの脆弱性を無邪気にさらすのではなく。信頼できるソースと信頼できる著者からのみテーマとプラグインを入手してください。
経験則として、広く知られていない著者のプラグインや、比較的新しいシーンのプラグインをインストールしないようにします。可能であれば、時間をかけて著者の信頼性を確立してください。理想的には、十分に保護されたプラグインに入る要因を学習します( numbers-used-once [別名 "nonce" s]リクエストおよびURL認証、 入力サニタイズ 、- 出力のエスケープ 、 プラグインファイルへの直接アクセスの防止 、 データベースへの適切なアクセス を通じて WordPressのメソッドと機能 、 debugging が有効になっている場合(本番環境では有効にしないでください)などのエラーや非推奨の通知がなく、自分でインストールするすべてのプラグインを確認します。 セキュアなプラグインスクリプトに何が入るかを理解するための代替物はなく、くだらないプラグインからのより良い防御もありません。
安全でないプラグインとテーマの考えがあなたを怖がらせるか、PHPに精通していないか、PHPに精通しようとしている場合、 WordPress.com のサービスは、彼らが想定するより多くのお茶であると思うかもしれませんプラグインとテーマの調査を担当し、安全であると判断されたもののみをユーザーのサイトにインストールできるようにします。必要に応じて、WordPress.comでカスタムドメインを引き続き使用できます。
このようなサービスを提供するホストもあれば、そうでないホストもあります。プラットフォームのセキュリティがそれ自体の上に立つことを信頼していないのと同様に、バックアップを処理するホストを信頼していません。むしろ、バックアップを複数の異なるシステムのコピーでバックアップに直接アクセスできると確信できるように、Dropboxにバックアップを積み上げて異なるサーバーに同期することを好みます。ホストがダウンしたり、大企業や他のホスティングの不幸によって買収された場合、私のサイトは数回クリックするだけで、ホストのサポートに対処するリスクさえありません。
セキュリティのアドバイスについては、 Hardening WordPress のコーデックスエントリをお読みください。将来多くのプラグインや不明瞭なプラグインが必要になると思わない場合は、 WordPress.com または代替のマネージWordPressホスティングプロバイダーを用意する方が賢明かもしれません。 Pagely など、ブログをホストします。
WordPressの新しい「自動コアアップデート」機能に関係なく、インストールとすべてのプラグインとテーマが最新であることを手動で確認するよう努力する必要があります。過剰だと思う人もいるかもしれませんが、更新後にデバッグを有効にして、プラグインやテーマの互換性が失われないようにすることをお勧めします(エラーと非推奨の通知の流れは、これの強力な症状です)。持っている場合は、著者が更新するまで無効にするか、必要な変更を自分で行って公式の更新がリリースされるまで待ちます。デバッグを有効にしてトラブルシューティングを行う前に、Webサイトをオフラインにするか、Webサイトのオフライン開発コピーを実行する必要があることに注意してください。
Ad-senseのクリック爆弾処理の普及率についてはわかりませんが、このようなクリック爆弾の影響を軽減するWordPressプラグインは、あらゆるものに加えて追加のセキュリティ層を提供しますGoogleが実施している注意事項。 WordPressを実行していないWebサイトは、クリック爆撃に関してまったく同じ脅威に直面しており、他の手段で保護を実装するか、それなしで生き残る必要があります。
追加リソース
いくつかのセキュリティのヒントが混在したプラグインオーサリングの機能に焦点を当てた紹介。特に、ページの下部にある Plugin Development Suggestions セクションに注意してください。
これらの概念の簡単な紹介と、それらが重要な理由。
PHP WordPressのコードの構文に焦点を当てた標準で、いくつかのセキュリティのヒントが混在しています。
インラインのドキュメントを無視するプラグインをインストールしないよう絶対に伝えたいと思いますが、実際には優秀な開発者でさえ常にそうするわけではありません。それでも、 PHPDocタグ を備えた心のこもったインラインドキュメントは、作成者が何をしているのかをある程度理解していることを示しています。
WPSE: "WordPressプラグインとテーマのセキュリティのベストプラクティスとは?"
この質問への回答は、他のリソースにリストされていない追加のポイントを提供します。 この質問はロックされており、新しい開発を反映するために更新されないことに注意してください。
WPSE: "データの検証/サニタイズを担当するプラグインはどのコンテキストですか?
一言で言えば、「いつデータを保護する必要があり、コア機能はいつデータを処理しますか?」
WordPressプラグイン開発で最も信頼され、有名な名前のいくつかの小さなリスト。絶対に網羅的ではありませんが、いくつかの簡単な「確実なベット」のための良い出発点です。 この質問はロックされており、新しい開発を反映するために更新されないことに注意してください。
WPSE:テーマ/プラグインの作成者の信頼性を確立するにはどうすればよいですか? "
プラグインの必要性に関するこのまさに質問に基づいて作成され、この質問が信頼できるテーマ/プラグイン作成者を選択するための一般的なプロセスをもたらすことを願っています。
" WordPressプラグイン無知の危険(およびそれについての対処) "-トム・エワー
プラグインの危険性に関する非技術的な概要。
" WordPress用に開発中ですか?たわごとを安全に保ちます "-Mike Jolley
安全なプラグイン開発のためのベストプラクティスの優れた簡潔な技術概要。 wptemplate.comのインフォグラフィック 記事にリンクされているWordPressセキュリティ全体にいくつかの追加の良いヒントが含まれていますが、コンパイルが不十分であり、英語で書かれています。
" 7つの簡単なルール:WordPressプラグイン開発のベストプラクティス "-WP Tuts +
Tuts +の記事は通常、正確でかなりの品質です。
" WordPressセキュリティ– BSを切り抜ける "-Tony Perez
PerezのChicago 2012 WordCampプレゼンテーションに基づくWordPressセキュリティ脆弱性および予防策の優れた技術概要。
簡単に言えば-WordPressは、プラグインを必要とせずに、すぐに使えることを行います。
しかしながら! elseで何をすべきかについては、人によって意見が異なります。それらのアイデアのいくつかは健全です。一部は完全に奇抜です。
具体的にあなたの例:
WP(より正確には現在の安定バージョン)は安全であり、多くのセキュリティプラグインは監査(他のプラグインのコードのようなもの)と積極的な監視(実際には何もありません絶対安全です)。
多くの人々(私を含む)は、サードパーティがバックアップを処理することを信頼していません。 多ホラーストーリーは、バックアップを使用してホストを信頼すると、かなり悲しい結果をもたらし、ホストが[おそらく]取っているバックアップを個人的に監視、アクセス、および検証できない限り、彼らのように扱う方が安全であるということについて存在しない。
WordPressはそれ自体でかなり機能的です。あなたのニーズが単純であるか、またはあなたがカスタム機能を追加する方法を知っているならば、一般的にプラグインの必要はありません。ただし、プラグインモデルには利点があります。そのいくつかを以下に列挙します。
最後から2番目のポイントを参照すると、追加したい機能がある場合は、それが既にプラグイン形式で実装されている可能性があります。すでに行われた作業から恩恵を受けることは間違いではありません。
最後のポイントとして、利用可能な多数のプラグインは開発者の時間と経験の結果です。そのようなプラグインは、よく構築され、サポートされている傾向があり、それに合わせて評判があります。ほんの数例を挙げると、ピピン・ウィリアムソン、スコット・キングズレー・クラーク、アレックス・キングを見てください。彼らは技術的なスキルだけでなく、信頼性を持っています。これは特定のサードパーティ製プラグインの大きな利点です。
バックアップの場合、特にバックアップが同じサーバー上または同じネットワーク内にある場合、Webホストを非常に重要なものに信頼することには消極的です。サードパーティのプラグインまたはDIYのアプローチでは、通常はWebサイトとは別の場所にバックアップを保存するだけでなく、より細かく制御できます。
セキュリティプラグインは厳密には必要ではありません、ifは自分自身でセキュリティの取り決めを扱うためのノウハウを持っています。 Better WP Security などのいくつかのそのようなプラグインは、ファイル許可、.htaccess
ディレクティブなどの処理を単純化します。 WordFence などの他のものは監視サービスを提供しますが、 ログイン試行回数の制限 はサイトバックエンドの保護を提供します。
もしあなたがプラグインの品質を心配しているのなら、それはヒットまたはミスの可能性があります。 WordPressプラグインレポジトリの人々は、WordPressの背後にいる人々によって少なくともある程度の吟味を受けると思いますが、品質や価値はかなり変わりやすい - そしてあなたのニーズと能力に大きく依存します。プラグインがよくレビューされていて、積極的なサポートを受けていて、有名な作者やチームから来ているのであれば、あなたはよく手にしています。
バックアップはあなたのホストによって大事にされることができます、しかし、それらは通常「オールオアナッシング」アプローチを提供するだけです。プラグインを使用する場合は、毎週のファイルバックアップと毎日のDBバックアップを実行するか、メンテナンスを実行する前にそれらを実行するか、またはバックアップファイルをSFTP/S3アカウントに隠します。プラグインがなければ箱から出してそれを行うことはできません。
あなたの懸念は(あなたのPagespeed参照によって証明されるように)パフォーマンスにあるので、あなたのイメージをホストするために私が知る唯一の方法はプラグインを使うことです(あなたが 本当に intoでない限り)サーバー上でスクリプトを作成してください。その場合は、ここでこの質問をすることはおそらくないでしょう。
WP自体の範囲外にあり、コンテンツを変更/変更する機能(ショートコードなど)はプラグインに常駐させる必要があります。あなたのサイトのたくさんの壊れたコンテンツ。
ユーザー入力がセキュリティ上の脆弱性がたくさん発生するところです、あなたがどんな種類のユーザーデータを受け入れているなら、私は間違いなくそれを処理するために評判の良いプラグインを使用することを検討したいと思います。あなたが追加したいと思うかもしれないいくつかの手でコード化されたフォームより彼らははるかに他人によって吟味されてテストに置かれている可能性が高いです。
時々あなたが必要とするすべてがあなたのテーマにあります。 (特にCode Canyon/Envatoなどで購入した場合は、非常に「機能的」に駆動されているように見えます。)
時には、 "seo"プラグインの大部分のように、プラグインを扱うよりも、単にあなたのテーマを変更するほうが簡単なことがあります。
実際にはそれはあなたの要求次第です。テーマファイルを変更せずにサイトの機能をさらに追加したい場合は、プラグインが必要です。
Eコマースシステムを追加したり、子テーマを完全にカスタマイズしたりするには、これらは不可欠です。そうしないと、eコマースなどのために大量のカスタムコーディングを完了する必要があります。
もう1つの重要な点は、テーマ固有のプラグインを幅広く提供するテーマと比較して、膨大なテーマのオプションを含むテーマを使用することの違いです。
必要な機能を追加するためだけにプラグインをインストールするのではなく、コードを使用して既存の機能をフィルタ処理する必要があるため、プラグインをインストールして機能を追加することでWordPressをカスタマイズする方が明らかに簡単です。つかいます。
新しいバージョンのWordPressがBeta版になったときにもプラグインのコードが更新されます。プラグインが更新されない場合は、新しいプラグインを簡単に削除してインストールできます。